RGPD El artículo 42 describe la capacidad de una organización para obtener un nivel de certificación voluntaria, relacionada con sus operaciones de procesamiento de datos.
La certificación no es obligatoria, pero denota el compromiso de una organización de mejorar y promover su capacidad para cumplir diversas obligaciones reglamentarias y legales relacionadas con el RGPD.
Es importante tener en cuenta que la certificación no garantiza de ninguna manera el cumplimiento ni reduce de ninguna manera la obligación de una organización hacia las personas afectadas por su operación de procesamiento de datos.
de Padi
- Los Estados miembros, las autoridades de control, la Junta y la Comisión fomentarán, en particular a nivel de la Unión, el establecimiento de mecanismos de certificación de la protección de datos y de sellos y marcas de protección de datos, con el fin de demostrar el cumplimiento del presente Reglamento de las operaciones de tratamiento por controladores y procesadores. Se tendrán en cuenta las necesidades específicas de las micro, pequeñas y medianas empresas.
- Además de la adhesión por parte de los responsables o encargados del tratamiento sujetos al presente Reglamento, se podrán establecer mecanismos, sellos o marcas de certificación de protección de datos aprobados de conformidad con el apartado 5 de este artículo con el fin de demostrar la existencia de salvaguardias apropiadas proporcionadas por los responsables o encargados del tratamiento que no estén sujetas al presente Reglamento de conformidad con el artículo 3 en el marco de transferencias de datos personales a terceros países u organizaciones internacionales en los términos a que se refiere el artículo 46, apartado 2, letra f). Dichos controladores o procesadores asumirán compromisos vinculantes y exigibles, a través de instrumentos contractuales u otros instrumentos legalmente vinculantes, para aplicar esas salvaguardias apropiadas, incluso con respecto a los derechos de los interesados.
- La certificación será voluntaria y estará disponible a través de un proceso transparente.
- Una certificación con arreglo al presente artículo no reduce la responsabilidad del responsable o del encargado del tratamiento por el cumplimiento del presente Reglamento y se entiende sin perjuicio de las tareas y competencias de las autoridades de control competentes con arreglo a los artículos 55 o 56.
- Una certificación con arreglo al presente artículo será expedida por los organismos de certificación a que se refiere el artículo 43 o por la autoridad de control competente, sobre la base de criterios aprobados por dicha autoridad de control competente de conformidad con el artículo 58, apartado 3, o por la Junta de conformidad con el artículo 63. Cuando los criterios sean aprobados por la Junta, esto podrá dar lugar a una certificación común, el Sello Europeo de Protección de Datos.
- El responsable o encargado del tratamiento que someta su tratamiento al mecanismo de certificación deberá proporcionar al organismo de certificación a que se refiere el artículo 43, o, en su caso, a la autoridad de control competente, toda la información y el acceso a sus actividades de tratamiento que sean necesarios para llevar a cabo el procedimiento de certificación.
- La certificación se expedirá a favor de un responsable o encargado por un período máximo de tres años y podrá renovarse, en las mismas condiciones, siempre que se sigan cumpliendo los requisitos pertinentes. La certificación será retirada, según corresponda, por los organismos de certificación a que se refiere el artículo 43 o por la autoridad de control competente cuando los requisitos para la certificación no se cumplan o hayan dejado de cumplirse.
- La Junta recogerá en un registro todos los mecanismos de certificación y sellos y marcas de protección de datos y los pondrá a disposición del público por cualquier medio adecuado.
de Padi
- El Comisionado fomentará el establecimiento de mecanismos de certificación de protección de datos y de sellos y marcas de protección de datos, con el fin de demostrar el cumplimiento de este Reglamento de las operaciones de procesamiento por parte de los responsables y procesadores. Se tendrán en cuenta las necesidades específicas de las micro, pequeñas y medianas empresas.
- Además de la adhesión por parte de los responsables o encargados del tratamiento sujetos al presente Reglamento, se podrán establecer mecanismos, sellos o marcas de certificación de protección de datos aprobados de conformidad con el apartado 5 de este artículo con el fin de demostrar la existencia de salvaguardias apropiadas proporcionadas por los responsables o encargados del tratamiento que no estén sujetas al presente Reglamento de conformidad con el artículo 3 en el marco de transferencias de datos personales a terceros países u organizaciones internacionales en los términos a que se refiere el artículo 46, apartado 2, letra f). Dichos controladores o procesadores asumirán compromisos vinculantes y exigibles, a través de instrumentos contractuales u otros instrumentos legalmente vinculantes, para aplicar esas salvaguardias apropiadas, incluso con respecto a los derechos de los interesados.
- La certificación será voluntaria y estará disponible a través de un proceso transparente.
- Una certificación con arreglo al presente artículo no reduce la responsabilidad del responsable o del encargado del tratamiento por el cumplimiento del presente Reglamento y se entiende sin perjuicio de las tareas y poderes del Comisario.
- Una certificación conforme al presente artículo será expedida por los organismos de certificación mencionados en el artículo 43 o por el Comisionado, sobre la base de criterios aprobados por el Comisionado de conformidad con el artículo 58, apartado 3.
- El responsable o encargado del tratamiento que someta su tratamiento al mecanismo de certificación deberá proporcionar al organismo de certificación a que se refiere el artículo 43, o cuando corresponda, al Comisionado, toda la información y el acceso a sus actividades de tratamiento que sean necesarios para llevar a cabo el procedimiento de certificación.
- La certificación se expedirá a favor de un responsable o encargado por un período máximo de tres años y podrá renovarse, en las mismas condiciones, siempre que se sigan cumpliendo los requisitos pertinentes. La certificación será retirada, según corresponda, por los organismos de certificación a que se refiere el artículo 43 o por el Comisario, cuando los requisitos para la certificación no se cumplan o hayan dejado de cumplirse.
- El Comisionado recogerá todos los mecanismos de certificación y sellos y marcas de protección de datos en un registro y los pondrá a disposición del público por cualquier medio adecuado.
La certificación se puede obtener de dos formas:
Para que una organización obtenga la certificación, debe ser evaluada de acuerdo con varios criterios de certificación, que son aprobados por una autoridad competente.
Todos los criterios deben centrarse en la verificabilidad, significadoy idoneidad de la operación de procesamiento de datos de la organización.
En el proceso de certificación se deben incluir tres elementos principales del procesamiento de datos de una organización:
En este apartado hablamos de los artículos 42(1), 42(2), 42(3), 42(4), 42(5), 42(6), 42(7), 42(8)
Las organizaciones deben someterse a un ejercicio de mapeo que enumere los factores internos y externos relacionados con la implementación de un PIMS.
La organización debe poder comprender cómo va a lograr sus resultados de protección de la privacidad, y se debe identificar y abordar cualquier problema que se interponga en el camino de la salvaguardia de la PII.
Las organizaciones también necesitan:
| Artículo del RGPD | Cláusula ISO 27701 | Cláusulas de apoyo de ISO 27701 |
|---|---|---|
| Artículos 42 (1) a 42 (8) del RGPD UE | ISO 27701 5.2.1 | Ninguna |
La plataforma ISMS.online garantiza que pueda crear, comunicarse, controlar y colaborar con facilidad. Con ISMS.online, su cumplimiento se convierte en "lo habitual" y toda su actividad crea pistas de auditoría claras.
Esto significa que abordará cada auditoría con confianza; sabiendo que ha eliminado el riesgo de error mientras ahorra tiempo y reduce costos.
Descubre más por reservando una breve demostración.
Ayuda a impulsar nuestro comportamiento de una manera positiva que funcione para nosotros.
& Nuestra cultura.
