Los datos se han convertido en el nuevo combustible de la economía. Los órganos legislativos nacionales y supranacionales han comenzado a decretar normativas dirigidas a proteger esa información. Por su parte, las compañías deben garantizar un tratamiento adecuado de esos datos. Pero, ¿cómo pueden hacerlo? Europrise es un certificado de privacidad y protección de datos, transparente e independiente, para productos y servicios basados en tecnologías de la información en el entorno europeo.
Este modelo de certificación ha sido impulsado por la Unión Europea a través de la Agencia de Protección de Datos de Schleswig-Holstein (Alemania), en colaboración con la AEPD (Agencia Española de Protección de Datos) y el CNIL (organismo regulador francés). Se basa en la confidencialidad, la calidad y la seguridad en la gestión de los datos de carácter personal.
EuroPriSe vs. ISO 27701
En el verano de 2019 se publicó la Norma ISO/IEC 27701:2019, una extensión de la Norma ISO/IEC 27001 y de la guía de buenas prácticas ISO/IEC 27002 sobre Sistemas de Gestión de Seguridad de la Información.
El estándar ISO/IEC 27701 es una herramienta adecuada para implementar e integrar los principios del RGPD en un SGSI. La norma ha sido diseñada para ser utilizada por todos los responsables y encargados del tratamiento de datos de carácter personal. Y, al igual que la 27001, se apoya en un enfoque basado en el riesgo. De esta forma, cada organización puede acometer los riesgos específicos relacionados con los datos personales y la privacidad. Esta norma es aplicable a todo tipo de organizaciones. Pero, para implementarla es necesario contar con un Sistema de Gestión de Seguridad de la Información ISO 27001.
El “problema” es que existen muchas empresas que, aunque estén debidamente adecuadas a RGPD, no se adecúan (o no tienen medios para hacerlo) a la ISO 27001.
EuroPriSe se plantea, entonces, como una necesidad, teniendo en cuenta que la ISO 27701 no es una opción para todas las compañías. Este sello permite que aquellas empresas en las que no es posible certificarse de una ISO 27001, puedan hacerlo en materia de protección de datos.
EuroPriSe: características y objetivos
EuroPriSe no es un sello de nueva creación, ya existía con la antigua normativa (concretamente, desde 2007). Y es un instrumento idóneo para aquellas empresas que no tienen forma de certificar su adecuación al Reglamento Europeo de Protección de Datos (RGPD).
Los objetivos de esta certificación son: la protección de los derechos de los consumidores; la privacidad, y la confianza en las tecnologías de la información.
Hay que tener en cuenta que el alcance territorial de este sello es diferente del de la ISO 27701. La ISO es un estándar internacional, por tanto, su reconocimiento también lo es. Mientras que el EuroPriSe se acota a Europa, sometido a la normativa comunitaria. Además, la organización debe pertenecer a un país miembro de la UE o tener ubicados los servidores en alguno de ellos para poder solicitarlo.
No es necesario certificar toda la empresa porque EuroPriSe ofrece la posibilidad de definir el alcance: un departamento, un servicio concreto, la página web, etc., siempre y cuando estén basados en IT. Esto último es importante, puesto que el sello solo tiene en cuenta el tratamiento de datos mediante nuevas tecnologías.
¿Cuáles son las fases para obtener el sello?
Este sello puede ser obtenido por responsables y encargados de tratamiento que lo pidan a las autoridades de control.
Hay tres fases en el procedimiento de certificación (las mismas que en cualquier certificación habitual):
- Evaluación: un experto independiente realizará verificaciones legales y técnicas del producto o servicio y de la documentación, conforme a los criterios de evaluación del EuroPriSe Criteria Catalogue.
- Validación: como resultado de la primera fase, se emitirá un informe de evaluación que hay que presentar al organismo certificador (será la Agencia de Protección de Datos del país correspondiente). Este informe será validado o rechazado. Incluso, se pueden solicitar explicaciones adicionales.
- Obtención del sello: una vez aprobado el informe, se concede el sello en acto público en un plazo de entre 3 y 5 meses. Esto depende de la complejidad de la segunda fase. A partir de ese momento, la empresa contará con la certificación EuroPriSe.
¿Qué beneficios puede aportar a tu empresa?
El Sello de Privacidad Europeo distingue a aquellos productos y servicios confiables. Evidencia el respeto por la normativa europea en materia de protección de datos y marca la diferencia respecto a quienes no lo posean.
Contar con EuroPriSe supone:
- Incrementar la confianza en las relaciones con clientes y proveedores.
- Evidenciar el cumplimiento de la normativa europea de privacidad.
- Contar con ventajas competitivas.
- Crear nuevas oportunidades de mercado.
- Incentivar las operaciones comerciales entre países europeos.
- Constatar, ante las autoridades de control, la aplicación de procedimientos para el cumplimiento de la normativa en cada país.
- Minimizar el impacto sancionador.
¿Cómo podemos ayudarte?
Durante todo el proceso y hasta la obtención del sello EuroPriSe, Secure&IT puede acompañarte:
- En calidad de expertos, te ayudamos a llevar a cabo la auditoría interna pre-certificación (en función del alcance que se quiera certificar):
- Gap análisis o auditoría integral.
- Auditoría de página web.
- Auditoría de actividad de tratamiento (base de datos y servicio concreto).
- Intermediación con la autoridad nacional o extranjera de control (Agencia de Protección de Datos):
- Elaboración de la solicitud de la certificación y asesoramiento en el acuerdo de certificación con EuroPriSe.
- Emisión del informe de la evaluación:
- Informe confidencial de la evaluación.
- Informe público resumido.
- Presentación ante la Autoridad de Certificación de EuroPriSe y contestación a posibles requerimientos.
