EL ORIGEN: CONGRESO INTERNACIONAL DE LA ABOGACÍA DIGITAL
Mayo es siempre un mes abundante de Congresos y debates, y la “cosecha” de este 2018 ha sido del todo excepcional. Entre los más significados, el CONGRESO INTERNACIONAL DE DERECHO DIGITAL coorganizado por ENATIC e ICAB los días 17 y 18, coincidiendo con el Dia Internacional de Internet y a una semana vista de la entrada en vigor del RGPD.
Como no podía ser de otra manera, uno de los temas estrella fue la figura del Delegado de Protección de Datos y su certificación acreditada. La participación de ENAC en el Congreso, con la intervención de Edelio Gago, Jefe del Departamento de Certificación y verificación, ayudó a dar rigor a las explicaciones del esquema de certificación publicado por la Agencia Española de Protección de Datos y su uso para la aprobación de esquemas de certificación acreditados por ENAC.
Durante la mesa en que intervinieron las entidades de certificación se abrió un apasionado debate alrededor de la necesidad de una certificación acreditada ISO 17024¹ o la posibilidad de acudir a otro tipo de certificaciones emitidas por asociaciones o entidades diversas. Este ha sido un tema que ha surgido en mas de una ocasión cuando he participado en jornadas o congresos que han tratado este tema y creo que vale la pena entrar a valorar un poco mas a fondo qué aporta este modelo de certificación con respecto a otras.
¿QUÉ ES UNA CERTIFICACIÓN CONFORME A LA NORMA ISO 17024?
Para ello, vamos en primer lugar a centrarnos en conocer básicamente qué es una certificación acreditada de DPD conforme al esquema aprobado por la Agencia Española de Protección de Datos.
Dentro del marco de la normalización internacional, una de las necesidades que se encuentran las organizaciones es la de encontrar profesionales o trabajadores altamente cualificados para actividades muy específicas. ISO/IEC desarrolló y publicó una Norma, (ISO 17024) que permite, a través de un proceso de evaluación de las competencias y conocimientos, evaluar si un profesional está capacitado para el desempeño de una actividad determinada.
La norma ISO establece un proceso que cuenta con diferentes protagonistas y que voy a explicar en grandes trazos y con algunas simplificaciones que ruego al lector me permita justificar por la brevedad de este artículo:
En primer lugar, el propietario del esquema de certificación, normalmente una entidad pública o privada sin ánimo de lucro, que a través de un comité de expertos y una serie de procesos públicos de consenso redacta un documento que define capacidades y conocimientos, de modo que viene a constituir el retrato robot del profesional ideal para esa actividad. En el supuesto que hablamos, la Agencia Española de Protección de Datos es la autora y propietaria del esquema, y ha desarrollado un documento que describe perfectamente las competencias y capacidades que debe reunir el profesional óptimo para desempeñar las funciones previstas para un DPO en el RGPD. Una vez redactado y hecho público este esquema (sujeto de derechos de propiedad intelectual), cualquier entidad de certificación interesada en ofrecer a los profesionales el servicio de certificación, deberá tomar como punto de partida dicho esquema para desarrollar un método de evaluación del candidato que siempre incorpora un examen de evaluación con preguntas y supuestos prácticos y que se confecciona conforme a las especificaciones de la Norma ISO 17024. Esta evaluación deberá tener en cuenta las capacidades y competencias definidas en el esquema de acreditación por la Agencia Española de Protección de Datos.
La Entidad de Certificación es el segundo de los protagonistas que intervienen en este proceso. Cualquier entidad que cumpla los requisitos de la Norma ISO 17024 puede actuar como entidad de certificación, aunque ya adelanto que no son requisitos fáciles de alcanzar: debe mostrar absoluta independencia, ausencia de conflictos de interés, imparcialidad, recursos suficientes para desarrollar los procesos de certificación con autonomía y profesionales adecuados para desarrollar las tareas de certificación específicas para cada esquema (en este caso, el de DPO). Todos estos requisitos dificultan (por no decir que impiden) a muchas organizaciones la posibilidad de actuar como entidades de certificación, pero ¿Quién nos asegura que las que emiten el certificado profesional cumplen con dichos requisitos?
En esta fase del proceso es donde aparece ENAC. La Entidad Nacional de Acreditación es una Asociación sin ánimo de lucro que tiene delegadas por el Estado Español las funciones publicas de acreditación que establece el Reglamento Europeo de Acreditación. Es un caso peculiar de monopolio de un servicio público en manos privadas que existe en todos los países de la Unión Europea. ENAC evalúa y audita a las Entidades de Certificación para asegurarse, pero muy especialmente para asegurar al mercado en general, que dicha Entidad de Certificación cumple con todos los requisitos contemplados tanto en ISO 17024 como en el resto de las normas ISO que regulan a las Entidades de Certificación. El objetivo de ENAC, y toda su actividad, se orienta no en dar un servicio a la Entidad de Certificación, sino a dar confianza al mercado, a todos los terceros que tienen interés en saber si el candidato a DPO que les presenta una certificación la ha conseguido a través de un Entidad de Certificación de confianza.
LOS TRES PROTAGONISTAS DEL PROCESO DE CERTIFICACIÓN ISO 17024
En resumen, es un proceso con tres niveles de intervención:
1. Una entidad reconocida describe detalladamente un perfil profesional para desempeñar un trabajo (en este caso, la AEPD redacta el esquema de DPD)
2. Una entidad de certificación, mediante un proceso independiente y riguroso, emite un documento que certifica que cierta persona reúne todas las capacidades y características anteriormente definidas.
3. La Entidad Nacional de Acreditación, mediante un proceso de auditoria y evaluación continuada, asegura que la Entidad de certificación que ha emitido el documento reúne y cumple todos los requisitos que le exige la Norma ISO 17024
VENTAJAS DE LA CERTICACIÓN ACREDITADA ISO 17204
Las ventajas que supone este modelo de certificación para su aplicación al Delegado de Protección de Datos definido en el vigente RGPD² se podrían concretar en:
1º.- Perfectamente adaptada a la figura del DPO: El esquema de certificación aprobado por nuestro regulador facilita una definición muy clara, detallada y precisa de lo que se exige al Delegado de Protección de Datos, de modo que al acometer nuestro proceso de certificación nos enfocamos claramente al desempeño de un puesto clave en las organizaciones.
2º.- Abierto a cualquier entidad de certificación: El proceso contemplado por ISO 17024 está abierto a cualquier entidad de certificación que obtenga la autorización de la AEPD para usar su esquema. De esta forma obtenemos un amplio abanico de ofertas de certificación sobre el mismo esquema, pudiendo el aspirante escoger con quien desea mantener su certificación profesional, pero a la vez teniendo la posibilidad de cambiar a otra entidad de certificación en cualquier momento.
3º.- Supervisado, transparente y con garantías de un tercero independiente: La independencia, solvencia y capacidad profesional de la Entidad que emite la certificación está garantizada si esta entidad se somete al proceso de acreditación a través de ENAC. Debemos aquí advertir que puede darse la circunstancia que existan entidades que ofrezcan la certificación sin acreditarse ante ENAC, o que no consigan obtener la acreditación, o que pierdan la acreditación una vez obtenida. En estos casos, no significa que dicha certificación carezca de valor, sino que el valor que tendrá dependerá del prestigio que pueda tener la entidad que la emita en el mercado, de modo que es posible que una certificación no acreditada puede ser considerada de confianza para ciertas organizaciones y para otras no. Por ello, es muy importante seleccionar bien la Entidad de Certificación e informarse de:
1. Si está acreditada para certificar este esquema o si está en proceso de acreditación
2. De sus antecedentes con ENAC (por ejemplo, en qué otros esquemas está acreditada, si se le han retirado acreditaciones). Para ello, se puede consultar la página web de ENAC, donde se informa públicamente de estas circunstancias³
4º.- Valor universal de la certificación: Quizás el valor mas importante es que esta certificación tiene un valor internacional, acreditando la capacidad profesional para cualquier país donde se halle en vigor el RGPD, es decir, en toda la Unión Europea. Y eso es así por dos motivos:
1.El primero, porque el esquema de certificación se basa en una norma europea, el RGPD, y cumple con los requisitos de dicha norma
2.El segundo, porque al estar hablando de una norma elaborada y publicada por ISO/IEC, las certificaciones emitidas por cualquier Entidad de Certificación acreditada recibirán reconocimiento en todos los países que forman parte de ISO, al tratarse de un norma de carácter internacional.
EL REQUISITO (Y LA GARANTÍA) DE MANTENIMIENTO DE LA CERTIFICACIÓN
Para terminar estos breves apuntes, no es menos importante tener en cuenta que las certificaciones obtenidas a través de una Entidad de Certificación acreditada suponen una relación continuada con la entidad de certificación, que va a exigir un mantenimiento de dicha certificación mediante un proceso de mejora continua del profesional certificado y la firma de un clausulado de condiciones que pueden suponer incluso la pérdida de la certificación en circunstancias excepcionales. Este mantenimiento no deja de ser una gran garantía para todas las organizaciones que buscan un Delegado de Protección de Datos, reforzando el valor de los candidatos que acuden a la entrevista con una certificación ISO 17024 acreditada.
CONCLUSIÓN
Ni es el único sistema que existe, ni es un sistema perfecto, pero con todas sus críticas (que las hay) y mejoras (que siempre se buscan), es evidente que la mejor solución que ofrece el mercado para la acreditación de competencias de un candidato a DPD es acudir a una certificación ISO 17024 a través de una Entidad de Certificación Acreditada.