Desde el 4 de abril de 2019, AENOR, no tiene capacidad para certificar delegados de protección de datos (en adelante, “DPD”). Esto no afecta únicamente a las concesiones futuras, sino también a aquellas que se han otorgado por dicha compañía durante el período anterior. Concretamente unos 103 DPD estarían afectados por este acontecimiento, careciendo su acreditación de validez legal.
AENOR tenía una acreditación provisional por un año y no ha logrado obtener la acreditación definitiva.
Actualmente solo hay cuatro entidades que lograron tener una acreditación definitiva como entidades certificadoras para ser DPD que impulsan tanto la Entidad Nacional de Acreditación (en adelante, “ENAC”) como la Agencia Española de Protección de Datos (en adelante, “AEPD”) de forma conjunta. Estas entidades son las siguientes:
- IVAC-INSTITUTO DE CERTIFICACIÓN S.L.;
- Asociación para el Fomento de la Seguridad;
- ISMS Forum;
- Asociación Española para la Calidad y ANF.
Junto a estas cuatro entidades, hay un listado de otras compañías que están en proceso de adquirir los requisitos exigidos por la ENAC. El plazo para lograr esta acreditación es de un año.
AENOR estaba dentro de este último grupo, pero la AEPD le ha retirado dicha mención al cumplir su acreditación provisional tras transcurrir un año y no lograr la acreditación definitiva.
El procedimiento para obtener la mención de entidad certificadora se basa en presentar una candidatura y adaptar el modelo de certificación de DPD a los requisitos establecidos por la ENAC, se debe demostrar la capacidad de la compañía en cuestión para gestionar personas con la ISO 17024.
AENOR, por su parte, manifiesta que continúa trabajando para cumplir con los requisitos solicitados por la AEPD y esperan solucionar el problema en el plazo de un mes. Es cierto que AENOR no esta desacreditada definitivamente, pero sí por el momento.
AENOR ha habilitado una dirección de correo electrónico (certificación-dpd@aenor.com) para atender los requerimientos de los afectados.
La figura del DPD ha adquirido una mayor visibilidad desde la entrada en vigor del Reglamento General de Protección de Datos (en adelante, “RGPD”) y la nueva Ley Orgánica de Protección de Datos y garantía de los derechos digitales (en adelante, “LOPDGDD”), así como por el establecimiento de su obligatoriedad en determinados supuestos tasados.
Es importante hacer hincapié en la principal consecuencia de esta situación, que es que la certificación de los DPD con AENOR no tiene ningún valor, por lo que es importante dar a conocer este acontecimiento para informar a todos aquellos posibles perjudicados o evitar perjuicios futuros. Aunque la compañía ha solicitado a la AEPD que reconozca a aquellos DPD que se examinaron con anterioridad a este hecho y están a la espera de respuesta.