Obligaciones y responsabilidad del ‘sucesor’ en los procesos de M&A
La due diligence cobra cada vez más importancia e incorpora más elementos.
11 abril, 2024
3 min
Desde el 25 de mayo de 2018, fecha en la que fue de efectiva aplicación y obligado cumplimiento el Reglamento General de Protección de Datos (RGPD), y siguiendo con los precedentes de la anterior Directiva 95/46/CE ya derogada, se incluyó en el contenido de esta norma conceptos como los códigos de conducta y certificaciones aprobadas como medios para probar el cumplimiento interno en materia de privacidad.
Esto tiene gran importancia ya que lo que se pretende es implementar un modelo en el cual determinadas compañías y productos o servicios puedan garantizar que los mismos cumplen con las exigencias normativas en materia de privacidad, práctica que ya venía existiendo en relación con el cumplimiento de otras normativas y estándares internacionales. Al mismo tiempo, sirve de motivación a las compañías a implementar un efectivo y eficaz programa de cumplimiento activo que facilite la prestación de garantías a los terceros con los que establece relaciones.
Bien es cierto que, a nivel europeo, el programa de certificación de EuroPriSe ya venía ofreciendo una certificación de cumplimiento de la normativa de privacidad dentro de la Unión Europea, garantizando así el cumplimiento de dicha normativa, certificación que se limitaba y refería a determinados productos o servicios. Por ello, este programa de certificación de EuroPrise se limita a productos, sin que se refiera al cumplimiento general de una compañía o las actividades de tratamiento que realiza la misma.
Siendo esto así, en octubre de 2018, la Autoridad de Protección de Datos de Luxemburgo (National Commission for Data Protection – CNPD) anunció y lanzó el primer esquema de certificación basado en el RGPD. Desde entonces, dicho esquema ha ido pasando por diferentes fases, incluida la de consulta pública y la de revisión por parte del Comité Europeo de Protección de datos (European Data Protection Board), el 1 de febrero de 2022, donde publicó su opinión sobre los criterios de certificación del borrador GDPR – Carpa. Dicha opinión consideraba que algunos términos eran confusos y necesitaban ser aclarados. Asimismo, recomendaba que se matizara que el DPO tiene un papel fundamental pero no es el responsable de evaluar la implementación de las medidas diseñadas para garantizar el cumplimiento. Por último, también indicó que el esquema de certificación no tenía ninguna información relativa a los métodos de evaluación.
Varios meses después, el 13 de mayo de 2022, fue finalmente adoptado, siendo el primer esquema de certificación tanto a nivel nacional como internacional con respecto al RGPD.
El objetivo principal de este esquema es facilitar a los responsables y encargados de tratamiento la tarea de demostrar que el tratamiento de datos que se lleva a cabo en el contexto de su actividad se ejecuta de acuerdo con lo establecido por el RGPD.
Implementar este mecanismo de certificación en las organizaciones puede traer grandes beneficios, pues promueve el cumplimiento del RGPD dentro de la compañía y brinda a los interesados mayor visibilidad sobre el nivel de protección y seguridad que ofrecen las organizaciones sobre el tratamiento de sus datos personales.
Esto, aportará un crecimiento en la confianza de los interesados hacia las compañías certificadas. Sin embargo, es necesario tener en cuenta que esta certificación no asegurará el cumplimiento del RGPD a nivel general por parte de las organizaciones, ya que, únicamente certifica las actividades de tratamiento que se sometan al esquema, por lo tanto, no tendrá validez, o al menos no será garantía suficiente para demostrar el cumplimiento de la organización en su conjunto, de cara a clientes o auditores externos.
Siendo esto así, cada una de estas certificaciones tendrá un alcance u objeto diferente, (similar al alcance de aplicabilidad de algunas normativas ISO) el cual será necesario delimitar en cada uno de los casos.
Sin entrar en un análisis detallado, cabe decir que los criterios de evaluación están basados en la metodología ISAE 3000 Tipo 2, la cual consiste en emitir un informe de opinión sobre la correcta implementación de los controles. Esta certificación tiene
una duración de 3 años.
En cuanto a los dominios y objetivos de control del esquema, son los siguientes:
Sección I: Criterios de Gobierno y Responsabilidad proactiva
Sección II: Principios relativos al tratamiento de datos como responsable:
Sección III: Principios relativos al tratamiento de datos como encargado:
El pasado 28 de junio se realizó una conferencia de su presentación en la cual, entre otras cosas, se trató el framework completo de controles.
Como conclusión, si bien, en este momento, la certificación resulta aplicable para las organizaciones de Luxemburgo, esto puede suponer un impulso y un ejemplo a seguir para el resto de los países dentro del ámbito europeo. En este sentido, es necesario mantenerse alerta sobre todo lo que se podría derivar de esta iniciativa ya que todo apunta a que el resto de los países podrían adoptar un modelo similar de certificación y una preparación a tiempo podría suponer una ventaja competitiva.
Deja un comentario