El present treball té per objecte l'anàlisi dels mecanismes de certificació vigents des de l'efectiva aplicació del Reglament General de Protecció de Dades (RGPD). Com a punt de partida, aquests s'aborden des del seu enfocament eminentment tècnic i la seva aproximació a l'àmbit del dret de protecció de dades. A continuació, s'examina la regulació dels mecanismes de certificació en l'RGPD i les iniciatives que han estat impulsades recentment a Espanya, França i el Regne Unit per les seves respectives agències de protecció de dades. Tot seguit, procedim a l'estudi dels estàndards internacionals ISO/IEC de la sèrie 27000, i, més concretament, de les normes ISO/IEC 27001 (seguretat de la informació) i 27701 (gestió de la informació de privacitat) i les seves corresponents actualitzacions. Finalment, es destaquen aquells beneficis més immediats d'aquestes iniciatives i el seu marge de millora en un futur a curt termini, un cop identificades les limitacions més rellevants que afecten l'efectiu compliment de l'esmentat reglament.

RGPD; certificació; sèrie ISO/IEC 27000; protecció de dades; seguretat de la informació; dades personals

Agencia Española de Protección de Datos. (2019). Esquema de certificación de Delegados de Protección de Datos (Esquema AEPD-DPD). Versión 1.4.

Agencia Española de Protección de Datos. (2019). Guía práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD.

Agencia Europea de Seguridad de las Redes y de la Información. (2017). Recommendations on European Data Protection Certification.Versión 1.0.

Asociación Internacional de Profesionales en Privacidad. (1 de marzo de 2018). 2018 privacy tech vendor report.

Bajo Albarracín, Juan Carlos. (2019). Consideraciones sobre el principio de responsabilidad proactiva y diligencia (accountability). Experiencias desde el Compliance. En José López Calvo (coord.), La adaptación al nuevo marco de protección de datos tras el RGPD y la LOPDGDD. Madrid: Wolters Kluwer.

Bilbao, Enrique, Bilbao, Alfonso, y Peciña, Koldo. (2011). Physical and logical Security Risk Analysis model. IEEE.

Chatzipoulidis, Aristeidis, Tsiakis, Theodosios, y Kargidis, Theodoros. (2019). A readiness assessment tool for GDPR compliance certification. Computer Fraud & Security, 8.

Comisión Europea. (2019). Data protection certification mechanisms. Study on Articles 42 and 43 of the Regulation (EU) 2016/679: final report.

Comité Europeo de Protección de Datos. (2018). Directrices 1/2018 sobre la certificación y la determinación de los criterios de certificación de conformidad con los artículos 42 y 43 del Reglamento 2016/679.

Comité Europeo de Protección de Datos. (2019). Directrices 1/2018 sobre la certificación y la determinación de los criterios de certificación de conformidad con los artículos 42 y 43 del Reglamento. Versión 3.0.

Comité Técnico de Normalización 320. Ciberseguridad y protección de datos personales.

Datoo, Akber. (2018). Data in the post-GDPR world. Computer Fraud & Security, 9. Diamantopoulou, Vasiliki, Tsohou, Aggeliki, y Karyda, Maria. (2020). From ISO/IEC27001:2013 and ISO/IEC27002:2013 to GDPR compliance controls. Information and Computer Security, 4.

European Privacy Seal (EuroPriSe). (2017). EuroPrise criteria for the certification of IT products and ITbased services (v201701).

Fernández Sánchez, Carlos Manuel, y Recio Gayo, Miguel. (2016). Certificación en protección de datos personales. En José Luis Piñar Mañas (dir.), Reglamento General de Protección de Datos. Madrid: Editorial Reus.

García Bernadal, Francisco. (2019). La RGPD, certificación y SGSI. Actualidad administrativa, 1. Grupo de trabajo sobre protección de datos del artículo 29. (5 de abril de 2017). Directrices sobre los delegados de protección de datos (DPD) (16/ES WP 243 rev.01).

Grupo de trabajo sobre protección de datos del artículo 29. (6 de febrero de 2018). Draft Guidelines on the accreditation of certification bodies under Regulation (EU) 2016/679 (18/EN WP261).

Gudín Rodríguez-Magariños, Faustino. (2018). Nuevo Reglamento Europeo de Protección de Datos versus Big Data. València: Tirant lo Blanch.

Hidalgo Cerezo, Alberto. (2016). Protección de datos de carácter personal relativos a la salud del paciente: fundamentos, protección a la intimidad y comentarios al nuevo Reglamento UE 2016/679. Revista de Derecho UNED, 18.

Hildebrandt, Mireille, y Tielemans Laura. (2013). Data protection by design and technology neutral law. Computer Law & Security Review, 29 (5).

Irwin, Luke. (2018). How ISO 27001 helps you achieve GDPR compliance. IT Governance.

Kamara, Irene. (2017). Co-regulation in EU personal data protection: the case of technical standards and the privacy by design standardisation “mandate”. European Journal of Law and Technology, 8 (1).

Kamara, Irene, y De Hert, Paul. (2018). Data Protection Certification in the EU: Possibilities, Actors and Building Blocks in a Reformed Landscape. En Rowena Rodrigues y Vagelis Papakonstantinou (eds.), Privacy and Data Protection Seals. Information Technology and Law Series. T.M.C. Asser Press.

Lachaud, Eric. (2018). The General Data Protection Regulation contributes to the rise of the certification as a regulatory instrument. Computer Law & Security Review, 34 (2).

Lachaud, Eric. (2020). ISO/IEC 27701: Threats and Opportunities for GDPR Certification.

Lambrinoudakis, Costas. (2018). The General Data Protection Regulation (GDPR) Era: Ten steps for compliance of data processors and data controllers. International Conference on Trust and Privacy in Digital Business. Springer International Publishing.

Lopes, Isabel María, Guarda, Teresa, y Oliveira, Pedro. (2019). How ISO 27001 Can Help Achieve GDPR Compliance. 14th Iberian Conference on Information Systems and Technologies (CISTI). IEEE.

López Calvo, José. (2017). Comentarios al Reglamento Europeo de Protección de Datos. Sepín.

Middleton-Leal, Matt. (2018). GDPR and ISO 27001 Mapping: Is ISO 27001 Enough for GDPR Compliance? Netwrix.

Pandit, Harshvardhan, Fatema, Kaniz, O’Sullivan, Declan, y Lewis, David. (2018). GDPRtEXT - GDPR as a Linked Data Resource. En Gangemi Aldo, Anna Lisa Gentile, Andrea Giovanni Nuzzolese, Sebastian Rudolph, Maria Maleshkova, Heiko Paulheim, Jeff Z. Pan y Mehwish Alam (eds.), The Semantic Web. ESWC 2018. Lecture Notes in Computer Science. Springer.

Pauner Chulvi, Cristina. (2016). El uso emergente de drones civiles en España. Estatuto jurídico e impacto en el derecho a la protección de datos. Revista de Derecho Político, 95.

Prego de Oliver Fernández, Juan Antonio. (2017). La transparencia como elemento de apoyo al consentimiento en materia de protección de datos (tesis doctoral, Universidad Carlos III de Madrid, Getafe).

Professional Evaluation and Certification Board. (2020). The future of privacy with ISO/EC 27701.

Rallo Lombarte, Artemi. (2019). El nuevo derecho de protección de datos. Revista Española de Derecho Constitucional, 116.

Rallo Lombarte, Artemi, García Mahamut, Rosario, y Viguri Cordero, Jorge. (2015). Cooperación y coordinación entre Autoridades de Proteccion de Datos. En Artemi Rallo Lombarte y Rosario García Mahamut (eds.), Hacia un nuevo derecho europeo de protección de datos. València: Tirant lo Blanch.

Rodrigues, Rowena. (2018). Conclusion: What Next for Privacy Seals? En Rowena Rodrigues y Vagelis Papakonstantinou (eds.), Privacy and Data Protection Seals. Information Technology and Law Series. T.M.C. Asser Press.

Rodrigues, Rowena, Barnard-Wills, David, Wright, David, De Hert, Paul, y Papakonstantinou, Vagelis. (2013). EU Privacy seals project: Inventory and analysis of privacy certification schemes. Final report study. Oficina de Publicaciones de la Unión Europea.

Rodrigues, Rowena, Barnard-Wills, David, De Hert, Paul, y Papakonstantinou, Vagelis. (2016). The future of privacy certification in Europe: An exploration of options under article 42 of the GDPR. International Review of Law, Computers & Technology, 20 (3).

Rodrigues, Rowena, Wright, David, y Wadhwa, Kush. (2013). Developing a privacy seal scheme (that works). International Data Privacy Law, 3 (2).

Saiz Peña, Carlos Alberto. (2019). Seguridad de los datos, evaluación de impacto, códigos de conducta y certificación. En Artemi Rallo Lombarte (ed.), Tratado de Protección de Datos. Actualizado con la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales. València: Tirant lo Blanch.

Tambou, Olivia. (2016). L’Introduction de la certification dans le règlement général de la protection des données personnelles: quelle valeur ajoutée? Revue Lamy de Droit de l’Immatériel.