Metodología de Evaluación de los Esquemas de Certificación de Protección de Datos

La Metodología de Evaluación de los Esquemas de Certificación (AMDPCS) es una metodología eficaz para evaluar y comparar la calidad y fiabilidad de diversos esquemas de certificación sobre la base de criterios fácticos. Se centra en los esquemas de certificación relacionados con la protección de datos y el cumplimiento de la normativa sobre datos, pero puede adaptarse y ampliarse a otras categorías de esquemas de certificación. Tiene en cuenta diferentes dimensiones:

Requisitos para un esquema de certificación fiable

Para que un esquema de certificación sea digno de confianza y fiable, debe satisfacer varios requisitos clave:

1. Validez jurídica: ¿está reconocida formalmente por la ley? Existe una diferencia fundamental entre: (1) los criterios desarrollados de forma interna, (2) los criterios desarrollados por un organismo de normalización, y (3) los criterios que han sido reconocidos formal y oficialmente por la ley o por la autoridad competente en materia de protección de datos como legalmente válidos.
2. Exhaustividad: ¿cubre todas las obligaciones o presenta vacíos? Puede resultar tentador para un esquema de certificación centrarse sólo en una parte de las obligaciones reglamentarias. Eso puede hacer que la certificación sea ligera de implementar, pero constituye una debilidad importante que expone a las empresas a riesgos legales, financieros y de reputación. Una buena indicación es el número de controles: cuanto más exhaustivos, mejor para reducir eficazmente tus riesgos.
3. Ámbito de aplicación: ¿es aplicable a todos los tratamientos de datos o sólo a algunos en concreto? Un esquema de certificación puede ser reconocido sólo para funciones específicas (es decir, sólo para encargados del tratamiento de datos) y/o actividades específicas de tratamiento de datos. Cuanto más restringido sea el esquema, menos podrás utilizarlo como referencial común para todo el procesamiento de datos, y más costoso te resultará manejar requisitos heterogéneos.
4. Ámbito geográfico: ¿cuál es el reconocimiento mundial del Esquema? Un esquema de certificación puede ser reconocido: (1) sólo en un país, (2) en un continente, o (3) en varios continentes. Cuanto mayor sea el ámbito geográfico, mejor, ya que ampliará el reconocimiento de tu certificación por un mayor número de autoridades.
5. Control del cumplimiento: ¿es necesario tener a alguien encargado del cumplimiento? Una certificación proporciona información de que un determinado objetivo de evaluación cumplía los criterios del esquema en el momento de la auditoría. Garantizar el cumplimiento continuo requiere tener al menos una persona encargada de ello. Un esquema fiable requerirá tener a un responsable de este tipo en la organización del Aplicante.
6. Sin dependencia del proveedor: ¿te permite elegir entre diversos proveedores de servicios? Un esquema de certificación puede ser desarrollado por una sola empresa que venda servicios basados en su esquema. Puede ser suministrado por unos pocos proveedores de servicios o por un gran ecosistema de proveedores de servicios. Una posición monopolística del organismo de certificación constituye un riesgo para el Aplicante en términos de calidad del servicio, costes y dependencia.
7. Acceso a la documentación: ¿hasta qué punto es accesible la documentación? Prepararse para la certificación requiere acceder a formación, documentación y apoyo. La falta de apoyo o documentación puede obstaculizar la capacidad de preparar adecuadamente una certificación y aumentará el riesgo de interpretaciones divergentes entre los auditores y sus clientes.
8. Apoyo a la implantación: ¿cuánto apoyo puedes obtener? Prepararse para la certificación puede requerir apoyo externo. La falta de apoyo externo puede obstaculizar la capacidad de preparar adecuadamente una certificación.