El RGPD prevé que las certificaciones en materia de protección de datos serán expedidas por organismos de certificación que han de ser acreditados por la autoridad de control competente y/o por el organismo nacional de acreditación designado, de conformidad con el Reglamento (CE) n.º 765/2008 del Parlamento Europeo y del Consejo con arreglo a la norma ISO/ IEC 17065/2012 Evaluación de la conformidad – Requisitos para organismos que certifican productos, procesos y servicios y a los requisitos adicionales establecidos por la autoridad de control competente.
El Convenio tiene por objeto que la AEPD y ENAC colaboren y coordinen sus actuaciones para acreditar que un organismo de certificación cumple con los requisitos establecidos por la norma ISO/IEC 17065/2012 y el artículo 43 del RGPD, para la expedición de certificaciones de conformidad con el artículo 42 del RGPD.
En virtud del Convenio, ENAC llevará a cabo, entre otras, acciones como colaborar con la AEPD para elaborar los requisitos de acreditación de los organismos de certificación; acreditar a los organismos de certificación previstos en el artículo 43 del RGPD y comunicar a la AEPD, entre otra información, las acreditaciones efectuadas y su fecha, incluidas las renovaciones; las suspensiones y revocaciones (retiradas) de las acreditaciones, así como otra información y documentación de interés para la AEPD.
ENAC será el organismo de acreditación que evalúe y acredite a los organismos de certificación aplicando sus criterios y los procedimientos previstos en el artículo 43 del RGPD, sobre la base de los requisitos aprobados por la AEPD o por el Comité Europeo de Protección de Datos (CEPD).
Por su parte, la AEPD se compromete, entre otras acciones, a comunicar a ENAC las actualizaciones sobre los desarrollos regulatorios y de criterios sobre el objeto del convenio de los que tenga conocimiento, así como las que se produzcan sobre los esquemas de certificación aprobados a nivel nacional y ante el CEPD. Y también a comunicarle el resultado de las actividades de supervisión sobre entidades de certificación.
El Convenio tiene un plazo de vigencia de cuatro años desde la fecha de inscripción en el Registro Electrónico estatal de Órganos e Instrumentos de Cooperación del sector público estatal, pudiendo acordar la AEPD y ENAC su prórroga por un periodo de hasta cuatro años adicionales o su extinción antes de la finalización del período de cuatro años de vigencia inicial.
En materia de certificación en protección de datos, el Convenio es importante porque permitirá a las organizaciones que lo deseen poder obtener una certificación de un organismo de certificación acreditado por ENAC. Las certificaciones, en los términos previstos en el artículo 42.7 del RGPD, tendrán una duración máxima de tres años, pudiendo ser renovadas en las mismas condiciones cuando se cumpla con los requisitos aplicables.
Las certificaciones acreditadas por ENAC, que habrán sido emitidas por un organismo de certificación que cumpla con los requisitos previstos en el artículo 43.2 del RGPD, conviven con el Sello Europeo de Protección de Datos, que puede obtenerse cuando los criterios de certificación hayan sido aprobados por el CEPD.
En la práctica será necesario que las organizaciones que deseen obtener una certificación en protección de datos tengan en cuenta, entre otras cuestiones, si la certificación que van a obtener está pensada o no para las transferencias internacionales de datos. En este último caso dicha certificación no proporciona las salvaguardas adecuadas que se requieren para poder llevar a cabo una transferencia internacional de datos a un tercer país fuera del Espacio Económico Europeo sin nivel adecuado sobre la base de una certificación aprobada conforme al RGPD. Es cada organización la que debe evaluar, caso por caso, cuáles son sus necesidades y cuál es la finalidad de la certificación en protección de datos que pretende obtener.
Tanto las certificaciones acreditadas por entidades nacionales de acreditación como los Sellos Europeos de Protección de Datos son objeto de publicación por el CEPD a través del registro creado al efecto y que se puede consultar aquí. A comienzos de febrero de 2026, en dicho registro de mecanismos de certificación, sellos y marcas de protección de datos constaban un total de once (11) instrumentos, de los cuales tres (3) eran criterios para Sellos Europeos de Protección de Datos y ocho (8) criterios para certificaciones nacionales en protección de datos. Con la adopción del Convenio con ENAC cabe esperar que próximamente la AEPD comunique al CEPD la creación de certificaciones españolas en protección de datos.
