A CNPD, Comissão Nacional de Proteção de Dados, adotou um mecanismo próprio de certificação, o GDPR-CARPA, em Luxemburgo, sendo este o primeiro mecanismo de certificação adotado a nível nacional em adequação com a GDPR.
Após ter sido duramente criticada por muito tempo por não ter adotado nenhuma sanção financeira, a CNPD inovou e foi pioneira no cenário de proteção de dados, ao adotar o primeiro sistema de certificação de toda Europa para um regulador – certificação esta que pertence à CNPD -, o que tornará possível que todos os colaboradores, associações, instituições e empresas consigam provar que estão cumprindo com as diretrizes da GDPR.
O fato de implementar esse mecanismo traz mais credibilidade, visto que denota maior transparência, permitindo aos usuários que tenham ferramentas para avaliar se os sistemas das organizações tratam seus dados da forma adequada, dentro dos padrões estipulados pela regulamentação.
Apesar do mecanismo de certificação não certificar toda a organização, é importante ressaltar que certifica as operações de processamento específicas, além de ressaltar que essa certificação se baseia nas normas ISAE 3000, ISCQ1 e ISO 17065, normas estas que enquadram o trabalho feito pelo sistema de certificação e auditores profissionais.
Inclusive a peculiaridade desse mecanismo da CNPD é o fato de que se baseia num relatório ISAE 3000 Tipo 2, que permite auxiliar na correta implementação do mecanismo de controle, responsabilizando o auditor formalmente, garantindo assim, um nível de confiança acima da média, que é um fator fundamental dentro do cenário da GDPR.
“As inúmeras trocas que a CNPD teve com profissionais de auditoria desde que o GDPR entrou em vigor em 2018 ajudaram a determinar o valor, bem como o tipo de certificação GDPR que poderia ser útil no ecossistema luxemburguês”, disse a CNPD sobre seu novo mecanismo.
Em comunicado, a CNPD também disse: “Em concertação com estes atores, a CNPD desenvolveu uma primeira versão do seu mecanismo de certificação. Posteriormente, as outras autoridades europeias de proteção de dados examinaram esses critérios sob o mecanismo de consistência e o Conselho Europeu de Proteção de Dados (EDPB)”.
O papel dos mecanismos de certificação na GDPR
Os mecanismos de certificação de proteção de dados existem para a comprovação da conformidade com o qual são tratados os dados pessoais, com o objetivo de demonstrar o cumprimento da regulamentação por parte de controladores e processadores.
Em Luxemburgo, a CNDP possui o papel de credenciar esses sistemas de certificação GDPR, tendo como critérios para credenciamento os baseados nas normas ISAE 3000 (auditoria), ISCQ1 (controle de qualidade de organismos de auditoria) e na norma ISO 17065 (credenciamento de organismos de certificação).
O fato é que, os consumidores estão mais exigentes no que se refere aos seus dados pessoais e eles querem transparência, sendo hoje a forma como as empresas tratam e armazenam dados pessoais um fator de análise sobre se esse consumidor vai ou não criar e manter um relacionamento com essa empresa.
Aos poucos, os critérios sobre segurança de dados estão sendo incluídos no comportamento de compra dos consumidores, o que significa que, empresas que não estão neste momento pensando em formas de trabalhar de forma transparente, já estão a um passo atrás.
Nesse contexto em que a proteção de dados tem virado uma prioridade, a criação de mecanismos de certificação de modo a trazer mais verdade aos processos são muito mais que bem-vindos.