Desde a entrada em vigor do Regulamento Geral sobre a Proteção de Dados ("RGPD"), a conformidade com a proteção de dados pessoais tornou-se um requisito central para as empresas e administrações públicas activas no território da União Europeia ("UE"). Esta conformidade implica riscos jurídicos e financeiros que não podem ser ignorados pelos responsáveis pelo tratamento de dados e pelos subcontratantes.

O Europrivacy é um sistema de certificação investigado e desenvolvido através do Programa Europeu de Investigação para avaliar, documentar, certificar e valorizar a conformidade com o RGPD e regulamentos complementares em matéria de proteção de dados. É mantido pelo Centro Europeu de Certificação e Privacidade ("ECCP"), no Luxemburgo, sob a supervisão de um Conselho Internacional de Peritos em proteção de dados.

O Europrivacy foi desenvolvido com base na norma ISO/IEC 17065 e no artigo 42.º do RGPD "com o objetivo de demonstrar a conformidade das operações de tratamento efectuadas pelos responsáveis pelo tratamento e pelos subcontratantes com o presente regulamento".

É muito mais do que um simples sistema de certificação. Fornece um conjunto abrangente de recursos e serviços em linha para implementar, melhorar e demonstrar eficazmente a conformidade com a proteção de dados. É apoiado por uma comunidade de parceiros qualificados, uma academia em linha, um sítio Web da comunidade e ferramentas em linha. Apresenta inúmeros benefícios e vantagens.

mbito de aplicação e aplicabilidade

Objetivo: O Europrivacy permite avaliar, documentar, certificar e valorizar a conformidade com o RGPD e regulamentos complementares em matéria de proteção de dados. Em particular, ajuda as empresas e os negócios a:

1. Reduzir os riscos legais e financeiros através da verificação e documentação da conformidade
2. Comunicar e valorizar a conformidade, transformando-a num ativo e numa fonte de criação de valor;
3. Usufruir e manter a conformidade com a certificação Europrivacy e os recursos em linha.
    
4. Serve como mecanismo para transferências internacionais de dados.

O quê:: Graças ao seu modelo híbrido, a Europrivacidade é aplicável a quase todas as actividades de tratamento de dados, incluindo tecnologias inovadoras como a inteligência artificial, as cadeias de blocos, a saúde em linha e a Internet das coisas. Há uma série de exclusões específicas, como os dados biomédicos.

Embora a metodologia Europrivacy possa ser aplicada a diversos objectivos de avaliação, nos termos do art. 42. 42.º do RGPD, apenas as actividades de tratamento de dados podem ser certificadas. Consequentemente, para as jurisdições da UE, não é possível certificar toda uma empresa de uma só vez ou mesmo todo o seu sistema de gestão ao abrigo do RGPD. O lado positivo deste elemento é que a conformidade pode ser certificada progressivamente, começando pelas actividades prioritárias de tratamento de dados e alargando a certificação passo a passo , a mais actividades de tratamento de dados.

Quem: A Europrivacy é aplicável tanto aos responsáveis pelo tratamento de dados como aos subcontratantes.

Onde: O Europrivacy pode ser utilizado em qualquer local para avaliar a conformidade com o RGPD. No entanto, a emissão de certificados não é aplicável a jurisdições que não ofereçam garantias adequadas e suficientes para os direitos e liberdades dos titulares dos dados. Por enquanto, está limitada a requerentes sediados no Espaço Económico Europeu e será alargada em breve a países terceiros.

Extensibilidade: O Europrivacy foi desenvolvido e concebido para ser facilmente extensível a regulamentações nacionais complementares em matéria de proteção de dados,, incluindo regulamentações não comunitárias, bem como a regulamentações específicas de domínios e tecnologias.

Validade: Os certificados são válidos por períodos renováveis de três anos.

Qual versão da certificação Europrivacy escolher

O Europrivacy está disponível em duas versões de critérios:

1. Para a certificação RGPD regular ao abrigo do Art. 42 RGPD
2. Para a certificação de Importador de Dados a utilizar como mecanismo para transferências internacionais de dados ao abrigo do Art. 46 RGPD.

A escolha da versão dos critérios de certificação é simples: se estiver localizado na UE/EEE ou sujeito ao RGPD ao abrigo do Art. 3(2) RGPD por recolher diretamente dados na Europa, deverá utilizar os critérios de certificação regular. Se estiver localizado fora da UE/EEE e não estiver sujeito ao RGPD ao abrigo do Art. 3(2) RGPD, mas processar dados pessoais europeus recebidos de outra entidade, deverá utilizar a certificação para Importadores de Dados. A tabela seguinte resume as opções.

Por fim, se estiver localizado fora da UE/EEE e não processar ativamente dados pessoais europeus, deverá considerar a certificação Interprivacy.

Processo de certificação

O procedimento de certificação pode ser dividido nas seguintes etapas principais:

1. Prepare e documente a sua conformidade com os critérios da Europrivacy com o apoio do pacote boas-vindas de da Europrivacy de recursos e ferramentas e parceiros qualificados para reduzir os seus riscos. Também pode utilizar criteria Extensions para certificar a conformidade com regulamentos adicionais da UE ou nacionais.
2. Certifique a sua conformidade com o tratamento de dados junto de um organismo de certificação qualificado para avaliar e comunicar a sua conformidade. O organismo de certificação deve ser autorizado pelo ECCP e ter uma acreditação válida junto de uma autoridade nacional competente. O certificado é publicado no Registo de Certificados da Europrivacy oficial para permitir a sua autenticação por terceiros e evitar a falsificação.
3. Mantenha, comunique e valorize a sua conformidade  graças a recursos e ferramentas em linha, incluindo diretrizes e modelos de comunicação, actualizações contínuas sobre requisitos de conformidade e auditorias anuais de vigilância.

Modelo de certificação inovador da Europrivacy

O Europrivacy oferece um modelo híbrido inovador de certificação que beneficia das vantagens de um sistema de certificação universal complementado por critérios específicos de um domínio e de uma tecnologia, de acordo com a natureza do objetivo de avaliação.

Critérios essenciais do RGPD (G/GI): O processo de certificação começa sempre com a lista de Critérios Fundamentais do RGPD da Europrivacy, que engloba as várias obrigações do RGPD, conforme explicado abaixo:

C - Verificações e controlos complementares: Os critérios fundamentais são completados por verificações e controlos complementares, para avaliar a conformidade com as obrigações específicas do domínio e da tecnologia que podem aplicar-se ao objetivo da avaliação.

T - Medidas técnicas e organizativas: As verificações e controlos das medidas técnicas e organizacionais visam avaliar a adequação das medidas em vigor para proteger os dados processados. Exceto no caso do tratamento de dados de alto risco, pode ser substituído por um certificado ISO/IEC 27001 válido que abranja o objetivo da avaliação.

S - Lista de controlo das auditorias de vigilância: São especificados alguns critérios adicionais para as auditorias de controlo, a fim de avaliar e assegurar o cumprimento contínuo ao longo do tempo.

N - Obrigações nacionais: A Europrivacy apoia a avaliação da conformidade com as obrigações nacionais complementares através de vários instrumentos:

• Perfis de obrigações nacionais para cada um dos Estados-Membros do Espaço Económico Europeu. Estes recursos podem ser utilizados para preparar um Relatório Nacional de Avaliação do Cumprimento das Obrigações (NOCAR).
• Extensão dos critérios nacionais da Europrivacy para avaliar e certificar a conformidade de um objetivo de avaliação com a regulamentação nacional complementar em matéria de proteção de dados. Estas extensões são opcionais e utilizadas numa base voluntária para alargar uma certificação Europrivacy à(s) jurisdição(ões) não comunitária(s) correspondente(s).
• Análise de Potencial Conflito de Leis para avaliar se a legislação nacional aplicável ao Requerente em países terceiros o impediria de cumprir o RGPD e os requisitos de certificação.