REGLAMENTO CERTIFICACION DE PERSONAS

Transcripción

1 REGLAMENTO CERTIFICACION DE PERSONAS Esta especificación ha sido preparada por ANF AC, en el marco de la prestación de sus servicios. Control del documento: Nivel de Seguridad PÚBLICA Versión Fecha creación / modificación Autor /10/01 A.Díaz / Ignacio Larena Versión Propuesto por Aprobado por Fecha modificación Fecha Aprobación Autor 1.1 Dpto. Jurídico Junta Rectora de la PKI 2017/11/ /11/27 MC. Mateo 1.2 Dpto. Jurídico Junta Rectora de la PKI 2017/11/ /11/28 MC. Mateo Elaborado en conformidad con el Esquema de Certificación de la AEPD para DPD versión 1.1, de 2 de octubre 2017, y la norma UNE-EN ISO/IEC 17024:2012 Este documento es propiedad de ANF Autoridad de Certificación. Está prohibida su reproducción y difusión sin autorización expresa de ANF Autoridad de Certificación - Copyright 2017 ANF Autoridad de Certificación - 1 OID

2 INDICE. 1. OBJETO.... Error! Marcador no definido. 2. ALCANCE.... Error! Marcador no definido. 3. ACRÓNIMOS Y DEFINICIONES.... Error! Marcador no definido. 4. CONFIDENCIALIDAD E IMPARCIALIDAD.... Error! Marcador no definido. 5. POLÍTICA DE CONFIDENCIALIDAD E IMPARCIALIDAD... Error! Marcador no definido. 6. GENERALIDADES DEL PROCESO DE CERTIFICACIÓN... Error! Marcador no definido. 7. PRERREQUISITOS... Error! Marcador no definido. 8. CRITERIOS DE CERTIFICACIÓN.... Error! Marcador no definido Certificado inicial.... Error! Marcador no definido Concesión del Certificado.... Error! Marcador no definido Mantenimiento.... Error! Marcador no definido Renovación del Certificado.... Error! Marcador no definido Cambio en el Esquema -evaluación complementaria TIPOS DE SOLICITUD.... Error! Marcador no definido. 9.1 Certificación.... Error! Marcador no definido. 9.2 Seguimiento de la Certificación.... Error! Marcador no definido. 9.3 Renovación de la Certificación.... Error! Marcador no definido. 10. SUSPENSIÓN Y RETIRADA DE LA CERTIFICACIÓN.... Error! Marcador no definido Suspensión temporal voluntaria.... Error! Marcador no definido Suspensión temporal por conductas contrarias al esquema.... Error! Marcador no definido Retirada de la Certificación.... Error! Marcador no definido. 11. DERECHOS Y OBLIGACIONES DE LAS PERSONAS CERTIFICADAS.... Error! Marcador no definido Derechos.... Error! Marcador no definido Obligaciones.... Error! Marcador no definido. 2 OID

3 12 INFORMACIÓN SOBRE LAS PERSONAS CERTIFICADAS... Error! Marcador no definido. 13. CÓDIGO DE CONDUCTA.... Error! Marcador no definido Derecjos de los solicitantes y candidatos... Error! Marcador no definido Deberes de los solicitantes y candidatos.... Error! Marcador no definido. 14. QUEJAS Y APELACIONES.... Error! Marcador no definido. 15. COMITÉ DE SELECCIÓN.... Error! Marcador no definido Procedimiento de selección y designación de Evaluadores.... Error! Marcador no definido Registro y procedimientos de trabajo.... Error! Marcador no definido Requisitos de evaluadores.... Error! Marcador no definido Méritos... Error! Marcador no definido Incompatibilidades y exclusiones... Error! Marcador no definido Funciones del evaluador.... Error! Marcador no definido Procedimiento de selección.... Error! Marcador no definido. 16. TARIFAS.... Error! Marcador no definido. 17. ADMINISTRACIÓN DEL REGLAMENTO.... Error! Marcador no definido Publicación.... Error! Marcador no definido. 18. INFORMACIÓN SOBRE LAS PERSONAS CERTFICADAS.... Error! Marcador no definido. 3 OID

4 1. OBJETIVO Establecer las reglas de ANF AC como entidad de certificación de personas bajo los lineamientos de la norma ISO IEC 17024:2012 para el otorgamiento, mantenimiento, renovación, suspensión o retirada de la certificación de personas en el ejercicio profesional Delegado de Protección de Datos, en conformidad con el Esquema de Certificación de la Agencia Española de Protección de Datos versión 1.1, de 2 de octubre OID

5 2. ALCANCE Este Reglamento aplica a: todo el personal involucrado en el proceso de certificación, ya sea personal interno o colaboradores externos; solicitantes y candidatos interesados en someterse al proceso de evaluación de la conformidad del Esquema de Certificación AEPD-DPD, y todos los Delegados de Protección de Datos Certificados. 5 OID

6 3. ACRÓNIMOS Y DEFINICIONES ACRÓNICOS UTILIZADOS EN EL DOCUMENTO Acrónimo AEPD ANF AC EC ENAC EC-AEPD-DPD RI RIS RSG RTSC Nombre Agencia Española de Protección de Datos ANF Autoridad de Certificación Entidad de Certificación referida a ANF AC Entidad Nacional de Acreditación Esquema de Certificación de Delegados de Protección de Datos de la AEPD versión 1.1 de 2 de octubre 2017 Responsable de Informática Responsable de Infraestructura de Sistemas Responsable de Sistema de Gestión Responsable Técnico del Sistema de Certificación DEFINICIONES AEPD: Es el propietario del Esquema. Es responsable de promover su desarrollo, revisión y validación continua y autoriza al resto de los agentes para formar parte activa del mismo. Apelación: Solicitud presentada por un solicitante, candidato o persona certificada, para que se reconsidere cualquier decisión tomada por el organismo de certificación relacionada con su estado de certificación deseado. Certificado: 6 OID

7 Documento emitido por un organismo de certificación según las disposiciones de esta Norma Internacional, que indica que la persona mencionada ha cumplido los requisitos de certificación. Competencia: Capacidad para aplicar conocimientos y habilidades para lograr los resultados previstos. Calificación: Educación, formación y experiencia laboral demostrada, cuando sea aplicable. Convocatoria: Se entiende el anuncio de la realización de las pruebas de evaluación en una fecha y centro de examen determinados. Equidad: Igualdad de oportunidades de éxito proporcionada a cada candidato en el proceso de certificación. ENAC: Es designada por la AEPD como organismo único para la acreditación de las entidades de certificación que deseen participar en el Esquema, teniendo presente tanto los requisitos de la norma UNE-EN ISO/IEC 17024:2012, como los requisitos específicos definidos por el Esquema. Entidad de certificación (EC): A efectos de este Reglamento es ANF AC. Ofrece la certificación bajo acreditación ENAC y de acuerdo con el Esquema de Certificación AEPD-DPD v.1.1, y la norma UNE-EN ISO/IEC 17024:2012, para la categoría de Delegado de Protección de Datos. Entidad de formación (EF): Son las entidades que ofertan una formación que satisfaga los requisitos previos de la certificación y, que a efectos de este Reglamento, sus programas de formación han sido sometidos a reconocimiento por esta EC. Esquema de certificación: Competencia y otros requisitos relacionados con las categorías de ocupaciones específicas o habilidades de personas. 7 OID

8 NOTA: Esquema Certificación de propiedad de la Agencia Española de Protección de Datos para DPD. Evaluación: Proceso que evalúa el cumplimiento de una persona con los requisitos del esquema de certificación. Evaluadores: Son profesionales independientes del Esquema con formación y experiencia profesional equivalente o superior al candidato a certificar, con capacidad de evaluar las pruebas del método de evaluación. Han de garantizar la independencia de criterio, emitiendo un informe con el resultado de la evaluación en el cual se basa la decisión de concesión del certificado al candidato evaluado. Examen: Mecanismo que es parte de la evaluación, que mide la competencia de un candidato por uno o varios medios, tales como escritos, orales, prácticos y por observación, como se define en el esquema de certificación. Fiabilidad: Indicador del grado de concordancia entre las calificaciones del examen correspondientes a diferentes momentos y lugares de examen, diferentes formas de examen y diferentes examinadores. Imparcialidad: Presencia de objetividad. NOTA 1 Objetividad significa que no existen conflictos de intereses o que son resueltos de manera que no influyan negativamente en las posteriores actividades del organismo de certificación. NOTA 2 Otros términos que son útiles para expresar el elemento de imparcialidad son: independencia, ausencia de conflicto de intereses, ausencia de sesgo, carencia de prejuicios, neutralidad, honradez, actitud abierta, ecuanimidad, actitud desinteresada, equilibrio. Proceso de certificación: Las actividades por las que un organismo de certificación determina que una persona cumple los requisitos de certificación, que incluyen la solicitud, la 8 OID

9 evaluación, la decisión de certificación, la renovación de la certificación y el uso de certificados y logotipos/marcas. Queja: Expresión de insatisfacción, distinta de una apelación, presentada por un individuo u organización a un organismo de certificación, relacionada con las actividades de dicho organismo o persona certificada, para la que se espera una respuesta. NOTA Adaptada de la Norma ISO/IEC 17000:2004, definición 6.5. Propietario del esquema: Organización que es responsable de desarrollar y mantener un esquema de certificación. El propietario del Esquema de Certificación es AEPD. Requisitos de certificación: Conjunto de requisitos especificados, incluidos los requisitos del esquema, que se deben cumplir con el fin de establecer o mantener la certificación. Supervisores: Son personas autorizadas por la entidad de certificación que administra o supervisa un examen pero no evalúa la competencia del candidato. NOTA Otros términos para supervisor son administrador de examen, vigilante. Validez: Evidencia de que la evaluación mide lo que se intenta medir como se define en el esquema de certificación. NOTA En esta Norma Internacional validez también se utiliza con el significado del adjetivo válido. Vigilancia: Seguimiento periódico, durante los períodos de certificación, del desempeño de una persona certificada para asegurar el cumplimiento continuo con el esquema de certificación. 9 OID

10 4. CONFIDENCIALIDAD E IMPARCIALIDAD Todos los documentos empleados para desarrollar el proceso de certificación y aquellos que fueron o son generados durante el proceso de pruebas (pruebas de exámenes teóricos, prácticos, entre otros), se constituyen en evidencias oficiales por lo que su contenido es confidencial. En cumplimiento con la legislación vigente en materia de protección de datos, ANF AC es el Responsable del Tratamiento. ANF AC dispone de medidas de seguridad y procedimientos documentados adecuados para la salvaguarda de la información personal cuyo tratamiento realiza ANF AC, así como medidas que facilitan el ejercicio de los derechos de los propietarios de los datos. ANF AC, ha documentado su estructura, políticas y procedimientos para gestionar de forma adecuada el proceso de certificación, y asegurarse de que las actividades de certificación se realizan con independencia e imparcialidad. ANF AC, cuenta con un compromiso de imparcialidad por parte de la Alta Dirección de las actividades de certificación, y de igual forma todo el personal involucrado en el proceso de certificación antes de iniciar su colaboración con la Entidad de Certificación asume el correspondiente compromiso de imparcialidad. Estos compromisos quedan recogidos en OID Análisis de Imparcialidad y anexos. ANF AC, cuenta con una Política de imparcialidad accesible al público, de libre distribución, por la cual se reconoce la importancia de la independencia, imparcialidad e integridad en la realización de sus actividades de certificación, gestiona a su vez, los conflictos de intereses y asegura la objetividad de sus actividades de certificación. ANF AC, cuenta con un Código Ético accesible al público, de libre distribución, que es suscrito por todo el personal involucrado en el proceso de certificación, por el 10 OID

11 cual se reconoce la importancia de la independencia, imparcialidad, integridad profesionalidad, honestidad y rigor en el ejercicio de sus actividades profesionales. Este código refleja la cultura de ANF AC y los fines de la organización en la sociedad. ANF AC, cuenta con un Código Conducta accesible al público, de libre distribución, que es suscrito por todo el personal involucrado en el proceso de certificación, que define los principios y filosofía de empresa de ANF AC. ANF AC, cuenta con un Acuerdo de Confidencialidad, que es suscrito por todo el personal involucrado en el proceso de certificación. ANF AC, actúa de manera imparcial en relación con sus solicitantes, sus candidatos y personas certificadas. Prohíbe operar los servicios de modo discriminatorio. El acceso a sus servicios no se condiciona a la relevancia personal, ya sea económica o por renombre social, tampoco por membresía a cualquier asociación o grupo; ni tampoco está condicionada por el número de personas evaluadas, o por razón de etnia, sexo, u otras peculiaridades personales. ANF AC, no restringe el acceso a la certificación por razones financieras u otras condiciones limitantes indebidas. De otra parte, no se utilizan procedimientos destinados a limitar o impedir, de forma arbitraria, el acceso de solicitantes y candidatos a una certificación. ANF AC, es responsable de la imparcialidad de sus actividades de certificación y no permite que presiones comerciales, financieras o de otra índole comprometan dicha imparcialidad. ANF AC, ha identificado las amenazas para su imparcialidad, incluyendo aquellas amenazas que se derivan de sus actividades, las relaciones con los organismos relacionados, sus relaciones o las relaciones de su personal. 11 OID

12 ANF AC, analiza, documenta y elimina o minimiza los conflictos de intereses potenciales que surjan de sus actividades de certificación. Todas las fuentes potenciales de conflictos de intereses identificadas serán cubiertas como parte de las responsabilidades como Entidad de Certificación. ANF AC, no realiza funciones de formación relacionadas con la actividad profesional de Delegado de Protección de Datos. ANF AC, tampoco permite el acceso al conocimiento experto en materia de evaluación o certificación de personas, todo lo cual podría presuponer riesgo de pérdida de independencia. ANF AC, instruye a su personal, controla y establece que el proceso de evaluación no se hace más simple, fácil, o rápido cuando los candidatos recurren a determinadas entidades de formación, o son contratan a profesores formados por ANF AC, o pertenecen a organizaciones Partner Colaborador de ANF AC, o adquieren Libros de conocimiento DPD editados por ANF AC. 12 OID

13 5. POLÍTICA DE CONFIDENCIALIDAD E IMPARCIALIDAD ANF AC, reconoce como partes interesadas en esta Política: Junta Rectora de ANF AC La Junta Rectora es el máximo órgano de control de ANF AC. Sus principales cometidos son: o revisar los informes de conformidad de candidatos a DPD APTO, y emitir el acta de aprobación o denegación de emisión del correspondiente certificado, modelo OID ; o revisar los informes de evaluación de Entidades de Formación APTO por los auditores de la EC ANF AC y, en su caso, emitir acta de habilitación OID ; o firmar los Certificados DPD y ordenar al RTSC su entrega a los interesados; o analizar los informes y las medidas disciplinarias que les son sometidos a juicio y, adoptar las decisiones correspondientes; o analizar y en su caso aprobar, las solicitudes de modificación de los documentos publicados por la Entidad de Certificación, emitiendo el acta correspondiente OID y trasladándola al Departamento Jurídico. o Establecer las tasas de la Entidad de Certificación. o Aprobar los modelos de Contrato empleados por la Entidad de Certificación. o Analizar los informes que recibe de la Dirección Ejecutiva y, adoptar la decisión que corresponda. o Nombrar y dirigir a los miembros de la Dirección Ejecutiva, estableciendo sus respectivos ámbitos de responsabilidad. o Notificar a los Organismos de Control aquellas incidencias que requieran su conocimiento. 13 OID

14 o Comunica formalmente a la Agencia de Control las acreditaciones que expide, así como las decisiones de suspensión y retirada de certificación que adopta. Entidad de Certificación recursos internos - Dirección Ejecutiva Director General Además de las labores propias que su cargo implica, asume: o La dirección del Comité de Selección. o Nombrar autores internos. o Asumir la representación de la EC en calidad de Responsable de la Entidad Certificadora, y suscribir los certificados aprobados por la Junta Rectora, como miembro designado por la misma. o La responsabilidad de determinar las Convocatorias de Examen, y si fuera necesario establecer el número máximo de candidatos. o Comunicar a la AEPD con tres meses de antelación, la fecha de convocatoria de examen. o Determinar si se ha publicado una nueva versión de la norma UNE-EN ISO/IEC 17024:2012 v.1.1, o si se han producido acontecimientos de índole interno o de mercado, haga recomendable llevar a cabo una modificación de aquellos documentos publicados por la Entidad de Certificación que se vean afectados. Elaborar el correspondiente informe con propuesta de cambios que será remitido a la Junta Rectora para su aprobación. o Analizar las necesidades de recursos materiales y humanos, elaborar el correspondiente informe y solicita su aprobación a la Junta Rectora. o Analiza el presupuesto que se debe dotar para cada Departamento, elabora el correspondiente informe y solicitar su aprobación a la Junta Rectora. 14 OID

15 o Determinar la necesidad de contratación de colaboradores externos, elaborar el correspondiente informe y solicitar su aprobación a la Junta Rectora. o Nombrar y dirigir a los Responsables de área, y a los Evaluadores. o Analizar los informes que recibe de los Responsables de área y, tomar la decisión que corresponda. Director Jurídico Además de las labores propias de su cargo, es responsable de: o Supervisar y en su caso dirigir los procesos abiertos a raíz de quejas, denuncias u infracciones que se han podido producir. o Asumir la representación de la EC en calidad de Responsable competente de la Entidad Certificadora, y suscribir los certificados aprobados por la Junta Rectora, como miembro designado por la misma. o Elaborar el correspondiente informe según modelo OID , y proponer a la Junta Rectora, la adopción de las sanciones que correspondan según gravedad de la infracción cometida. o Llevar a cabo cuantas acciones sean menester para aplicar las medidas disciplinarias ordenadas por la Junta Rectora, e incorpora al expediente del interesado todos los documentos asociados al procedimiento. o Determinar si se han producido novedades legislativas y en especial, si la AEPD ha publicado una nueva versión del Esquema de Certificación, a fin de elaborar el correspondiente informe y, en su caso, propuesta de modificación de aquellos documentos publicados por la Entidad de Certificación que se vean afectados. El informe será remitido a la Junta Rectora para su aprobación. Responsables de las áreas de ANF AC PKI Responsable de Sistema de Gestión [RSG] 15 OID

16 Tiene la responsabilidad de planificar, coordinar y controlar el conjunto de los procedimientos administrativos, facturación, atención comercial, soporte a clientes. Supervisa y controla el sistema integral de gestión de la Entidad de Certificación, en especial en el ámbito de la gestión de la calidad, la gestión de los impactos medioambientales y de los sistemas de la seguridad. Principales tareas: o Publicar las Convocatorias de Examen ordenadas por la Dirección General, según modelo OID o o o o o o o o o o Informa periódicamente al Director General de ANF AC del estado y mejora del Sistema Integral de Gestión, en sus respectivas áreas de responsabilidad. Establece y gestiona la aplicación de les normas de Calidad, Medioambiente y Seguridad en todos los procesos de contratados con terceros, tomando como norma referencia las normas ISO correspondientes. Reporta las incidencias al Director General. Realiza auditorías internas de aquellas áreas en las que no ha participado directa o indirectamente, elaborando el correspondiente informe y haciendo entrega al Director General. Elabora una propuesta de objetivos y metas de Calidad, Medioambiente y Seguridad, así como un programa para su consecución. Identifica no conformidades. Realiza un seguimiento de la eficacia de las acciones correctivas y/o preventivas propuestas. Establece un Plan de Formación Continua para todos los empleados de su área de responsabilidad, y asume el control del mismo. Establece un Plan de Formación para profesores de RGPD basados en material didáctico desarrollado por ANF AC. Define roles y responsabilidades para todos los empleados de la División Entidad de Certificación. 16 OID

17 o Analiza y busca soluciones a los posibles problemas de calidad que sean detectados. o Coordina los Servicios de Asistencia Comercial y Técnica. o Adopta en todo momento las medidas establecidas en las políticas de la empresa, y exige que se sigan los procedimientos de seguridad de ANF AC. o Coordina y controla todos los aspectos relacionados con la logística, recursos y en especial, es responsable de supervisar que el examen que realiza el candidato reúne los requerimientos establecidos por la Entidad de Certificación. o Gestiona y custodia la documentación de ANF AC. o Analiza la necesidad de recursos materiales y humanos para el adecuado funcionamiento de la Entidad de Certificación, elabora el informe correspondiente y hace entrega del mismo al Director General. Responsable Técnico del Sistema de Certificación [RTSC] Es responsable de la gestión integral de todos los procesos que afectan directamente a la actividad de certificación y personal directamente implicado en el procedimiento de certificación. Principales tareas: o Supervisa la recepción de formularios de solicitud y documentación acreditativa de prerrequisitos. o Abre un nuevo expediente para cada solicitante. o Solicita del Departamento financiero acta OID conforme no existe relación comercial alguna con el candidato. o Solicita del Departamento de RRHH acta OID que no consta conocimiento alguno del candidato con personal de ANF AC. o Comprueba en sus Registros, que el candidato no tiene algún aspecto que ocasione su rechazo. Acta OID o Realiza valoración de conformidad de las solicitudes y emite acta de: aprobación, solicitud de documentación complementaria, o rechazo. Informa por escrito al candidato y se responsabiliza de que todo ello 17 OID

18 quede anotado en el expediente del interesado. Acta OID o En el caso de solicitud de documentación complementaria, determina el plazo máximo, superado el mismo sin que el candidato haya subsanado la deficiencia, determina la denegación de la solicitud y comunica al solicitante. Acta OID o Solicita del Departamento financiero acta OID conforme que las tasas han sido efectivamente abonadas, y comunica al candidato cualquier anomalía al respecto. o Gestiona el control de inscripciones de candidatos en las Convocatorias. Comunicando al candidato por escrito la fecha, hora y lugar de la Convocatoria en la que ha sido inscrito. Acta OID o Gestiona el resultado de las evaluaciones de examen, tanto las elaboradas automáticamente por el sistema informático (test), como las elaboradas por el Evaluador. El resultado del examen es comunicado por escrito al candidato, acta para candidatos APTO OID Acta para candidatos NO APTO OID o Atiende las revisiones/apelaciones de los candidatos respecto al resultado de la evaluación de su examen, dando curso según proceda de acuerdo con este Reglamento y Política de Examen. El candidato deberá realizar su revisión en formulario modelo OID , y cuando se trate de una apelación al comité de expertos, deberá tramitarla con el formulario de apelación Apelación. Verifica que la tasa de revisión por parte del Comité de Expertos ha sido abonada, y da traslado de la documentación al miembro que por turno de reparto le corresponda. Acta OID o Es responsable de comunicar por escrito el resultado de las revisiones a los candidatos, para ello utilizará el Acta OID OID

19 o Es responsable de la gestión administrativa de los candidatos que han recibido la calificación de APTO, verificando que el expediente incluye todos los documentos debidamente suscritos por el Candidato y que se han atendido todos los requerimientos para poder solicitar a la Junta Rectora la autorización de emisión del certificado. Para ello elabora: Certificado de Delegado de Protección de Datos OID , que incluye todos los datos y circunstancias relativas al candidato, pendiente de firma de la Junta Rectora. Informe de Conformidad de Candidato APTO en el que se relacionan todos los documentos que han sido verificados en conformidad, modelo OID o Realiza auditorías internas de aquellas áreas en las que no ha participado directa o indirectamente, elaborando el correspondiente informe y haciendo entrega al Director General. o Establece un Plan de Formación Continua para todos los empleados de su área de responsabilidad, y asume el control del mismo. o Supervisa, custodia y registra las actas de autorización de emisión de certificado aprobadas. o Hace entrega de los certificados firmados por la Junta Rectora a los Delegados de Protección de Datos certificados. o Comunica a la AEPD las certificaciones aprobadas. o Asume la administración y mantenimiento del registro público de DPD certificados. o Asume la administración y mantenimiento del registro de Evaluadores. o Asume la administración y mantenimiento del registro de Entidades de Formación cuyos programas de formación han sido habilitados. o Supervisa y coordina toda la infraestructura técnica de sistemas, incluidos certificados electrónicos, plataforma de credenciales, 19 OID

20 dispositivos criptográficos e infraestructura técnica del sistema de evaluación. o Adopta en todo momento las medidas establecidas en las políticas de la empresa, y exige que se sigan los procedimientos de seguridad de ANF AC. o Analiza la necesidad de recursos materiales y humanos para el adecuado funcionamiento de la Entidad de Certificación, elabora el informe correspondiente y hace entrega del mismo al Director General. Responsable de Informática y Sistemas [RIS] Asume el diseño, desarrollo, implantación, puesta en explotación y administración de toda la infraestructura de aplicaciones software de la Entidad de Certificación. Principales tareas: o Adopta en todo momento las medidas establecidas en las políticas de la empresa, y exige que se sigan los procedimientos de seguridad de ANF AC. o Analiza la necesidad de recursos materiales y humanos para el adecuado funcionamiento de la Entidad de Certificación, elabora el informe correspondiente y hace entrega del mismo al Director General. o Asume la implantación, puesta en explotación y administración de toda la infraestructura de telecomunicaciones, mantenimiento de redes y servidores de la Entidad de Certificación. Personal básico involucrado en el proceso de certificación: operadores administrativos, supervisores, teleoperadoras, diseñadores, etc. Colaboradores externos que, de una u otra forma, participan colaboran en los procesos de certificación. Este personal está bajo el control y supervisión de un Responsable de área, y todos ellos están dotados de credenciales electrónicas. Comité de Selección Se trata de un órgano interno sujeto a la normativa interna y del Esquema para realizar la selección de los evaluadores. 20 OID

21 Comité de Expertos Se trata de un órgano independiente con normas que regulan su operativa. Está formado por un mínimo de tres expertos: un presidente y vocales. El Comité de Expertos tiene la responsabilidad de: elaborar las preguntas que conforman los exámenes de DPD; mantener actualizada la base de preguntas según las novedades legislativas o publicaciones de la AEPD; valorar los historiales y los informes de experiencia laboral de los candidatos a ser evaluadores, aceptando o denegando su acreditación como evaluador de ANF AC; dirimir en las reclamaciones que puedan interponer los candidatos a Delegado de Protección de Datos, respecto a la valoración realizada por un evaluador, acta modelo OID ; supervisar que las publicaciones de ANF AC, respecto al servicio de Entidad de Certificación, están en conformidad con la normativa vigente; aceptar la incorporación de nuevos miembros al Comité de Expertos; convocar las reuniones que consideren oportunas, de acuerdo con el Orden del Día que determine su Presidente; atender las consultas que puedan precisar los evaluadores respecto a las preguntas respuestas que conforman los exámenes de DPD; dirimir en las reclamaciones que puedan interponer las Entidades de Formación, respecto a la valoración realizada por un auditor, acta modelo OID Intervenir en todos los procesos en los que, desde la absoluta imparcialidad, requieran una toma de decisión. NOTA: También podrá emplearse la denominación Comité de Imparcialidad Evaluador Personas con competencia acreditada por la Entidad de Certificación, para calificar un examen a Delegado de Protección de Datos Certificado en el Esquema de Certificación de AEPD-DPD. Su informe de evaluación constará en el Acta según modelo OID OID

22 Estas personas se encuentran bajo la responsabilidad del Director General de la Entidad de Certificación. Supervisores Personas autorizadas por la entidad de certificación que administra o supervisa un examen pero no evalúa la competencia del candidato. Estas personas se encuentran bajo la responsabilidad del RSG. NOTA Otros términos para supervisor son administrador de examen, vigilante. Solicitante: Persona que ha formalizado una solicitud para ser admitido como candidato y poder someterse a examen de certificación. Estas personas se encuentran bajo la supervisión y control del RTSC. Candidato: Persona cuya documentación ha sido revisada y ha sido admitido como candidato a una de las convocatorias de examen. Estas personas se encuentran bajo la supervisión y control del RTSC. DPD Certificado Persona que se ha sometido a examen habiendo obtenido la calificación de APTO, y que cumple los requisitos para ser certificada. Estas personas se encuentran bajo la supervisión y control de la Entidad de Certificación. Entidades de Formación Se trata del conjunto de Centros de Formación que han recibido el reconocimiento de sus programas de formación, de acuerdo a la evaluación realizada por la EC con el fin de garantizar que están en conformidad con el Esquema de Certificación de AEPD-DPD. El Director General de ANF AC, fiel a su compromiso de INDEPENDENCIA, IMPARCIALIDAD, INTEGRIDAD Y CONFIDENCIALIDAD para todos los servicios de certificación e inspección, declara: ANF AC, no forma parte directa o indirecta, ni tiene otras entidades bajo su control organizacional que desarrolle actividades de: 22 OID

23 o Formación en el ejercicio profesional de Delegado de Protección de Datos. ANF AC, garantiza el libre acceso, sin discriminación de ninguna clase, a los servicios de evaluación de la conformidad que requiera cualquier candidato. Como entidad de certificación, ANF AC, desarrolla sus actividades con objetividad, confidencialidad e imparcialidad garantizando la independencia requerida para actuar y decidir de manera autónoma, responsable y confiable. Para las actividades de: elaboración de exámenes, revisión de justificantes de formación y prerrequisitos, evaluación, revisión de planes de formación, gestión de certificados y aplicación sanciones en caso de infracción, cada área ejecutora de dichos servicios es totalmente independiente. ANF AC, gestiona a través procedimientos documentados, la objetividad de sus actividades; estos documentos están disponibles a solicitud de la AEPD, de ENAC, del Comité de Expertos, auditores internos y de cualquier otra parte interesada. ANF AC, gestiona a través de la Matriz de Gestión de Riesgos, los riesgos relacionados con conflictos de intereses que surjan de la prestación de los servicios de certificación de personas, incluyendo cualquier conflicto proveniente de sus relaciones. ANF AC, se asegura mediante la aplicación del Código de Conducta, Código Ético y Acuerdo de Confidencialidad, que sus empleados y cualquier personal que actúe en su representación en los procesos de certificación, de mantener la confidencialidad y no divulgar la información obtenida durante la prestación del servicio de sus actividades a una parte no autorizada, excepto cuando la ley o una autoridad competente requiera la divulgación de tal información. ANF AC, se asegura que las actividades de los organismos relacionados no comprometan la confidencialidad. ANF AC, no certifica las actividades de certificación de sistemas de gestión de otros organismos de certificación. 23 OID

24 ANF AC, gestiona las quejas y apelaciones recibidas de cualquier parte interesada de sus servicios o cualquier otra que acredite interés suficiente, de manera independiente, imparcial y oportuna de acuerdo con lo descrito en el Procedimiento de Quejas y Reclamaciones. Cuando por Ley ANF AC este obligada a divulgar información confidencial, notificará a la persona afectada la información que se va a proporcionar, salvo que la ley lo prohíba. 24 OID

25 6. GENERALIDADES DEL PROCESO DE CERTIFICACIÓN Para la certificación de personas, se sigue el Esquema de Certificación de propiedad de la Agencia Española de Protección de Datos para DPD. Este Reglamento, políticas y el resto de documentos de procedimientos seguidos por ANF AC como entidad de certificación, son elaboradas y administradas en conformidad con la norma ISO-IEC 17024:2012 v.1. UNE-EN ISO/IEC 17024: El Esquema de Certificación de AEPD DPD, junto a los documentos publicados por ANF AC, conforma el conjunto especificaciones técnicas, reglas y procedimientos aplicables para el procedimiento de certificación. El Responsable Jurídico interpreta los esquemas y normas legales asociadas al procedimiento de certificación, tutelando que la Entidad de Certificación este en conformidad con la legislación vigente. La Junta Rectora administra la Entidad de Certificación y supervisa todos los órganos y personas que intervienen en los procedimientos de certificación, tiene capacidad de sancionar por incumplimientos normativos. El Comité de Expertos elabora las preguntas que se someterán a examen, y realiza revisiones de examen, también asesora y da soporte a la Junta Rectora. El Comité de Selección realiza la selección de evaluadores de acuerdo con la normativa interna. No se impedirá el acceso al proceso de certificación a ningún solicitante por creencias, pensamientos, nivel socioeconómico y otras circunstancias que no tengan un sustento técnico derivados de los estándares bajo los cuales se realiza el proceso de certificación. El candidato solicitante puede consultar en la página web documento publicados con nivel de seguridad público: 25 OID

26 7. PREREQUISITOS Para acceder a la fase de evaluación, será necesario el cumplimiento de alguno de los siguientes prerrequisitos: 1) Justificar una experiencia profesional de, al menos, cinco años en proyectos y/o actividades y tareas relacionadas con las funciones del DPD en materia de protección de datos. 2) Justificar una experiencia profesional de, al menos, tres años en proyectos y/o actividades y tareas relacionadas con las funciones del DPD en materia de protección de datos, y una formación mínima reconocida de 60 horas en relación con las materias incluidas en el programa del Esquema. 3) Justificar una experiencia profesional de, al menos, dos años en proyectos y/o actividades y tareas relacionadas con las funciones del DPD en materia de protección de datos, y una formación mínima reconocida de 100 horas en relación con las materias incluidas en el programa del Esquema. 4) Justificar una formación mínima reconocidas de 180 horas en relación con las materias incluidas en el programa del Esquema. El reconocimiento de los programas de formación se hará de acuerdo con varios requisitos: duración requerida, materia impartida de acuerdo con el programa definido en el Esquema, método de validación mediante la superación de un examen (no basta con justificar la asistencia a la formación) y la metodología didáctica que incluya impartición de conocimientos teóricos, realización de ejercicios prácticos y desarrollo de ejercicios en grupo. La distribución de las horas de los programas de formación seguirá el mismo porcentaje establecido para cada uno de los dominios del programa del Esquema. Las entidades de formación solicitarán a las de certificación el reconocimiento de los programas de formación que imparten de acuerdo con los requisitos arriba mencionados. 26 OID

27 En caso de no cumplir con la experiencia requerida, se podrá convalidar hasta un año de experiencia mediante la justificación de méritos adicionales. Se valorará la formación y experiencia adquiridas a escala nacional y en la Unión Europea. La valoración de la formación y experiencia exigidas en los prerrequisitos relativa al Reglamento General de Protección de Datos (RGPD) será la adquirida a partir de la fecha de entrada en vigor del citado reglamento: 25/5/2016 Para determinar las condiciones para la justificación de los prerrequisitos se seguirá Lo establecido en el Anexo I del presente Esquema de Certificación de la AEPD- DPD. 27 OID

28 8. CRITERIOS PARA LA CERTIFICACIÓN 8.1 Certificación inicial Para obtener la certificación como DPD, los candidatos deberán cumplir con los requerimientos establecidos en el apartado 7 Prerrequisitos, y presentar la siguiente documentación por correo electrónico, llamada o visita personal a las oficinas de la Entidad de Certificación ANF AC: a) Formulario de solicitud. OID: b) Currículum detallado. c) Documentación justificativa del cumplimiento de los prerrequisitos. d) Justificación del abono de la tasa correspondiente. A través de dicha solicitud el candidato declara conocer el proceso de certificación descrito en este documento y acepta someterse a las pruebas de evaluación. Así mismo, declara que no tiene, o si la ha tenido deberá relatar una explicación, relación directa o indirecta con ANF AC, con personal de ANF AC, o alguna parte interesada. Que no está suspendido de forma temporal o definitiva en el ejercicio de una actividad profesional. Que ANF AC le ha apercibido de que su acreditación como Entidad de Certificación es provisional, y pendiente de la emisión definitiva por parte de ENAC del correspondiente certificado de evaluación. Una vez presentada la solicitud, la Entidad de Certificación procederá a su evaluación para comprobar que toda la información está completa. Si, tras dicha evaluación inicial, la información no estuviera completa, se informará al candidato de la no aceptación de la solicitud de certificación mediante notificación escrita. Se dará un plazo de 10 días hábiles para que pueda subsanar. Si, transcurrido dicho plazo, no fuera posible subsanar la deficiencia notificada, se declarará al candidato como no admitido, lo que se le comunicará mediante notificación escrita. La notificación le será remitida por correo electrónico al buzón electrónico que facilitó a efectos de notificaciones, se considerará desistida la solicitud. 28 OID

29 Si la solicitud es aceptada, se informará al candidato mediante notificación escrita. La aceptación de la solicitud supondrá la admisión en la convocatoria a la prueba de evaluación. Si la solicitud es aceptada, pero no para la fecha de convocatoria deseada, en caso de existir varias convocatorias, el solicitante también será notificado por escrito. La notificación le será remitida por correo electrónico al buzón electrónico que facilitó a efectos de notificaciones, se considerará desistida la solicitud. Por convocatoria se entiende el anuncio de la realización de las pruebas de evaluación en una fecha y centro de examen determinados. El solicitante deberá presentarse para verificar su identidad y superar el examen. En todos los casos en los que se suspenda la prueba de evaluación, se informará por escrito al solicitante del resultado, previamente a la realización del nuevo examen, en el caso de que tenga derecho a repetición. La información relativa al resultado de la prueba, le será remitida por correo electrónico al buzón electrónico que facilitó a efectos de notificaciones, se considerará desistida la solicitud. Cualesquiera decisiones de la Entidad de Certificación respecto al proceso de aceptación podrán ser objeto de la correspondiente reclamación en los términos establecidos en el apartado 12 Quejas y Reclamaciones. 8.2 Concesión del Certificado Tras superar el examen, la Entidad de Certificación concederá la certificación a los candidatos que hubieran obtenido el resultado de apto. Previamente el solicitante deberá aceptar expresamente el Código Ético y las Normas de Uso de la marca del certificado. 29 OID

30 A cada persona certificada la Entidad de Certificación le asignará un número identificativo intransferible y que será utilizado en el futuro para su identificación, junto con el número identificativo de la entidad de certificación que emitió el certificado. En los casos en que se conceda la certificación, la Entidad de Certificación emitirá un certificado justificativo que será enviado al titular de la certificación. El certificado emitido tendrá un período de validez de tres años, salvo que la persona certificada sea sancionada. El período de validez comenzará a partir de la fecha de concesión del certificado. 8.3 Mantenimiento En el caso de que durante el período de validez del certificado, se produjesen cambios legales o tecnológicos que, a juicio del Comité del Esquema, hiciesen conveniente una revisión o adaptación significativa del certificado concedido, se podrán establecer los criterios adecuados para mantener la vigencia de los certificados ya concedidos 8.4 Renovación de la Certificación La certificación tendrá un periodo de validez de tres años y su renovación requerirá que el candidato justifique haber cumplimentado: - un mínimo de 60 horas de formación recibida y/o impartida durante el periodo de validez del certificado, requiriéndose un mínimo anual de 15 horas en materias objeto del programa del Esquema, y - al menos, un año de experiencia profesional en proyectos y/o actividades y tareas relacionadas con las funciones del DPD en materia de protección de datos de carácter personal y/o de la 30 OID

31 seguridad de la información, evidenciada por tercera parte (empleador o similar). Se valorará la formación impartida con el doble de horas que la formación recibida. No será valorada la formación en la que no conste su duración, el temario, la entidad de formación y el título de la formación. En el caso excepcional y justificado de no justificar la formación anual mínima requerida durante alguno de los tres años exigidos, se permite la cumplimentación de esa formación en alguno de los otros dos años restantes. La renovación habrá de solicitarse con anterioridad a la fecha de vencimiento del periodo de validez del certificado. La Entidad de Certificación notificará a la persona certificada el final del período de validez con una antelación mínima de tres meses. La no recepción por la persona certificada de la comunicación de la Entidad de Certificación informando del final del periodo de validez de la certificación, no eximirá del cumplimiento de lo indicado en este apartado. El candidato deberá presentar la solicitud de renovación junto con la relación de las reclamaciones que, en su caso, haya podido tener durante el período completo de duración de la certificación por actuaciones defectuosas en la actividad propia para la que esté certificado o una declaración en la que haga constar que no ha sido objeto de ninguna reclamación. Deberá acompañar la aceptación del Código Ético y las Normas de Uso de la marca del certificado y el Contrato de Cesión de Uso, además de la justificación del pago de las tasas de renovación. Una vez presentada la solicitud, la Entidad de Certificación procederá a la evaluación de la misma para la comprobación de la validez de toda la documentación proporcionada. Si tras dicha evaluación inicial, la información no 31 OID

32 estuviera completa, se informará al candidato de la no aceptación de la solicitud de renovación mediante notificación escrita. Se dará un plazo máximo de 90 días naturales para que pueda subsanar. Si, transcurrido dicho plazo, no fuera posible subsanar la deficiencia notificada, se declarará al candidato como no renovado, lo que se le comunicará mediante notificación escrita y se procederá a la retirada del certificado. Si la solicitud es aceptada, se informará al candidato mediante notificación escrita. En el caso en que se renueve la certificación, la Entidad de Certificación emitirá un nuevo certificado justificativo con el mismo número identificativo asignado en la primera certificación. El nuevo certificado tendrá un periodo de validez de tres años. 8.5 Cambio en el Esquema de Certificación evaluación complementaria- Cuando se haga un cambio en el esquema de certificación que requiera una evaluación complementaria, el organismo de certificación documentará y pondrá a disposición del público, sin solicitud previa, los métodos y mecanismos específicos requeridos para verificar que las personas certificadas cumplen los requisitos modificados. 32 OID

33 9. TIPOS DE SOLICITUD 9.1 Certificación La vigencia del certificado y carné es de 1 año con mantenimientos periódicos anuales, a menos que se presente un cambio en la normatividad o legislación que requiera el cambio de vigencia. Métodos de evaluación de la certificación. El proceso de evaluación se realiza después de cumplir los prerrequisitos establecidos en el Esquema de Certificación de la Agencia Española de Protección de Datos para Delegados de Protección de Datos. En este documento se tienen en cuenta los criterios de evaluación de la competencia, evaluando el conocimiento y experiencia. Se realiza examen teórico y práctico siguiendo los parámetros establecidos en el Esquema de Certificación. 9.2 Seguimiento de la Certificación La existencia de personas certificadas que no realizan de forma efectiva una actividad profesional, es un elemento de riesgo y además, puede ocasionar desanimo en el potencial interés de nuevos candidatos, bajo la creencia de que ya hay una oferta que cubre la potencial demanda en su ámbito geográfico, cuando en realidad puede ser que dicha oferta no sea real. Con el fin de mantener lo más actualizada la lista de Delegados de Protección de Datos Certificados, ANF AC establece una política de seguimiento. Por este motivo, una persona certificada debe presentar anualmente solicitud formal para mantener la vigencia del certificado y del carné profesional. Este seguimiento 33 OID

34 permite verificar la continuidad de la actividad profesional de la persona certificada, y analizar posibles deficiencias que se hayan podido detectar o incluso, cambios legislativos de tal relevancia que recomienden que una posible formación accesoria y evaluación, o la mera tramitación de actualización del certificado y del carné. Es responsabilidad de la persona certificada presentar la solicitud de seguimiento de la certificación y tendrá como tiempo máximo 30 días calendario después de vencido su certificado para su renovación o de lo contrario se tendrá que iniciar un proceso nuevo ya que se perdería su continuidad. Los prerrequisitos para renovación del certificado y del carné, serán notificados personalmente a cada solicitante. VIGILANCIA DE LA CERTFICACIÓN Una vez emitido el certificado, ANF AC podrá realizar, cuando lo considere necesario, vigilancia a la persona certificada. Este control consiste en la aplicación de una evaluación en campo para determinar la continuidad de la conformidad del esquema de certificación mediante una evaluación de la persona certificada para asegurar su competencia durante la vigencia de la certificación se aplica el proceso de certificación, de acuerdo a las siguientes circunstancias: Por quejas o información brindada por terceros sobre el desempeño del personal certificado con fundamentos o pruebas legales. Sospecha de prácticas irregulares en el uso del certificado, carné, o las Marcas. Actuaciones defectuosas en la actividad del Responsable del Tratamiento para el que preste servicio, dando como resultado la imposición de infracciones por parte de la AEPD. Haber sido sancionado por ANF AC con la suspensión temporal de la certificación. La persona certificada debe asumir los costos en que incurra ANF AC, para determinar la continuidad de su certificación. 34 OID