REGLAMENTO CERTIFICACION DE PERSONAS Entidad Certificacion v1.7.pdf · 2018-01-03 · Reglamento de...

Reglamento de Certificación de Personas

1 OID 1.3.6.1.4.1.18332.105.6

REGLAMENTO CERTIFICACION DE PERSONAS

Nivel de Seguridad

PÚBLICA Control del documento:

Elaborado en conformidad con el Esquema de Certificación de la AEPD para DPD versión 1.1,

de 2 de octubre 2017, y la norma UNE-EN ISO/IEC 17024:2012

Este documento es propiedad de ANF Autoridad de Certificación.

Está prohibida su reproducción y difusión sin autorización expresa de ANF Autoridad de Certificación

- Copyright © 2017 ANF Autoridad de Certificación -

Versión Fecha creación / modificación Autor

1.0 2017/10/01 A.Díaz / Ignacio Larena

Versión Propuesto por Aprobado por Fecha

modificación Fecha

Aprobación Autor

1.1 Dpto. Jurídico Junta Rectora de la PKI 2017/11/25 2017/11/27 MC. Mateo

1.2 Dpto. Jurídico Junta Rectora de la PKI 2017/11/27 2017/11/28 MC. Mateo

Esta especificación ha sido preparada por ANF AC,

en el marco de la prestación de sus servicios.


2 OID 1.3.6.1.4.1.18332.105.6

INDICE.

1. OBJETO. ........................................................ ¡Error! Marcador no definido.

2. ALCANCE. ...................................................... ¡Error! Marcador no definido.

3. ACRÓNIMOS Y DEFINICIONES. ......................... ¡Error! Marcador no definido.

4. CONFIDENCIALIDAD E IMPARCIALIDAD. ........... ¡Error! Marcador no definido.

5. POLÍTICA DE CONFIDENCIALIDAD E IMPARCIALIDAD ........ ¡Error! Marcador no

definido.

6. GENERALIDADES DEL PROCESO DE CERTIFICACIÓN.......... ¡Error! Marcador no

definido.

7. PRERREQUISITOS ........................................... ¡Error! Marcador no definido.

8. CRITERIOS DE CERTIFICACIÓN. ....................... ¡Error! Marcador no definido.

8.1. Certificado inicial. .................................... ¡Error! Marcador no definido.

8.2. Concesión del Certificado. ........................ ¡Error! Marcador no definido.

8.3. Mantenimiento. ....................................... ¡Error! Marcador no definido.

8.4. Renovación del Certificado. ...................... ¡Error! Marcador no definido.

8.5. Cambio en el Esquema -evaluación complementaria- ........................ - 31 -

9. TIPOS DE SOLICITUD. ..................................... ¡Error! Marcador no definido.

9.1 Certificación. .......................................... ¡Error! Marcador no definido.

9.2 Seguimiento de la Certificación. ................ ¡Error! Marcador no definido.

9.3 Renovación de la Certificación. .................. ¡Error! Marcador no definido.

10. SUSPENSIÓN Y RETIRADA DE LA CERTIFICACIÓN. ........... ¡Error! Marcador no

definido.

10.1 Suspensión temporal voluntaria. ............... ¡Error! Marcador no definido.

10.2 Suspensión temporal por conductas contrarias al esquema. ............. ¡Error!

Marcador no definido.

10.3 Retirada de la Certificación. ...................... ¡Error! Marcador no definido.

11. DERECHOS Y OBLIGACIONES DE LAS PERSONAS CERTIFICADAS. .......... ¡Error!


11.1 Derechos. ............................................... ¡Error! Marcador no definido.

11.2 Obligaciones. .......................................... ¡Error! Marcador no definido.


3 OID 1.3.6.1.4.1.18332.105.6

12 INFORMACIÓN SOBRE LAS PERSONAS CERTIFICADAS...... ¡Error! Marcador no

definido.

13. CÓDIGO DE CONDUCTA. ................................ ¡Error! Marcador no definido.

13.1 Derecjos de los solicitantes y candidatos. .. ¡Error! Marcador no definido.

13.2 Deberes de los solicitantes y candidatos. ... ¡Error! Marcador no definido.

14. QUEJAS Y APELACIONES. ............................... ¡Error! Marcador no definido.

15. COMITÉ DE SELECCIÓN. ................................ ¡Error! Marcador no definido.

15.1 Procedimiento de selección y designación de Evaluadores. .............. ¡Error!


15.1.1 Registro y procedimientos de trabajo. ........... ¡Error! Marcador no

definido.

15.1.2 Requisitos de evaluadores. ............ ¡Error! Marcador no definido.

15.1.3 Méritos ....................................... ¡Error! Marcador no definido.

15.1.4 Incompatibilidades y exclusiones. .. ¡Error! Marcador no definido.

15.1.5 Funciones del evaluador. .............. ¡Error! Marcador no definido.

15.1.6 Procedimiento de selección. .......... ¡Error! Marcador no definido.

16. TARIFAS. .................................................... ¡Error! Marcador no definido.

17. ADMINISTRACIÓN DEL REGLAMENTO. ............ ¡Error! Marcador no definido.

17.1 Publicación. ................................... ¡Error! Marcador no definido.

18. INFORMACIÓN SOBRE LAS PERSONAS CERTFICADAS. ..... ¡Error! Marcador no

definido.


4 OID 1.3.6.1.4.1.18332.105.6

1. OBJETIVO

Establecer las reglas de ANF AC como entidad de certificación de personas bajo los

lineamientos de la norma ISO IEC 17024:2012 para el otorgamiento,

mantenimiento, renovación, suspensión o retirada de la certificación de personas en

el ejercicio profesional Delegado de Protección de Datos, en conformidad con el

Esquema de Certificación de la Agencia Española de Protección de Datos versión

1.1, de 2 de octubre 2017


5 OID 1.3.6.1.4.1.18332.105.6

2. ALCANCE

Este Reglamento aplica a:

• todo el personal involucrado en el proceso de certificación, ya sea personal

interno o colaboradores externos;

• solicitantes y candidatos interesados en someterse al proceso de evaluación

de la conformidad del Esquema de Certificación AEPD-DPD, y

• todos los Delegados de Protección de Datos Certificados.


6 OID 1.3.6.1.4.1.18332.105.6

3. ACRÓNIMOS Y DEFINICIONES

ACRÓNICOS UTILIZADOS EN EL DOCUMENTO

Acrónimo Nombre

AEPD Agencia Española de Protección de Datos

ANF AC ANF Autoridad de Certificación

EC Entidad de Certificación referida a ANF AC

ENAC Entidad Nacional de Acreditación

EC-AEPD-DPD Esquema de Certificación de Delegados de Protección de Datos de

la AEPD versión 1.1 de 2 de octubre 2017

RI Responsable de Informática

RIS Responsable de Infraestructura de Sistemas

RSG Responsable de Sistema de Gestión

RTSC Responsable Técnico del Sistema de Certificación

DEFINICIONES

• AEPD:

Es el propietario del Esquema. Es responsable de promover su desarrollo,

revisión y validación continua y autoriza al resto de los agentes para formar

parte activa del mismo.

• Apelación:

Solicitud presentada por un solicitante, candidato o persona certificada, para

que se reconsidere cualquier decisión tomada por el organismo de

certificación relacionada con su estado de certificación deseado.

• Certificado:


7 OID 1.3.6.1.4.1.18332.105.6

Documento emitido por un organismo de certificación según las

disposiciones de esta Norma Internacional, que indica que la persona

mencionada ha cumplido los requisitos de certificación.

• Competencia:

Capacidad para aplicar conocimientos y habilidades para lograr los

resultados previstos.

• Calificación:

Educación, formación y experiencia laboral demostrada, cuando sea

aplicable.

• Convocatoria:

Se entiende el anuncio de la realización de las pruebas de evaluación en una

fecha y centro de examen determinados.

• Equidad:

Igualdad de oportunidades de éxito proporcionada a cada candidato en el

proceso de certificación.

• ENAC:

Es designada por la AEPD como organismo único para la acreditación de las

entidades de certificación que deseen participar en el Esquema, teniendo

presente tanto los requisitos de la norma UNE-EN ISO/IEC 17024:2012,

como los requisitos específicos definidos por el Esquema.

• Entidad de certificación (EC):

A efectos de este Reglamento es ANF AC. Ofrece la certificación bajo

acreditación ENAC y de acuerdo con el Esquema de Certificación AEPD-DPD

v.1.1, y la norma UNE-EN ISO/IEC 17024:2012, para la categoría de

“Delegado de Protección de Datos”.

• Entidad de formación (EF):

Son las entidades que ofertan una formación que satisfaga los requisitos

previos de la certificación y, que a efectos de este Reglamento, sus

programas de formación han sido sometidos a reconocimiento por esta EC.

• Esquema de certificación:

Competencia y otros requisitos relacionados con las categorías de

ocupaciones específicas o habilidades de personas.


8 OID 1.3.6.1.4.1.18332.105.6

NOTA: Esquema Certificación de propiedad de la Agencia Española de

Protección de Datos para DPD.

• Evaluación:

Proceso que evalúa el cumplimiento de una persona con los requisitos del

esquema de certificación.

• Evaluadores:

Son profesionales independientes del Esquema con formación y experiencia

profesional equivalente o superior al candidato a certificar, con capacidad de

evaluar las pruebas del método de evaluación. Han de garantizar la

independencia de criterio, emitiendo un informe con el resultado de la

evaluación en el cual se basa la decisión de concesión del certificado al

candidato evaluado.

• Examen:

Mecanismo que es parte de la evaluación, que mide la competencia de un

candidato por uno o varios medios, tales como escritos, orales, prácticos y

por observación, como se define en el esquema de certificación.

• Fiabilidad:

Indicador del grado de concordancia entre las calificaciones del examen

correspondientes a diferentes momentos y lugares de examen, diferentes

formas de examen y diferentes examinadores.

• Imparcialidad:

Presencia de objetividad.

NOTA 1 Objetividad significa que no existen conflictos de intereses o que

son resueltos de manera que no influyan negativamente en las posteriores

actividades del organismo de certificación.

NOTA 2 Otros términos que son útiles para expresar el elemento de

imparcialidad son: independencia, ausencia de conflicto de intereses,

ausencia de sesgo, carencia de prejuicios, neutralidad, honradez, actitud

abierta, ecuanimidad, actitud desinteresada, equilibrio.

• Proceso de certificación:

Las actividades por las que un organismo de certificación determina que una

persona cumple los requisitos de certificación, que incluyen la solicitud, la


9 OID 1.3.6.1.4.1.18332.105.6

evaluación, la decisión de certificación, la renovación de la certificación y el

uso de certificados y logotipos/marcas.

• Queja:

Expresión de insatisfacción, distinta de una apelación, presentada por un

individuo u organización a un organismo de certificación, relacionada con las

actividades de dicho organismo o persona certificada, para la que se espera

una respuesta.

NOTA Adaptada de la Norma ISO/IEC 17000:2004, definición 6.5.

• Propietario del esquema:

Organización que es responsable de desarrollar y mantener un esquema de

certificación. El propietario del Esquema de Certificación es AEPD.

• Requisitos de certificación:

Conjunto de requisitos especificados, incluidos los requisitos del esquema,

que se deben cumplir con el fin de establecer o mantener la certificación.

• Supervisores:

Son personas autorizadas por la entidad de certificación que administra o

supervisa un examen pero no evalúa la competencia del candidato.

NOTA Otros términos para supervisor son administrador de examen,

vigilante.

• Validez:

Evidencia de que la evaluación mide lo que se intenta medir como se define

en el esquema de certificación.

NOTA En esta Norma Internacional “validez” también se utiliza con el

significado del adjetivo “válido”.

• Vigilancia:

Seguimiento periódico, durante los períodos de certificación, del desempeño

de una persona certificada para asegurar el cumplimiento continuo con el

esquema de certificación.


10 OID 1.3.6.1.4.1.18332.105.6

4. CONFIDENCIALIDAD E IMPARCIALIDAD

Todos los documentos empleados para desarrollar el proceso de certificación y

aquellos que fueron o son generados durante el proceso de pruebas (pruebas de

exámenes teóricos, prácticos, entre otros), se constituyen en evidencias oficiales

por lo que su contenido es confidencial.

En cumplimiento con la legislación vigente en materia de protección de datos, ANF

AC es el Responsable del Tratamiento. ANF AC dispone de medidas de seguridad y

procedimientos documentados adecuados para la salvaguarda de la información

personal cuyo tratamiento realiza ANF AC, así como medidas que facilitan el

ejercicio de los derechos de los propietarios de los datos.

ANF AC, ha documentado su estructura, políticas y procedimientos para gestionar

de forma adecuada el proceso de certificación, y asegurarse de que las actividades

de certificación se realizan con independencia e imparcialidad.

ANF AC, cuenta con un compromiso de imparcialidad por parte de la Alta Dirección

de las actividades de certificación, y de igual forma todo el personal involucrado en

el proceso de certificación antes de iniciar su colaboración con la Entidad de

Certificación asume el correspondiente compromiso de imparcialidad. Estos

compromisos quedan recogidos en OID 1.3.6.1.4.1.18332.105.5 “Análisis de

Imparcialidad” y anexos.

ANF AC, cuenta con una Política de imparcialidad accesible al público, de libre

distribución, por la cual se reconoce la importancia de la independencia,

imparcialidad e integridad en la realización de sus actividades de certificación,

gestiona a su vez, los conflictos de intereses y asegura la objetividad de sus

actividades de certificación.

ANF AC, cuenta con un Código Ético accesible al público, de libre distribución, que

es suscrito por todo el personal involucrado en el proceso de certificación, por el


11 OID 1.3.6.1.4.1.18332.105.6

cual se reconoce la importancia de la independencia, imparcialidad, integridad

profesionalidad, honestidad y rigor en el ejercicio de sus actividades profesionales.

Este código refleja la cultura de ANF AC y los fines de la organización en la

sociedad.

ANF AC, cuenta con un Código Conducta accesible al público, de libre distribución,

que es suscrito por todo el personal involucrado en el proceso de certificación, que

define los principios y filosofía de empresa de ANF AC.

ANF AC, cuenta con un Acuerdo de Confidencialidad, que es suscrito por todo el

personal involucrado en el proceso de certificación.

ANF AC, actúa de manera imparcial en relación con sus solicitantes, sus candidatos

y personas certificadas. Prohíbe operar los servicios de modo discriminatorio. El

acceso a sus servicios no se condiciona a la relevancia personal, ya sea económica

o por renombre social, tampoco por membresía a cualquier asociación o grupo; ni

tampoco está condicionada por el número de personas evaluadas, o por razón de

etnia, sexo, u otras peculiaridades personales.

ANF AC, no restringe el acceso a la certificación por razones financieras u otras

condiciones limitantes indebidas. De otra parte, no se utilizan procedimientos

destinados a limitar o impedir, de forma arbitraria, el acceso de solicitantes y

candidatos a una certificación.

ANF AC, es responsable de la imparcialidad de sus actividades de certificación y no

permite que presiones comerciales, financieras o de otra índole comprometan dicha

imparcialidad.

ANF AC, ha identificado las amenazas para su imparcialidad, incluyendo aquellas

amenazas que se derivan de sus actividades, las relaciones con los organismos

relacionados, sus relaciones o las relaciones de su personal.


12 OID 1.3.6.1.4.1.18332.105.6

ANF AC, analiza, documenta y elimina o minimiza los conflictos de intereses

potenciales que surjan de sus actividades de certificación. Todas las fuentes

potenciales de conflictos de intereses identificadas serán cubiertas como parte de

las responsabilidades como Entidad de Certificación.

ANF AC, no realiza funciones de formación relacionadas con la actividad profesional

de Delegado de Protección de Datos. ANF AC, tampoco permite el acceso al

conocimiento experto en materia de evaluación o certificación de personas, todo lo

cual podría presuponer riesgo de pérdida de independencia.

ANF AC, instruye a su personal, controla y establece que el proceso de evaluación

no se hace más simple, fácil, o rápido cuando los candidatos recurren a

determinadas entidades de formación, o son contratan a profesores formados por

ANF AC, o pertenecen a organizaciones Partner Colaborador de ANF AC, o

adquieren Libros de conocimiento DPD editados por ANF AC.


13 OID 1.3.6.1.4.1.18332.105.6

5. POLÍTICA DE CONFIDENCIALIDAD E

IMPARCIALIDAD

ANF AC, reconoce como partes interesadas en esta Política:

Junta Rectora de ANF AC

La Junta Rectora es el máximo órgano de control de ANF AC. Sus principales

cometidos son:

o revisar los informes de conformidad de candidatos a DPD “APTO”, y

emitir el acta de aprobación o denegación de emisión del

correspondiente certificado, modelo OID 1.3.6.1.4.1.18332.105.17;

o revisar los informes de evaluación de Entidades de Formación

“APTO” por los auditores de la EC ANF AC y, en su caso, emitir acta

de habilitación OID 1.3.6.1.4.1.18332.105.36;

o firmar los Certificados DPD y ordenar al RTSC su entrega a los

interesados;

o analizar los informes y las medidas disciplinarias que les son

sometidos a juicio y, adoptar las decisiones correspondientes;

o analizar y en su caso aprobar, las solicitudes de modificación de los

documentos publicados por la Entidad de Certificación, emitiendo el

acta correspondiente OID 1.3.6.1.4.1.18332.105.22 y trasladándola al

Departamento Jurídico.

o Establecer las tasas de la Entidad de Certificación.

o Aprobar los modelos de Contrato empleados por la Entidad de

Certificación.

o Analizar los informes que recibe de la Dirección Ejecutiva y, adoptar

la decisión que corresponda.

o Nombrar y dirigir a los miembros de la Dirección Ejecutiva,

estableciendo sus respectivos ámbitos de responsabilidad.

o Notificar a los Organismos de Control aquellas incidencias que

requieran su conocimiento.


14 OID 1.3.6.1.4.1.18332.105.6

o Comunica formalmente a la Agencia de Control las acreditaciones que

expide, así como las decisiones de suspensión y retirada de

certificación que adopta.

▪ Entidad de Certificación – recursos internos -

Dirección Ejecutiva

• Director General

Además de las labores propias que su cargo implica, asume:

o La dirección del Comité de Selección.

o Nombrar autores internos.

o Asumir la representación de la EC en calidad de “Responsable de

la Entidad Certificadora”, y suscribir los certificados aprobados

por la Junta Rectora, como miembro designado por la misma.

o La responsabilidad de determinar las Convocatorias de Examen,

y si fuera necesario establecer el número máximo de candidatos.

o Comunicar a la AEPD con tres meses de antelación, la fecha de

convocatoria de examen.

o Determinar si se ha publicado una nueva versión de la norma

UNE-EN ISO/IEC 17024:2012 v.1.1, o si se han producido

acontecimientos de índole interno o de mercado, haga

recomendable llevar a cabo una modificación de aquellos

documentos publicados por la Entidad de Certificación que se

vean afectados. Elaborar el correspondiente informe con

propuesta de cambios que será remitido a la Junta Rectora para

su aprobación.

o Analizar las necesidades de recursos materiales y humanos,

elaborar el correspondiente informe y solicita su aprobación a la

Junta Rectora.

o Analiza el presupuesto que se debe dotar para cada

Departamento, elabora el correspondiente informe y solicitar su

aprobación a la Junta Rectora.


15 OID 1.3.6.1.4.1.18332.105.6

o Determinar la necesidad de contratación de colaboradores

externos, elaborar el correspondiente informe y solicitar su

aprobación a la Junta Rectora.

o Nombrar y dirigir a los Responsables de área, y a los

Evaluadores.

o Analizar los informes que recibe de los Responsables de área y,

tomar la decisión que corresponda.

• Director Jurídico

Además de las labores propias de su cargo, es responsable de:

o Supervisar y en su caso dirigir los procesos abiertos a raíz de

quejas, denuncias u infracciones que se han podido producir.

o Asumir la representación de la EC en calidad de “Responsable

competente de la Entidad Certificadora”, y suscribir los

certificados aprobados por la Junta Rectora, como miembro

designado por la misma.

o Elaborar el correspondiente informe según modelo OID

1.3.6.1.4.1.18332.105.21, y proponer a la Junta Rectora, la

adopción de las sanciones que correspondan según gravedad de

la infracción cometida.

o Llevar a cabo cuantas acciones sean menester para aplicar las

medidas disciplinarias ordenadas por la Junta Rectora, e

incorpora al expediente del interesado todos los documentos

asociados al procedimiento.

o Determinar si se han producido novedades legislativas y en

especial, si la AEPD ha publicado una nueva versión del Esquema

de Certificación, a fin de elaborar el correspondiente informe y,

en su caso, propuesta de modificación de aquellos documentos

publicados por la Entidad de Certificación que se vean afectados.

El informe será remitido a la Junta Rectora para su aprobación.

Responsables de las áreas de ANF AC PKI

• Responsable de Sistema de Gestión [RSG]


16 OID 1.3.6.1.4.1.18332.105.6

Tiene la responsabilidad de planificar, coordinar y controlar el conjunto

de los procedimientos administrativos, facturación, atención comercial,

soporte a clientes. Supervisa y controla el sistema integral de gestión de

la Entidad de Certificación, en especial en el ámbito de la gestión de la

calidad, la gestión de los impactos medioambientales y de los sistemas

de la seguridad. Principales tareas:

o Publicar las Convocatorias de Examen ordenadas por la Dirección

General, según modelo OID 1.3.6.1.4.1.18332.105.20

o Informa periódicamente al Director General de ANF AC del estado y

mejora del Sistema Integral de Gestión, en sus respectivas áreas de

responsabilidad.

o Establece y gestiona la aplicación de les normas de Calidad,

Medioambiente y Seguridad en todos los procesos de contratados con

terceros, tomando como norma referencia las normas ISO

correspondientes.

o Reporta las incidencias al Director General.

o Realiza auditorías internas de aquellas áreas en las que no ha

participado directa o indirectamente, elaborando el correspondiente

informe y haciendo entrega al Director General.

o Elabora una propuesta de objetivos y metas de Calidad,

Medioambiente y Seguridad, así como un programa para su

consecución.

o Identifica no conformidades.

o Realiza un seguimiento de la eficacia de las acciones correctivas y/o

preventivas propuestas.

o Establece un Plan de Formación Continua para todos los empleados

de su área de responsabilidad, y asume el control del mismo.

o Establece un Plan de Formación para profesores de RGPD basados en

material didáctico desarrollado por ANF AC.

o Define roles y responsabilidades para todos los empleados de la

División Entidad de Certificación.


17 OID 1.3.6.1.4.1.18332.105.6

o Analiza y busca soluciones a los posibles problemas de calidad que

sean detectados.

o Coordina los Servicios de Asistencia Comercial y Técnica.

o Adopta en todo momento las medidas establecidas en las políticas de

la empresa, y exige que se sigan los procedimientos de seguridad de

ANF AC.

o Coordina y controla todos los aspectos relacionados con la logística,

recursos y en especial, es responsable de supervisar que el examen

que realiza el candidato reúne los requerimientos establecidos por la

Entidad de Certificación.

o Gestiona y custodia la documentación de ANF AC.

o Analiza la necesidad de recursos materiales y humanos para el

adecuado funcionamiento de la Entidad de Certificación, elabora el

informe correspondiente y hace entrega del mismo al Director

General.

• Responsable Técnico del Sistema de Certificación [RTSC]

Es responsable de la gestión integral de todos los procesos que afectan

directamente a la actividad de certificación y personal directamente

implicado en el procedimiento de certificación. Principales tareas:

o Supervisa la recepción de formularios de solicitud y documentación

acreditativa de prerrequisitos.

o Abre un nuevo expediente para cada solicitante.

o Solicita del Departamento financiero acta OID 1.3.6.1.4.1.18332.105.23

conforme no existe relación comercial alguna con el candidato.

o Solicita del Departamento de RRHH acta OID 1.3.6.1.4.1.18332.105.24

que no consta conocimiento alguno del candidato con personal de

ANF AC.

o Comprueba en sus Registros, que el candidato no tiene algún aspecto

que ocasione su rechazo. Acta OID 1.3.6.1.4.1.18332.105.25

o Realiza valoración de conformidad de las solicitudes y emite acta de:

aprobación, solicitud de documentación complementaria, o rechazo.

Informa por escrito al candidato y se responsabiliza de que todo ello


18 OID 1.3.6.1.4.1.18332.105.6

quede anotado en el expediente del interesado. Acta OID

1.3.6.1.4.1.18332.105.26

o En el caso de solicitud de documentación complementaria, determina

el plazo máximo, superado el mismo sin que el candidato haya

subsanado la deficiencia, determina la denegación de la solicitud y

comunica al solicitante. Acta OID 1.3.6.1.4.1.18332.105.27

o Solicita del Departamento financiero acta OID 1.3.6.1.4.1.18332.105.28

conforme que las tasas han sido efectivamente abonadas, y

comunica al candidato cualquier anomalía al respecto.

o Gestiona el control de inscripciones de candidatos en las

Convocatorias. Comunicando al candidato por escrito la fecha, hora y

lugar de la Convocatoria en la que ha sido inscrito. Acta OID

1.3.6.1.4.1.18332.105.29

o Gestiona el resultado de las evaluaciones de examen, tanto las

elaboradas automáticamente por el sistema informático (test), como

las elaboradas por el Evaluador. El resultado del examen es

comunicado por escrito al candidato, acta para candidatos “APTO”

OID 1.3.6.1.4.1.18332.105.30. Acta para candidatos “NO APTO” OID

1.3.6.1.4.1.18332.105.35

o Atiende las revisiones/apelaciones de los candidatos respecto al

resultado de la evaluación de su examen, dando curso según

proceda de acuerdo con este Reglamento y Política de Examen. El

candidato deberá realizar su revisión en formulario modelo OID

1.3.6.1.4.1.18332.105.32, y cuando se trate de una apelación al comité de

expertos, deberá tramitarla con el formulario de apelación

1.3.6.1.4.1.18332.105.31

▪ Apelación. Verifica que la tasa de revisión por parte del Comité de

Expertos ha sido abonada, y da traslado de la documentación al

miembro que por turno de reparto le corresponda. Acta OID

1.3.6.1.4.1.18332.105.33

o Es responsable de comunicar por escrito el resultado de las revisiones

a los candidatos, para ello utilizará el Acta OID

1.3.6.1.4.1.18332.105.34


19 OID 1.3.6.1.4.1.18332.105.6

o Es responsable de la gestión administrativa de los candidatos que han

recibido la calificación de “APTO”, verificando que el expediente

incluye todos los documentos debidamente suscritos por el

Candidato y que se han atendido todos los requerimientos para

poder solicitar a la Junta Rectora la autorización de emisión del

certificado. Para ello elabora:

▪ Certificado de Delegado de Protección de Datos OID

1.3.6.1.4.1.18332.500.166, que incluye todos los datos y

circunstancias relativas al candidato, pendiente de firma de la

Junta Rectora.

▪ Informe de Conformidad de Candidato “APTO” en el que se

relacionan todos los documentos que han sido verificados en

conformidad, modelo OID 1.3.6.1.4.1.18332.105.16.

o Realiza auditorías internas de aquellas áreas en las que no ha

participado directa o indirectamente, elaborando el correspondiente

informe y haciendo entrega al Director General.

o Establece un Plan de Formación Continua para todos los empleados

de su área de responsabilidad, y asume el control del mismo.

o Supervisa, custodia y registra las actas de autorización de emisión de

certificado aprobadas.

o Hace entrega de los certificados firmados por la Junta Rectora a los

Delegados de Protección de Datos certificados.

o Comunica a la AEPD las certificaciones aprobadas.

o Asume la administración y mantenimiento del registro público de DPD

certificados.

o Asume la administración y mantenimiento del registro de

Evaluadores.

o Asume la administración y mantenimiento del registro de Entidades

de Formación cuyos programas de formación han sido habilitados.

o Supervisa y coordina toda la infraestructura técnica de sistemas,

incluidos certificados electrónicos, plataforma de credenciales,


20 OID 1.3.6.1.4.1.18332.105.6

dispositivos criptográficos e infraestructura técnica del sistema de

evaluación.



ANF AC.




General.

• Responsable de Informática y Sistemas [RIS]

Asume el diseño, desarrollo, implantación, puesta en explotación y

administración de toda la infraestructura de aplicaciones software de la

Entidad de Certificación. Principales tareas:



ANF AC.




General.

o Asume la implantación, puesta en explotación y administración de

toda la infraestructura de telecomunicaciones, mantenimiento de

redes y servidores de la Entidad de Certificación.

▪ Personal básico involucrado en el proceso de certificación:

operadores administrativos, supervisores, teleoperadoras, diseñadores,

etc. Colaboradores externos que, de una u otra forma, participan

colaboran en los procesos de certificación. Este personal está bajo el

control y supervisión de un Responsable de área, y todos ellos están

dotados de credenciales electrónicas.

▪ Comité de Selección

Se trata de un órgano interno sujeto a la normativa interna y del

Esquema para realizar la selección de los evaluadores.


21 OID 1.3.6.1.4.1.18332.105.6

Comité de Expertos

Se trata de un órgano independiente con normas que regulan su operativa.

Está formado por un mínimo de tres expertos: un presidente y vocales.

El Comité de Expertos tiene la responsabilidad de:

• elaborar las preguntas que conforman los exámenes de DPD;

• mantener actualizada la base de preguntas según las novedades

legislativas o publicaciones de la AEPD;

• valorar los historiales y los informes de experiencia laboral de los

candidatos a ser evaluadores, aceptando o denegando su acreditación

como evaluador de ANF AC;

• dirimir en las reclamaciones que puedan interponer los candidatos a

Delegado de Protección de Datos, respecto a la valoración realizada por

un evaluador, acta modelo OID 1.3.6.1.4.1.18332.105.47;

• supervisar que las publicaciones de ANF AC, respecto al servicio de

Entidad de Certificación, están en conformidad con la normativa vigente;

• aceptar la incorporación de nuevos miembros al Comité de Expertos;

• convocar las reuniones que consideren oportunas, de acuerdo con el

Orden del Día que determine su Presidente;

• atender las consultas que puedan precisar los evaluadores respecto a las

preguntas – respuestas que conforman los exámenes de DPD;

• dirimir en las reclamaciones que puedan interponer las Entidades de

Formación, respecto a la valoración realizada por un auditor, acta modelo

OID 1.3.6.1.4.1.18332.105.48.

• Intervenir en todos los procesos en los que, desde la absoluta

imparcialidad, requieran una toma de decisión.

NOTA: También podrá emplearse la denominación “Comité de Imparcialidad”

Evaluador

Personas con competencia acreditada por la Entidad de Certificación, para

calificar un examen a Delegado de Protección de Datos Certificado en el

Esquema de Certificación de AEPD-DPD. Su informe de evaluación constará

en el Acta según modelo OID 1.3.6.1.4.1.18332.105.30.


22 OID 1.3.6.1.4.1.18332.105.6

Estas personas se encuentran bajo la responsabilidad del Director General

de la Entidad de Certificación.

Supervisores

Personas autorizadas por la entidad de certificación que administra o

supervisa un examen pero no evalúa la competencia del candidato. Estas

personas se encuentran bajo la responsabilidad del RSG.

NOTA Otros términos para supervisor son administrador de examen, vigilante.

Solicitante:

Persona que ha formalizado una solicitud para ser admitido como candidato

y poder someterse a examen de certificación. Estas personas se encuentran

bajo la supervisión y control del RTSC.

Candidato:

Persona cuya documentación ha sido revisada y ha sido admitido como

candidato a una de las convocatorias de examen. Estas personas se

encuentran bajo la supervisión y control del RTSC.

DPD Certificado

Persona que se ha sometido a examen habiendo obtenido la calificación de

“APTO”, y que cumple los requisitos para ser certificada. Estas personas se

encuentran bajo la supervisión y control de la Entidad de Certificación.

• Entidades de Formación

Se trata del conjunto de Centros de Formación que han recibido el

reconocimiento de sus programas de formación, de acuerdo a la evaluación

realizada por la EC con el fin de garantizar que están en conformidad con el

Esquema de Certificación de AEPD-DPD.

El Director General de ANF AC, fiel a su compromiso de INDEPENDENCIA,

IMPARCIALIDAD, INTEGRIDAD Y CONFIDENCIALIDAD para todos los servicios

de certificación e inspección, declara:

• ANF AC, no forma parte directa o indirecta, ni tiene otras entidades bajo su

control organizacional que desarrolle actividades de:


23 OID 1.3.6.1.4.1.18332.105.6

o Formación en el ejercicio profesional de Delegado de Protección de

Datos.

• ANF AC, garantiza el libre acceso, sin discriminación de ninguna clase, a los

servicios de evaluación de la conformidad que requiera cualquier candidato.

• Como entidad de certificación, ANF AC, desarrolla sus actividades con

objetividad, confidencialidad e imparcialidad garantizando la independencia

requerida para actuar y decidir de manera autónoma, responsable y

confiable. Para las actividades de: elaboración de exámenes, revisión de

justificantes de formación y prerrequisitos, evaluación, revisión de planes de

formación, gestión de certificados y aplicación sanciones en caso de

infracción, cada área ejecutora de dichos servicios es totalmente

independiente.

• ANF AC, gestiona a través procedimientos documentados, la objetividad de

sus actividades; estos documentos están disponibles a solicitud de la AEPD,

de ENAC, del Comité de Expertos, auditores internos y de cualquier otra

parte interesada.

• ANF AC, gestiona a través de la “Matriz de Gestión de Riesgos”, los riesgos

relacionados con conflictos de intereses que surjan de la prestación de los

servicios de certificación de personas, incluyendo cualquier conflicto

proveniente de sus relaciones.

• ANF AC, se asegura mediante la aplicación del Código de Conducta, Código

Ético y Acuerdo de Confidencialidad, que sus empleados y cualquier personal

que actúe en su representación en los procesos de certificación, de

mantener la confidencialidad y no divulgar la información obtenida durante

la prestación del servicio de sus actividades a una parte no autorizada,

excepto cuando la ley o una autoridad competente requiera la divulgación de

tal información.

• ANF AC, se asegura que las actividades de los organismos relacionados no

comprometan la confidencialidad.

• ANF AC, no certifica las actividades de certificación de sistemas de gestión

de otros organismos de certificación.


24 OID 1.3.6.1.4.1.18332.105.6

• ANF AC, gestiona las quejas y apelaciones recibidas de cualquier parte

interesada de sus servicios o cualquier otra que acredite interés suficiente,

de manera independiente, imparcial y oportuna de acuerdo con lo descrito

en el Procedimiento de Quejas y Reclamaciones.

• Cuando por Ley ANF AC este obligada a divulgar información confidencial,

notificará a la persona afectada la información que se va a proporcionar,

salvo que la ley lo prohíba.


25 OID 1.3.6.1.4.1.18332.105.6

6. GENERALIDADES DEL PROCESO DE

CERTIFICACIÓN

Para la certificación de personas, se sigue el Esquema de Certificación de propiedad

de la Agencia Española de Protección de Datos para DPD. Este Reglamento,

políticas y el resto de documentos de procedimientos seguidos por ANF AC como

entidad de certificación, son elaboradas y administradas en conformidad con la

norma ISO-IEC 17024:2012 v.1. UNE-EN ISO/IEC 17024:2012 1

El Esquema de Certificación de AEPD – DPD, junto a los documentos publicados por

ANF AC, conforma el conjunto especificaciones técnicas, reglas y procedimientos

aplicables para el procedimiento de certificación.

El Responsable Jurídico interpreta los esquemas y normas legales asociadas al

procedimiento de certificación, tutelando que la Entidad de Certificación este en

conformidad con la legislación vigente. La Junta Rectora administra la Entidad de

Certificación y supervisa todos los órganos y personas que intervienen en los

procedimientos de certificación, tiene capacidad de sancionar por incumplimientos

normativos. El Comité de Expertos elabora las preguntas que se someterán a

examen, y realiza revisiones de examen, también asesora y da soporte a la Junta

Rectora. El Comité de Selección realiza la selección de evaluadores de acuerdo con

la normativa interna.

No se impedirá el acceso al proceso de certificación a ningún solicitante por

creencias, pensamientos, nivel socioeconómico y otras circunstancias que no

tengan un sustento técnico derivados de los estándares bajo los cuales se realiza el


El candidato solicitante puede consultar en la página web documento publicados

con nivel de seguridad público:

http://www.anf.es/certificacionpersonas/

http://www.anf.es/certificacionpersonas/


26 OID 1.3.6.1.4.1.18332.105.6

7. PREREQUISITOS

Para acceder a la fase de evaluación, será necesario el cumplimiento de alguno de

los siguientes prerrequisitos:

1) Justificar una experiencia profesional de, al menos, cinco años en proyectos

y/o actividades y tareas relacionadas con las funciones del DPD en materia

de protección de datos.

2) Justificar una experiencia profesional de, al menos, tres años en proyectos


de protección de datos, y una formación mínima reconocida de 60 horas en

relación con las materias incluidas en el programa del Esquema.

3) Justificar una experiencia profesional de, al menos, dos años en proyectos


de protección de datos, y una formación mínima reconocida de 100 horas en

relación con las materias incluidas en el programa del Esquema.

4) Justificar una formación mínima reconocidas de 180 horas en relación con

las materias incluidas en el programa del Esquema.

El reconocimiento de los programas de formación se hará de acuerdo con varios

requisitos: duración requerida, materia impartida de acuerdo con el programa

definido en el Esquema, método de validación mediante la superación de un

examen (no basta con justificar la asistencia a la formación) y la metodología

didáctica que incluya impartición de conocimientos teóricos, realización de ejercicios

prácticos y desarrollo de ejercicios en grupo.

La distribución de las horas de los programas de formación seguirá el mismo

porcentaje establecido para cada uno de los dominios del programa del Esquema.

Las entidades de formación solicitarán a las de certificación el reconocimiento de los

programas de formación que imparten de acuerdo con los requisitos arriba

mencionados.


27 OID 1.3.6.1.4.1.18332.105.6

En caso de no cumplir con la experiencia requerida, se podrá convalidar hasta un

año de experiencia mediante la justificación de méritos adicionales.

Se valorará la formación y experiencia adquiridas a escala nacional y en la Unión

Europea.

La valoración de la formación y experiencia exigidas en los prerrequisitos relativa al

Reglamento General de Protección de Datos (RGPD) será la adquirida a partir de la

fecha de entrada en vigor del citado reglamento: 25/5/2016

Para determinar las condiciones para la justificación de los prerrequisitos se seguirá

Lo establecido en el Anexo I del presente Esquema de Certificación de la AEPD-

DPD.


28 OID 1.3.6.1.4.1.18332.105.6

8. CRITERIOS PARA LA CERTIFICACIÓN

8.1 Certificación inicial

Para obtener la certificación como DPD, los candidatos deberán cumplir con los

requerimientos establecidos en el apartado 7 Prerrequisitos, y presentar la

siguiente documentación por correo electrónico, llamada o visita personal a las

oficinas de la Entidad de Certificación ANF AC:

a) Formulario de solicitud. OID: 1.3.6.1.4.1.18332.105.8

b) Currículum detallado.

c) Documentación justificativa del cumplimiento de los prerrequisitos.

d) Justificación del abono de la tasa correspondiente.

A través de dicha solicitud el candidato declara conocer el proceso de certificación

descrito en este documento y acepta someterse a las pruebas de evaluación. Así

mismo, declara que no tiene, o si la ha tenido deberá relatar una explicación,

relación directa o indirecta con ANF AC, con personal de ANF AC, o alguna parte

interesada. Que no está suspendido de forma temporal o definitiva en el ejercicio

de una actividad profesional. Que ANF AC le ha apercibido de que su acreditación

como Entidad de Certificación es provisional, y pendiente de la emisión definitiva

por parte de ENAC del correspondiente certificado de evaluación.

Una vez presentada la solicitud, la Entidad de Certificación procederá a su

evaluación para comprobar que toda la información está completa.

Si, tras dicha evaluación inicial, la información no estuviera completa, se informará

al candidato de la no aceptación de la solicitud de certificación mediante notificación

escrita. Se dará un plazo de 10 días hábiles para que pueda subsanar. Si,

transcurrido dicho plazo, no fuera posible subsanar la deficiencia notificada, se

declarará al candidato como no admitido, lo que se le comunicará mediante

notificación escrita. La notificación le será remitida por correo electrónico al buzón

electrónico que facilitó a efectos de notificaciones, se considerará desistida la

solicitud.


29 OID 1.3.6.1.4.1.18332.105.6

Si la solicitud es aceptada, se informará al candidato mediante notificación escrita.

La aceptación de la solicitud supondrá la admisión en la convocatoria a la prueba de

evaluación.

Si la solicitud es aceptada, pero no para la fecha de convocatoria deseada, en caso

de existir varias convocatorias, el solicitante también será notificado por escrito. La

notificación le será remitida por correo electrónico al buzón electrónico que facilitó a

efectos de notificaciones, se considerará desistida la solicitud.

Por convocatoria se entiende el anuncio de la realización de las pruebas de

evaluación en una fecha y centro de examen determinados.

El solicitante deberá presentarse para verificar su identidad y superar el examen.

En todos los casos en los que se suspenda la prueba de evaluación, se informará

por escrito al solicitante del resultado, previamente a la realización del nuevo

examen, en el caso de que tenga derecho a repetición. La información relativa al

resultado de la prueba, le será remitida por correo electrónico al buzón electrónico

que facilitó a efectos de notificaciones, se considerará desistida la solicitud.

Cualesquiera decisiones de la Entidad de Certificación respecto al proceso de

aceptación podrán ser objeto de la correspondiente reclamación en los términos

establecidos en el apartado 12 Quejas y Reclamaciones.

8.2 Concesión del Certificado

Tras superar el examen, la Entidad de Certificación concederá la certificación a los

candidatos que hubieran obtenido el resultado de “apto”.

Previamente el solicitante deberá aceptar expresamente el Código Ético y las

Normas de Uso de la marca del certificado.


30 OID 1.3.6.1.4.1.18332.105.6

A cada persona certificada la Entidad de Certificación le asignará un número

identificativo intransferible y que será utilizado en el futuro para su identificación,

junto con el número identificativo de la entidad de certificación que emitió el

certificado.

En los casos en que se conceda la certificación, la Entidad de Certificación emitirá

un certificado justificativo que será enviado al titular de la certificación.

El certificado emitido tendrá un período de validez de tres años, salvo que la

persona certificada sea sancionada. El período de validez comenzará a partir de la

fecha de concesión del certificado.

8.3 Mantenimiento

En el caso de que durante el período de validez del certificado, se produjesen

cambios legales o tecnológicos que, a juicio del Comité del Esquema, hiciesen

conveniente una revisión o adaptación significativa del certificado concedido, se

podrán establecer los criterios adecuados para mantener la vigencia de los

certificados ya concedidos

8.4 Renovación de la Certificación

La certificación tendrá un periodo de validez de tres años y su renovación requerirá

que el candidato justifique haber cumplimentado:

- un mínimo de 60 horas de formación recibida y/o impartida durante

el periodo de validez del certificado, requiriéndose un mínimo anual

de 15 horas en materias objeto del programa del Esquema, y

- al menos, un año de experiencia profesional en proyectos y/o

actividades y tareas relacionadas con las funciones del DPD en

materia de protección de datos de carácter personal y/o de la


31 OID 1.3.6.1.4.1.18332.105.6

seguridad de la información, evidenciada por tercera parte

(empleador o similar).

Se valorará la formación impartida con el doble de horas que la formación recibida.

No será valorada la formación en la que no conste su duración, el temario, la

entidad de formación y el título de la formación. En el caso excepcional y justificado

de no justificar la formación anual mínima requerida durante alguno de los tres

años exigidos, se permite la cumplimentación de esa formación en alguno de los

otros dos años restantes.

La renovación habrá de solicitarse con anterioridad a la fecha de vencimiento del

periodo de validez del certificado.

La Entidad de Certificación notificará a la persona certificada el final del período de

validez con una antelación mínima de tres meses.

La no recepción por la persona certificada de la comunicación de la Entidad de

Certificación informando del final del periodo de validez de la certificación, no

eximirá del cumplimiento de lo indicado en este apartado.

El candidato deberá presentar la solicitud de renovación junto con la relación de las

reclamaciones que, en su caso, haya podido tener durante el período completo de

duración de la certificación por actuaciones defectuosas en la actividad propia para

la que esté certificado o una declaración en la que haga constar que no ha sido

objeto de ninguna reclamación. Deberá acompañar la aceptación del Código Ético y

las Normas de Uso de la marca del certificado y el Contrato de Cesión de Uso,

además de la justificación del pago de las tasas de renovación.

Una vez presentada la solicitud, la Entidad de Certificación procederá a la

evaluación de la misma para la comprobación de la validez de toda la

documentación proporcionada. Si tras dicha evaluación inicial, la información no


32 OID 1.3.6.1.4.1.18332.105.6

estuviera completa, se informará al candidato de la no aceptación de la solicitud de

renovación mediante notificación escrita.

Se dará un plazo máximo de 90 días naturales para que pueda subsanar. Si,

transcurrido dicho plazo, no fuera posible subsanar la deficiencia notificada, se

declarará al candidato como no renovado, lo que se le comunicará mediante

notificación escrita y se procederá a la retirada del certificado.


En el caso en que se renueve la certificación, la Entidad de Certificación emitirá un

nuevo certificado justificativo con el mismo número identificativo asignado en la

primera certificación. El nuevo certificado tendrá un periodo de validez de tres

años.

8.5 Cambio en el Esquema de Certificación –evaluación

complementaria-

Cuando se haga un cambio en el esquema de certificación que requiera una

evaluación complementaria, el organismo de certificación documentará y pondrá a

disposición del público, sin solicitud previa, los métodos y mecanismos específicos

requeridos para verificar que las personas certificadas cumplen los requisitos

modificados.


33 OID 1.3.6.1.4.1.18332.105.6

9. TIPOS DE SOLICITUD

9.1 Certificación

La vigencia del certificado y carné es de 1 año con mantenimientos periódicos

anuales, a menos que se presente un cambio en la normatividad o legislación que

requiera el cambio de vigencia.

Métodos de evaluación de la certificación.

El proceso de evaluación se realiza después de cumplir los prerrequisitos

establecidos en el Esquema de Certificación de la Agencia Española de Protección

de Datos para Delegados de Protección de Datos. En este documento se tienen en

cuenta los criterios de evaluación de la competencia, evaluando el conocimiento y

experiencia.

Se realiza examen teórico y práctico siguiendo los parámetros establecidos en el

Esquema de Certificación.

9.2 Seguimiento de la Certificación

La existencia de personas certificadas que no realizan de forma efectiva una

actividad profesional, es un elemento de riesgo y además, puede ocasionar

desanimo en el potencial interés de nuevos candidatos, bajo la creencia de que ya

hay una oferta que cubre la potencial demanda en su ámbito geográfico, cuando en

realidad puede ser que dicha oferta no sea real.

Con el fin de mantener lo más actualizada la lista de Delegados de Protección de

Datos Certificados, ANF AC establece una política de seguimiento. Por este motivo,

una persona certificada debe presentar anualmente solicitud formal para

mantener la vigencia del certificado y del carné profesional. Este seguimiento


34 OID 1.3.6.1.4.1.18332.105.6

permite verificar la continuidad de la actividad profesional de la persona certificada,

y analizar posibles deficiencias que se hayan podido detectar o incluso, cambios

legislativos de tal relevancia que recomienden que una posible formación accesoria

y evaluación, o la mera tramitación de actualización del certificado y del carné.

Es responsabilidad de la persona certificada presentar la solicitud de seguimiento de

la certificación y tendrá como tiempo máximo 30 días calendario después de

vencido su certificado para su renovación o de lo contrario se tendrá que iniciar un

proceso nuevo ya que se perdería su continuidad.

Los prerrequisitos para renovación del certificado y del carné, serán notificados

personalmente a cada solicitante.

VIGILANCIA DE LA CERTFICACIÓN

Una vez emitido el certificado, ANF AC podrá realizar, cuando lo considere

necesario, vigilancia a la persona certificada. Este control consiste en la aplicación

de una evaluación en campo para determinar la continuidad de la conformidad del

esquema de certificación mediante una evaluación de la persona certificada para

asegurar su competencia durante la vigencia de la certificación se aplica el proceso

de certificación, de acuerdo a las siguientes circunstancias:

• Por quejas o información brindada por terceros sobre el desempeño

del personal certificado con fundamentos o pruebas legales.

• Sospecha de prácticas irregulares en el uso del certificado, carné, o

las Marcas.

• Actuaciones defectuosas en la actividad del Responsable del

Tratamiento para el que preste servicio, dando como resultado la

imposición de infracciones por parte de la AEPD.

• Haber sido sancionado por ANF AC con la suspensión temporal de la

certificación.

La persona certificada debe asumir los costos en que incurra ANF AC, para

determinar la continuidad de su certificación.


35 OID 1.3.6.1.4.1.18332.105.6

9.3. Renovación de la Certificación

El área del Responsable Técnico de Sistemas, notificará a la persona certificada el

final del período de validez con una antelación mínima de tres meses.

La no recepción por la persona certificada de la comunicación de la Entidad de

Certificación informando del final del periodo de validez de la certificación, no

eximirá del cumplimiento de lo indicado en este apartado.

La certificación tendrá un periodo de validez de tres años y su renovación requerirá

que el candidato justifique haber cumplimentado:

- un mínimo de 60 horas de formación recibida y/o impartida durante el

periodo de validez del certificado, requiriéndose un mínimo anual de 15

horas en materias objeto del programa del Esquema, y

- al menos, un año de experiencia profesional en proyectos y/o actividades y

tareas relacionadas con las funciones del DPD en materia de protección de

datos de carácter personal y/o de la seguridad de la información,

evidenciada por tercera parte (empleador o similar).

Se valorará la formación impartida con el doble de horas que la formación recibida.

No será valorada la formación en la que no conste su duración, el temario, la

entidad de formación y el título de la formación. En el caso excepcional y justificado

de no justificar la formación anual mínima requerida durante alguno de los tres

años exigidos, se permite la cumplimentación de esa formación en alguno de los

otros dos años restantes.

La renovación habrá de solicitarse con anterioridad a la fecha de

vencimiento del periodo de validez del certificado.

El candidato deberá presentar la solicitud de renovación junto con la relación de las

reclamaciones que, en su caso, haya podido tener durante el período completo de


36 OID 1.3.6.1.4.1.18332.105.6

duración de la certificación por actuaciones defectuosas en la actividad propia para

la que esté certificado o una declaración en la que haga constar que no ha sido

objeto de ninguna reclamación. Deberá acompañar la aceptación del Código Ético y

las Normas de Uso de la marca del certificado y el Contrato de Cesión de Uso,

además de la justificación del pago de las tasas de renovación.

Una vez presentada la solicitud, la Entidad de Certificación procederá a la

evaluación de la misma para la comprobación de la validez de toda la

documentación proporcionada. Si tras dicha evaluación inicial, la información no

estuviera completa, se informará al candidato de la no aceptación de la solicitud de

renovación mediante notificación escrita. Se dará un plazo máximo de 90 días

naturales para que pueda subsanar. Si, transcurrido dicho plazo, no fuera posible

subsanar la deficiencia notificada, se declarará al candidato como no renovado, lo

que se le comunicará mediante notificación escrita y se procederá a la retirada del

certificado.


En el caso en que se renueve la certificación, la Entidad de Certificación emitirá un

nuevo certificado justificativo con el mismo número identificativo asignado en la

primera certificación. El nuevo certificado tendrá un periodo de validez de tres

años.

Conservación de la información

Los registros se conservar por un período de tiempo mínimo de quince años, y

siempre durante el tiempo que cubra un ciclo completo de certificación, o según sea

requerido por los acuerdos de reconocimiento, las obligaciones contractuales,

legales u otras.

La información es custodiada en registros identificados, debidamente gestionados y

conservados de manera que se asegura la integridad del proceso y la

confidencialidad de la información.


37 OID 1.3.6.1.4.1.18332.105.6

10. SUSPENSIÓN O RETIRADA DE LA

CERTIFICACIÓN

La persona certificada devolverá sin demora a la EC ANF AC, el certificado afectado

por una suspensión temporal sea voluntaria o por sanción impuesta, así como por

la retirada de la certificación, y se abstendrá de hacer declaraciones relativas a la

certificación.

10.1 Suspensión temporal voluntaria

En el caso en que la persona certificada declare haber dejado de cumplir con los

requisitos del Esquema, contractuales o de otro orden, su certificado dejará de

estar en vigor durante un tiempo no superior a 12 meses.

Para la vuelta a la condición de certificado, la entidad de certificación requerirá

realizar comprobaciones encaminadas a confirmar que las causas que motivaron la

solicitud de suspensión han desaparecido, siempre que no haya transcurrido más

de un año desde la fecha de suspensión de la certificación y que justifique

documentalmente que está en condiciones de obtener el certificado, en los mismos

términos establecidos para la renovación en el apartado anterior.

Una vez transcurrido un año de suspensión del certificado, sin que haya sido posible

su renovación o no hayan desaparecido las causas que motivaron la suspensión, se

procederá a la retirada definitiva de la certificación y el candidato deberá reiniciar

todo el proceso para obtener nuevamente la misma.

10.2 Suspensión temporal por conductas contrarias al Esquema.

Son motivos de suspensión por la entidad de certificación los siguientes supuestos:

- La no presentación por parte de la persona certificada de

documentación, registros o cualquier información que le haya sido


38 OID 1.3.6.1.4.1.18332.105.6

requerida por la entidad de certificación para mantener dicha

certificación o para investigar una reclamación dirigida a la persona.

- La no realización de alguna de las funciones y tareas como DPD, así

como la falta o ausencia de competencia para cualquier tarea

asignada bajo este Esquema.

- La realización por parte de la persona de declaraciones o usos en su

condición de certificado que excedan del alcance de la certificación,

que sean engañosas o que de cualquier manera perjudiquen o

desprestigien el Esquema de certificación.

- Los comportamientos contrarios al Código Ético.

- El uso de las marcas de certificación de manera no permitida o

contraria a las reglas de uso de marcas del Esquema.

- El incumplimiento por la persona certificada de cualquiera otra de las

reglas del Esquema que le afecten.

Cualquiera de estos incumplimientos podrá dar lugar a la suspensión temporal de la

certificación por un período máximo de seis meses. La acumulación de tres

incumplimientos podrá suponer la suspensión de la certificación por un periodo

mínimo de seis meses hasta la mitad del ciclo de certificación, superada la cual se

procederá a la retirada de la certificación.

Si como consecuencia de la investigación de estos supuestos la entidad de

certificación concluye que existen evidencias de haber dejado de cumplir con los

requisitos del Esquema, contractuales o de otro orden, incluido la posesión de una

determinada competencia y en consecuencia su certificado deje de ser válido, la

entidad deberá proceder a suspender temporalmente tal certificado en tanto no se

subsanen las causas.

Las sanciones establecidas se entenderán sin perjuicio de las responsabilidades

civiles, penales, profesionales o de otro orden en que puedan incurrir las personas

certificadas en el ejercicio de su profesión.


39 OID 1.3.6.1.4.1.18332.105.6

Para la vuelta a la condición de certificado, la entidad de certificación deberá

requerir las oportunas comprobaciones para confirmar que las causas que

motivaron la suspensión han desaparecido, pudiéndose llegar incluso a exigir una

reevaluación parcial o total.

El uso de la certificación durante el periodo de suspensión se considerará falta

grave, y podrá ser objeto de la retirada definitiva de la certificación.

10.3 Retirada de la certificación

Serán motivos que deberán llevar a una entidad de certificación a la retirada de una

certificación ya emitida, los siguientes:

- Cualquiera de las identificadas anteriormente para la suspensión

temporal, en función de su gravedad o su reiteración, como la

reiteración en un tipo concreto de incumplimiento que ya motivó una

suspensión temporal, lo que implica que no se ha corregido la

conducta del DPD.

- La suspensión de la certificación por un periodo superior a la mitad

del ciclo de certificación.

- La falta de colaboración de la persona certificada para la devolución

del certificado en caso de sanción.

Para la vuelta a la condición de certificado, la persona afectada deberá someterse a

un proceso de certificación inicial completo. La Entidad de Certificación podrá

requerir a la persona que, previamente a someterse a la evaluación, evidencie

haber resuelto las causas que llevaron a la retirada del certificado anterior sin que

ello pueda ser considerado como trato discriminatorio.

La Entidad de Certificación se reservará el derecho a aceptar una nueva solicitud

por parte del profesional sancionado.


40 OID 1.3.6.1.4.1.18332.105.6

11. DERECHOS Y OBLIGACIONES DE LAS

PERSONAS CERTIFICADAS

11.1. Derechos.

Los titulares de los certificados tendrán derecho a:

• Hacer uso de los certificados para el desarrollo de su actividad

profesional.

• Beneficiarse de cuantas actividades de divulgación y promoción lleve

a cabo la entidad de certificación referente a las personas

certificadas.

• Reclamar y a recurrir cualquier decisión desfavorable.

11.2. Obligaciones.

Los titulares de los certificados estarán obligados a:

• Respetar el Esquema de Certificación de DPD y todos los

procedimientos aplicables.

• Cumplir con las obligaciones económicas derivadas de la certificación.

• Aceptar las prescripciones del Código Ético.

• Actuar en su ámbito profesional con la debida competencia técnica,

velando por el mantenimiento del prestigio de la certificación

concedida.

• Colaborar con la entidad de certificación en las actividades de

supervisión de su actuación necesarias para el mantenimiento y

renovación de la certificación.

• Informar a la entidad de certificación sobre cualquier situación

profesional que pudiera afectar al alcance de la certificación

concedida.

• Informar a la entidad de certificación, sin demora, sobre cuestiones

que puedan afectarle para continuar cumpliendo los requisitos de

certificación.


41 OID 1.3.6.1.4.1.18332.105.6

• No usar el certificado y la marca del Esquema para usos diferentes

que no sean los derivados de la realización de actividades dentro del

alcance de la certificación concedida.

• No realizar acciones lesivas, de cualquier naturaleza, ni dañar la

imagen y/o los intereses de las personas, empresas, entidades y

clientes, incluso potenciales, interesados en la prestación profesional,

ni tampoco la de la AEPD o las entidades de certificación.

• No tomar parte en prácticas fraudulentas relativas a la sustracción

y/o divulgación del material del examen.

• Mantener un registro de reclamaciones recibidas en relación con el

alcance de la certificación obtenida.

• Devolver el certificado en caso de retirada de la certificación.

El incumplimiento de las obligaciones descritas podrá suponer el inicio del proceso

de suspensión o retirada del certificado.


42 OID 1.3.6.1.4.1.18332.105.6

12. INFORMACIÓN SOBRE LAS PERSONAS

CERTIFICADAS

La Entidades de Certificación ANF AC, mantendrán actualizado, como mínimo

semestralmente, un registro público del estado en vigor de las personas

certificadas. Este listado contendrá, como mínimo, nombre y apellidos, número de

certificado, fecha de concesión, fecha de caducidad y estado del certificado

(concedido, suspendido, retirado, renovado), y estará disponible para cualquier

persona interesada.


43 OID 1.3.6.1.4.1.18332.105.6

13. CÓDIGO DE CONDUCTA

13.1 DERECHOS DE LOS SOLICITANTES Y CANDIDATOS

• Recibir información, de forma clara, precisa y respetuosa relacionada

con el proceso de certificación sobre la competencia a la cual desea

aplicar.

• Elegir libremente la Entidad de Certificación

• A presentar las solicitudes de certificación sin restricciones ni

prejuicios relacionados por la condición socio económico, raza,

opciones políticas, religión, género, cultural o cualquier práctica que

sea considera como discriminatoria que pueda vulnerar los derechos

de las personas.

• Recibir información clara en caso de considerar insuficiente la

información recibida o presentarse dudas e inquietudes; de acuerdo

al tipo de inquietud, recibirá asesoría por parte del Director del

Organismo de Certificación.

• A un trato digno, justo, imparcial y ético por parte de ANF AC como


• A que toda la información suministrada por el aspirante, sea tratada

de manera confidencial y secreta y que solo con su autorización,

pueda ser conocida.

• Ser informado vía correo electrónico, medio físico o telefónicamente

del estado de su documentación y solicitud de certificación.

• A interponer quejas o apelaciones de los resultados de la evaluación.

• Los aspirantes que haya presentado apelación o quejas de la Entidad

de Certificación, tiene derecho a ser informados vía correo certificado

o electrónico de las decisiones tomadas en un periodo de tiempo no

mayor a quince (15) días hábiles.

• Derecho a conocer el costo del servicio solicitado.

• Tiene derecho a hacer correcciones a la solicitud, para ello debe

informarlas al Servicio de Atención al Cliente.


44 OID 1.3.6.1.4.1.18332.105.6

• Tiene derecho a solicitar que se tengan en cuenta necesidades

especiales de personas discapacitadas, de tal modo ANF AC verificará

y dará cabida, dentro de lo razonable y siempre que se respete la

integridad de la evaluación.

• Tiene derecho a que la Entidad de Certificación respete el principio de

imparcialidad e independencia.

• El solicitante tiene derecho a ser notificado del rechazo o de la

aceptación de la solicitud.

• El candidato tiene derecho a recibir la notificación de resultados de su


13.2 DEBERES DE LOS SOLICITANTES Y CANDIDATOS

• El solicitante debe cumplir con los prerrequisitos establecidos ANF AC,

como Entidad de Certificación de personas.

• Dar información veraz y verificable para la inscripción de solicitantes

y candidatos concerniente al proceso de certificación.

• Dar trato respetuoso y digno a todo el personal de ANF AC, que tiene

contacto directo como indirecto.

• Seguir siempre las indicaciones dadas por el supervisor / examinador

durante el desarrollo de las pruebas teóricas y prácticas.

• Hacer uso adecuado del material suministrado para la realización de

las pruebas.

• No, copiar ni sustraer el examen de evaluación cuya propiedad

intelectual es de ANF AC. En caso de incurrir en ello, el proceso de

certificación se anulara y tomaran las medidas legales que sean del

caso.

• En caso contrario y de demostrarse conducta fraudulenta, podrán ser

anuladas las pruebas, e incluso impedir nueva presentación del

candidato.

• Expresar por escrito las quejas y apelaciones en caso de no aceptar

los resultados de las evaluaciones que se realizaron.


45 OID 1.3.6.1.4.1.18332.105.6

• Guardar la respectiva confidencialidad de cada una de las pruebas

• No generar ningún tipo de presión para una atención preferencial

• Cumplir con todas las normas de seguridad en el momento de las

pruebas prácticas.

• Cuidar de las instalaciones, equipos y recursos suministrados por ANF

AC para el proceso de certificación

• Realizar los pagos en forma oportuna.

• Declarar en la solicitud de ANF AC que la información suministrada,

justificaciones de prerrequisitos, acreditaciones de formación y los

antecedentes documentados, corresponden estrictamente a la

verdad.

• Suscribir los acuerdos de confidencialidad, código ético y otros

documentos que son requeridos por el Organismo de Certificación.

• Estudiar, entender y, en caso de duda consultar al Departamento

Jurídico, la información contenida en el REGLAMENTO, y conocer lo

prerrequisitos correspondientes al alcance al que está aplicando.

• Presentarse al proceso de evaluación de la conformidad sin los

efectos del alcohol o de drogas psicoactivas.

• Debe llevar a cabo el proceso con total honestidad si cometer fraude

durante los exámenes, valiéndose exclusivamente en base a su

conocimiento personal y experiencia profesional.

• Respetar la intimidad de las personas con las que se relacione en el


• No tomar fotografías, videos, grabaciones o sustraer material de

evaluación o examinación.

• No falsificar o hacer mal uso del certificado y del carné emitido por

ANF AC

• Hacer buen uso del certificado sin desprestigiar a ANF AC como


• No realizar declaraciones relacionadas con la certificación que se

puedan considerar engañosas o no autorizadas.


46 OID 1.3.6.1.4.1.18332.105.6

• En caso de suspensión o retiro de la certificación la persona

certificada está en la obligación de no hacer declaración alguna

relacionada con la certificación.

• Por ningún motivo puedo modificar el alcance de la certificación

señalados en el certificado, ni dar a entender a terceros que tiene un

mayor alcance que para el que fue emitido ANF AC

• En caso de suspensión o retirada definitiva del carné o del certificado,

la persona certificada está en la obligación de hacer entrega física del

mismo a ANF AC.


47 OID 1.3.6.1.4.1.18332.105.6

14. QUEJAS Y APEACIONES

Podrán ser objeto de queja o reclamación cualesquiera actuaciones contrarias al

Esquema realizadas por la Entidad de Certificación y por las personas certificadas

con arreglo al mismo. Serán objeto de especial atención las conductas de los

Delegados de Protección de Datos certificados que resulten contrarias al Código

Ético del Esquema.

Cualquier queja o reclamación sobre la actuación de la Entidad de Certificación [EC]

deberá ser presentada en primer lugar ante la propia EC, antes de dirigirla a la

AEPD.

Cualquier queja o reclamación a la EC, por parte de un tercero, relativa a la

actuación o desempeño de una persona certificada en el Esquema, deberá ser

reenviada al resto de agentes (AEPD y ENAC), y gestionada en primera instancia

por la EC que lo ha certificado. Las responsabilidades dependerán del contenido de

dicha reclamación.

El candidato tendrá derecho a presentar una apelación, o queja, o reclamación, en

caso de no aceptar los resultados del proceso de certificación, dichas apelaciones se

deben realizar al correo electrónico [email protected] dirigido al Responsable Técnico

de Sistemas de ANF AC; y se desarrollara según el procedimiento descrito en el

apartado Quejas y Apelaciones del Reglamento Interno de Evaluador.

Cualesquiera decisiones de la Entidad de Certificación respecto al proceso de

aceptación de una solicitud de examen, podrá ser objeto de la correspondiente

reclamación

Si la reclamación es relativa a una persona certificada o a la actuación de la EC, la

citada queja o reclamación deberá ser gestionada por ésta de acuerdo a lo


48 OID 1.3.6.1.4.1.18332.105.6

requerido por la norma UNE-EN ISO/IEC 17024. El tratamiento dado a las mismas,

así como su resolución, serán verificadas por ENAC como parte de su evaluación.

Si la reclamación está relacionada con la acreditación concedida, deberá ser

gestionada por ENAC, quien además deberá tramitar aquellas reclamaciones o

quejas que procedan de reclamantes insatisfechos con la respuesta dada, en

primera instancia, por una EC autorizada y, por lo tanto, acreditada.

Procedimiento de quejas y Reclamaciones

El proceso para el tratamiento y resolución de las quejas o reclamaciones será

conforme a la norma UNE-EN ISO/IEC 17024.

El procedimiento para la gestión de las quejas o reclamaciones sobre el Esquema,

deberá seguir, al menos, los siguientes trámites:

a) Estudio y evaluación de la queja o apelación, y, en su caso, petición

de evidencias.

b) Comunicación a las partes interesadas y/o afectadas por cada proceso

de apelación y reclamación sobre la situación puesta de manifiesto

contemplando un plazo máximo de 30 días para la presentación de

alegaciones.

c) Análisis y evaluación de las evidencias aportadas y las alegaciones

presentadas por las partes interesadas.

d) Deliberación y toma de decisión final al respecto.

e) Comunicación de la resolución a las partes.

Para el adecuado desarrollo del presente procedimiento, la persona certificada está

obligada a:

a) Colaborar plenamente con cualquier investigación formal abierta para

resolver casos específicos de reclamación y/o quejas.

b) Mantener un registro de todas las reclamaciones presentadas contra

él, por la actividad desarrollada en el ámbito de validez de la

certificación y permitir a la Entidad de Certificación el acceso a estos


49 OID 1.3.6.1.4.1.18332.105.6

registros. A tales efectos, en el plazo de diez días desde la recepción

de la reclamación, deberá enviar una comunicación escrita y copia de

la reclamación a la Entidad de Certificación.

c) Proporcionar a los clientes un formulario para rellenar en caso de

cualquier queja relacionada con los servicios prestados, que se

remitirá tanto a la persona certificada y Organización afectada por la

queja, como a la Entidad de Certificación.

Si la queja o reclamación diera lugar a la apertura de una actividad de investigación

sobre una persona certificada, cuya resolución pudiera implicar la suspensión

temporal o la retirada o pérdida de la certificación obtenida, se estará a lo

dispuesto en el apartado 8. Criterios para la Suspensión o Retirada de la

Certificación.


50 OID 1.3.6.1.4.1.18332.105.6

15. COMITÉ DE SELECCIÓN

Se crea el Comité de Selección como órgano interno de la Entidad de Certificación.

El organismo de certificación verificará y dará cabida, dentro de lo razonable y

siempre que se respete la integridad de la evaluación, a las necesidades especiales

teniendo en cuenta la reglamentación nacional.

El Comité de Selección intervendrá en conformidad con la siguiente normativa

interna:

15.1 Procedimiento de selección y designación de Evaluadores

Los evaluadores pueden ser personal propio de la entidad o personal

subcontratado, autónomos o por cuenta ajena. En cualquier supuesto la relación

quedará formalizada mediante el correspondiente contrato.

Para cuantas cuestiones puedan surgir respecto al incumplimiento de sus

compromisos con relación al Esquema, se ajustarán a lo indicado en el contrato.

Este procedimiento define los criterios relativos a los procesos de selección y

mantenimiento de las empresas o personas subcontratadas.

15.1.1 Registros y procedimientos de trabajo.

Se mantendrán archivados los CV de todos los evaluadores en los que se conserven

los registros sobre titulación, formación y experiencia que demuestren su adecuada

competencia técnica.

Asimismo, se distribuirán de forma controlada a los evaluadores copias de aquellos

documentos del sistema de la calidad que sean de aplicación a su trabajo, y en

especial todos los procedimientos y formatos aplicables a la actividad de

evaluación.


51 OID 1.3.6.1.4.1.18332.105.6

15.1.2 Requisitos de los evaluadores.

Los evaluadores candidatos deberán cumplir los siguientes requisitos.

a) Titulación universitaria de grado.

b) Experiencia de al menos cinco años en el ámbito de protección de datos o

de la seguridad de la información.

15.1.3 Méritos.

Se valorarán los siguientes méritos:

1. Méritos preferentes.

▪ Titulación universitaria superior a la de grado: doctorado, posgrado o

máster en el ámbito de la protección de datos o la seguridad de la

información.

▪ Experiencia docente en títulos relacionados con la protección de datos

o la seguridad de la información.

▪ Estar en posesión durante los últimos cinco años de certificaciones

relacionadas con la protección de datos o la seguridad de la

información.

2. Méritos adicionales.

Se valorarán también los siguientes méritos:

▪ Experiencia superior a cinco años en el ámbito de protección de datos

o seguridad de la información.

▪ Participación en comités nacionales o internacionales de

normalización relacionados con protección de datos o seguridad de la

información.

▪ Publicación de artículos relacionados con ambas materias.

15.1.4 Incompatibilidades y exclusiones.

Podrán ser excluidos parcial o totalmente del proceso de evaluación aquellas

personas que pudieran ver comprometida su independencia por cualquier

circunstancia profesional, familiar o personal.

15.1.5 Funciones del evaluador.


52 OID 1.3.6.1.4.1.18332.105.6

El evaluador es responsable de:

▪ Evaluar de manera imparcial y confidencial la documentación

presentada por los candidatos y las pruebas a que se sometan. La

valoración del examen se hará sin conocer la identidad del candidato.

▪ Emitir un informe con el resultado de la evaluación.

Además, le corresponde:

▪ Informar a la Entidad de Certificación de cualquier relación

profesional, familiar o de otro tipo que pueda afectar a la objetividad

e imparcialidad de su labor de evaluación.

▪ Valorar la recusación motivada de cualquier candidato para su

traslado a la Entidad de Certificación.

15.1.6 Procedimiento de selección.

La Entidad de Certificación evaluará las candidaturas de los evaluadores y resolverá

comunicando su decisión al candidato


53 OID 1.3.6.1.4.1.18332.105.6

16. TARIFAS

Las tarifas de la Entidad de Certificación ANF AC, estarán publicadas en

http://www.anf.es

http://www.anf.es/


54 OID 1.3.6.1.4.1.18332.105.6

17. ADMINISTRACIÓN DEL REGLAMENTO

ANF AC como Entidad de Certificación del Esquema de Certificación de personas

para el ejercicio profesional de Delegado de Protección de Datos de la Agencia

Española de Protección de Datos, se asegura que el Reglamento se revisa y valida

de forma sistemática para mantener su adecuación con la última versión del

Esquema.

El Departamento jurídico de ANF AC será el responsable de la revisión y en su caso,

elaborar propuestas de modificación. La Junta Rectora de la Entidad de Certificación

ANF AC, será la responsable de su aprobación.

Independientemente de que no se produzca cambio de versión del Esquema de

Certificación, el Departamento Jurídico llevará a cabo como mínimo una vez al año

una revisión del Reglamento.

El Reglamento será gestionado con un control de versionado. La Junta Rectora en

caso de cambio, será responsable de notificar a todas las partes interesadas.

17.1 Publicación

El Reglamento estará permanentemente disponible en su última versión, en la Web

corporativa de la Entidad de Certificación ANF AC

http://www.anf.es

http://www.anf.es/


55 OID 1.3.6.1.4.1.18332.105.6

18. INFORMACIÓN SOBRE LAS PERSONAS

CERTIFICADAS

ANF AC como Entidad de Certificación del Esquema de Certificación de personas, en

conformidad con el apartado 6.9 del Esquema, mantendrá actualizado, como

mínimo semestralmente, un registro público del estado en vigor de las personas

certificadas. Este listado contendrá:

• Nombre,

• apellidos,

• número de certificado,

• fecha de concesión,

• fecha de caducidad, y

• estado del certificado (concedido, suspendido, retirado, renovado).

La registró será público, disponible para cualquier persona interesada.

REGLAMENTO CERTIFICACION DE PERSONAS Entidad Certificacion v1.7.pdf · 2018-01-03 · Reglamento de...

Documents

Transcript of REGLAMENTO CERTIFICACION DE PERSONAS Entidad Certificacion v1.7.pdf · 2018-01-03 · Reglamento de...