Artículo 39. Acreditación de instituciones de certificación

Sin perjuicio de las funciones y poderes de acreditación de la autoridad de control competente en virtud de los artículos 57 y 58 del Reglamento (UE) 2016/679, la acreditación de las instituciones de certificación a las que se refiere el artículo 43.1 del citado reglamento podrá ser llevada a cabo por la Entidad Nacional de Acreditación (ENAC), que comunicará a la Agencia Española de Protección de Datos y a las autoridades de protección de datos de las comunidades autónomas las concesiones, denegaciones o revocaciones de las acreditaciones, así como su motivación.

La LOPDyGDD únicamente regula la acreditación de instituciones de acreditación en el art. 39 pese a que el Capítulo IV tipifica la certificación y los códigos de conducta como elemento vertebral de medidas de autorregulación. En este sentido, el mencionado artículo se limita a establecer que la Entidad Nacional de Acreditación (ENAC) será la encargada de acreditar a los organismos de certificación a los que se refiere el art. 43.1 RGPD, actuando bajo el principio de publicidad, esto es, mediante la comunicación a la AEPD y a las APD autonómicas las concesiones, denegaciones o revocaciones de las acreditaciones. Ahora bien, la LOPDyGDD nada regula acerca del papel de los distintos organismos que intervienen en el procedimiento de certificación (organismos de certificación y autoridades de control del art. 42.5 RGPD) y tampoco de sus requisitos materiales y formales que si contempla en toda su extensión el RGPD y que se detallan a continuación.

En relación con el tiempo de vigencia de la acreditación, el art. 43.4 RGPD establece que se expedirá por un período máximo de cinco años y podrá ser renovada si reúne las mismas condiciones. Indudablemente, este precepto no se encuentra tipificado en la LOPDyGDD y persigue fomentar la constante actualización de los elevados estándares exigibles en el ámbito de la protección de datos. Actualmente, la ENAC cumple con lo previsto en el citado Reglamento, pues acredita las actividades objeto de acreditación y evalúa a través de v