En cumplimiento con lo previsto en artículo 48.8 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, procede la publicación en el «Boletín Oficial del Estado» Convenio entre la Entidad Nacional de Acreditación (ENAC) y la Agencia Española de Protección de Datos (AEPD) para la acreditación de organismos de certificación de las certificaciones previstas en el artículo 42 del Reglamento General de Protección de Datos.
Madrid, 15 de enero de 2026.–El Presidente de la Agencia Española de Protección de Datos, Lorenzo Cotino Hueso.
ANEXO
Convenio de Colaboración entre la Agencia Española de Protección de Datos (AEPD) y la Entidad Nacional de Acreditación (ENAC)
REUNIDOS
De una parte, don Lorenzo Cotino Hueso, actuando en nombre y representación de la Agencia Española de Protección de Datos (AEPD), con NIF Q-2813014D, siendo su Presidente en virtud del nombramiento efectuado por el Real Decreto 142/2025, de 25 de febrero (BOE de 26 de febrero de 2025), de conformidad con lo dispuesto en el artículo 48.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
Y, de otra, doña Beatriz Rivera Romero, en su condición de Directora General de la Entidad Nacional de Acreditación (ENAC), asociación sin fines lucrativos inscrita en el Registro Nacional de Asociaciones con el núm. 65.232 y NIF G‐78373214, en virtud de la competencia que tiene atribuida según lo dispuesto en el artículo 43 de sus Estatutos, aprobados por la Asamblea General en diciembre de 2020.
Reconociéndose ambas partes capacidad legal suficiente, y en el ejercicio de las facultades que por razón de su cargo tienen atribuidas, en nombre de las entidades que representan
EXPONEN
I. Que ENAC es la entidad designada por el Real Decreto 1715/2010, de 17 de diciembre, como único Organismo Nacional de Acreditación, dotado de potestad pública para otorgar acreditaciones, de acuerdo con lo establecido en el Reglamento (CE) n.º 765/2008 del Parlamento Europeo y el Consejo, de 9 de julio de 2008.
II. Que ENAC ha sido designada para acreditar en el ámbito estatal, y a través de un sistema conforme a normas internacionales, la competencia técnica de una entidad para certificar o inspeccionar (organismos de evaluación de la conformidad, OEC, u organismos de certificación, OC) que operen en cualquier sector, sea en el ámbito voluntario o en el obligatorio cuando reglamentariamente así se establezca.
III. Que el sistema de acreditación de ENAC se establece conforme a requisitos dispuestos en las normas internacionales que son de aplicación, para procurar que las acreditaciones que se expidan y, asimismo, que los servicios que prestan los titulares de dichas acreditaciones estén reconocidos y sean aceptados nacional e internacionalmente, sin necesidad de nuevas evaluaciones, eliminando así posibles barreras a la libre circulación de los productos.
IV. Que ENAC es el miembro español de la European Cooperation for Acreditation (EA) (organismo designado en el Reglamento (CE) n.º 765/2008 por la Comisión Europea para gestionar la Infraestructura Europea de acreditación) y, asimismo, es firmante de los denominados «Acuerdos Multilaterales de Reconocimiento Mutuo» existentes en materia de acreditación en Europa e, igualmente, en territorios extracomunitarios. En su virtud, en todos los países firmantes se reconoce la equivalencia de los informes o certificados emitidos por los Organismos Evaluadores de la Conformidad acreditados por ENAC.
V. Que la AEPD es una Autoridad Administrativa Independiente de ámbito estatal, de las previstas en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de los poderes públicos en el ejercicio de sus funciones, y cuya principal función es velar por el cumplimiento de la legislación sobre protección de datos de carácter personal y controlar su aplicación.
VI. Que la AEPD ha de promover mecanismos de certificación en materia de protección de datos a fin de demostrar el cumplimiento en las operaciones de tratamiento de los responsables y los encargados de lo dispuesto en el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos –RGPD– (artículos 42, 43, 57.1, letras n) y o), 58.1, letra c), 58.2, letra h), y 58.3, letras e) y f), entre otros).
VII. Que, conforme a lo dispuesto en los artículos 42.4 y 43.1 del citado RGPD, las certificaciones en materia de protección de datos serán expedidas por organismos de certificación que han de ser acreditados, por la autoridad de control competente y/o por el organismo nacional de acreditación designado, de conformidad con el Reglamento (CE) n.º765/2008 del Parlamento Europeo y del Consejo con arreglo a la norma EN ISO/IEC 17065/2012 y a los requisitos adicionales establecidos por la autoridad de control competente.
En el mismo sentido se recoge en el artículo 39 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, al disponer que «Sin perjuicio de las funciones y poderes de acreditación de la autoridad de control competente en virtud de los artículos 57 y 58 del Reglamento (UE) 2016/679, la acreditación de las instituciones de certificación a las que se refiere el artículo 43.1 del citado reglamento podrá ser llevada a cabo por la Entidad Nacional de Acreditación (ENAC), que comunicará a la Agencia Española de Protección de Datos y a las autoridades de protección de datos de las comunidades autónomas las concesiones, denegaciones o revocaciones de las acreditaciones, así como su motivación».
VIII. Que, en relación con lo anterior, la AEPD entiende que la acreditación de ENAC es un instrumento idóneo para garantizar la competencia técnica de los OC, para la certificación de los esquemas de certificación previstos en el artículo 43 del RGPD, en cuyos resultados se debe confiar y es también un medio idóneo, a su vez, para demostrar dicha competencia tanto a nivel nacional como internacional.
Que, de acuerdo con lo anterior, ambas partes han decidido suscribir y aplicar el presente convenio de colaboración, y, a tales efectos,
ACUERDAN
Objeto del convenio: La AEPD y ENAC colaborarán y coordinarán sus actuaciones en el marco de sus respectivas competencias, en todo lo referente a las actividades de acreditación, destinadas a acreditar que un determinado organismo de certificación (en adelante, OC) cumple con los requisitos establecidos por la norma ISO/IEC 17065/2012 y el artículo 43 del RGPD, para la expedición de certificaciones de conformidad con el artículo 42 del mismo Reglamento.
Primera.
ENAC se compromete a desarrollar las acciones que sean necesarias para el cumplimiento del objeto del convenio. Dichas acciones incluirán como mínimo, las siguientes:
– Colaboración para elaboración de los requisitos de acreditación.
– Acreditar a los OC (organismos de certificación) previstos en el artículo 43 del RGPD.
– Colaboración en la evaluación de los esquemas de certificación presentados para la aprobación por la AEPD de conformidad con el artículo 58, apartado 3, del RGPD, o por el Comité Europeo de Protección de Datos de conformidad con el artículo 63 del RGPD.
– Comunicar a la AEPD:
● Las acreditaciones efectuadas y su fecha, incluidas las renovaciones.
● Los recursos presentados por los organismos acreditados y las decisiones adoptadas al respecto.
● Suspensiones y revocaciones (retiradas) de las acreditaciones, acompañadas de las razones que las motivaron.
● Cualquier otra información y documentación de interés para la AEPD.
● Las convocatorias de las Comisiones de Acreditación de forma que la AEPD pueda participar en ellas, de acuerdo con los estatutos de ENAC, con voz, pero sin voto.
Segunda.
ENAC, como organismo nacional de acreditación conforme al Reglamento (CE) n.º 765/2008, llevará a cabo su evaluación y tomará las decisiones relativas a su acreditación siguiendo tanto sus criterios y procedimientos como lo dispuesto en el artículo 43 del RGPD, sobre la base de los requisitos aprobados por la AEPD, o por el Comité Europeo de Protección de Datos en virtud del artículo 63 del RGPD, que complementarán los establecidos en el Reglamento (CE) 765/2008 y las normas técnicas que describen los métodos y procedimientos de los organismos de certificación.
La AEPD otorgará a las acreditaciones de ENAC el valor de presunción suficiente de conformidad con las normas, y las reconocerá en las condiciones y con las limitaciones que se deriven de la aplicación de la normativa vigente.
La AEPD tiene la potestad de supervisar la actividad de las entidades acreditadas y la adecuación de ENAC a los requisitos aprobados por la AEPD.
Tercera.
La AEPD se compromete a comunicar a ENAC:
– Las actualizaciones sobre los desarrollos regulatorios y de criterios sobre el objeto del convenio de los que tenga conocimiento, con especial referencia a las Directrices, dictámenes y decisiones del Comité Europeo de Protección de Datos.
– Las actualizaciones sobre los esquemas de certificación aprobados a nivel nacional y ante el Comité Europeo de Protección de Datos.
– La información sobre cuestiones relacionadas con las certificaciones, destacadas por reclamaciones u otros documentos recibidos por la AEPD.
– Cualquier otra información y documentación que se considere pertinente a los efectos del presente convenio, en particular en lo que respecta a las iniciativas adoptadas por la AEPD, incluso en aquellos casos en que estas se deriven de la información facilitada por ENAC.
– El resultado de las actividades de supervisión que se refieran de manera específica a las entidades de certificación.
Con el fin de facilitar los intercambios de información a los que se hace referencia anteriormente, las partes harán uso de los procedimientos operativos definidos conjuntamente y que se consideren más apropiados, incluso mediante reuniones periódicas.
Así mismo, la AEPD se compromete a conocer y respetar las directrices y contenidos del Código Ético de ENAC en las actuaciones que se realicen en aplicación de este convenio, cumpliendo sus disposiciones en todas y cada una de ellas; y a participar en aquellas Comisiones de Acreditación en las que ENAC solicite su presencia de manera específica.
Cuarta.
ENAC será la responsable de la cualificación, designación y supervisión del trabajo de evaluación que sea realizado por los auditores. A tal fin, utilizará todos los procedimientos habituales establecidos al efecto.
Quinta.
Cada una de las partes asumirá los gastos que se deriven de la ejecución de sus respectivos compromisos, conforme a lo pactado en el presente convenio.
Sexta.
Los costes asociados a las actividades de acreditación de ENAC serán asumidos por los OC solicitantes mediante el abono de las tarifas establecidas a este fin.
Séptima.
La AEPD podrá solicitar su ingreso como socio de ENAC, pudiendo formar parte de sus órganos en las condiciones previstas en sus Estatutos.
Octava.
Con el fin de llevar a cabo el seguimiento, vigilancia y control del presente convenio, se creará una Comisión Mixta de Seguimiento compuesta por dos representantes de cada una de las partes, designados conforme a sus respectivas normas institucionales. Esta Comisión Mixta fijará sus propias normas de funcionamiento, debiendo reunirse con carácter ordinario al menos una vez al año o, de forma extraordinaria, cuando lo solicite justificadamente cualquiera de las partes. Esta Comisión tendrá como principales funciones velar por la organización, gestión y seguimiento de las acciones objeto del convenio, interpretar los términos del mismo que lo requieran y resolver las dudas que puedan surgir en su aplicación e interpretación, de acuerdo con lo expresado en esta cláusula.
Novena.
El presente convenio tiene naturaleza administrativa, quedando sometido al régimen jurídico de convenios previsto en el capítulo VI del título preliminar de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público. Los tribunales competentes para resolver cualesquiera cuestiones relacionadas con el presente convenio serán los pertenecientes a la Jurisdicción Contencioso–administrativa.
Décima.
El presente convenio, conforme a lo establecido en el artículo 48.8 de la Ley 40/2015, de 1 de octubre, se perfeccionará con el consentimiento de las partes y resultará eficaz una vez inscrito en el Registro Electrónico estatal de Órganos e Instrumentos de Cooperación del sector público estatal, y extenderá su vigencia por un período de cuatro años a partir de dicha fecha. En cualquier momento antes de la finalización del plazo previsto en el apartado anterior, los firmantes del convenio podrán acordar de mutuo acuerdo su prórroga por un periodo de hasta cuatro años adicionales o su extinción.
No obstante, cualquiera de las partes podrá resolver en cualquier momento el presente convenio, comunicándolo a la otra parte con una antelación mínima de tres meses respecto a la fecha en que se desee poner fin al convenio.
Undécima.
Darán lugar a la extinción del presente convenio las causas previstas en el artículo 51 de la ley 40/2015, de 1 de octubre. En todo caso, cualquiera que sea la causa de extinción, los responsables de su seguimiento establecerán de mutuo acuerdo lo necesario para llevar a buen término las actuaciones que se encuentren en ejecución.
Y, en prueba de conformidad, ambas partes firman el presente documento.−En Madrid, a 19 de diciembre de 2025.–Por la ENAC, Beatriz Rivera Romero.–Por la AEPD, Lorenzo Cotino Hueso.