Códigos de conducta en materia de protección de datos en el Reglamento General de Protección de Datos (RGPD) y en la LO 3/2018 de 5 de diciembre (LOPDGDD)

Los códigos de conducta constituyen la capacidad de las entidades, instituciones y organizaciones para regularse a sí mismas a partir de la normativa establecida. Facilitan la correcta aplicación del RGPD, teniendo en cuenta las características específicas de los distintos sectores y las necesidades específicas de PYMES y micropymes, y especificarán lo siguiente (artículo 40.2 RGPD):

• el tratamiento leal y transparente
• los intereses legítimos perseguidos por los responsables del tratamiento en contextos específicos
• la recogida de datos personales
• la seudoanonimización de datos personales
• la información proporcionada al público y a los interesados
• el ejercicio de los derechos de los interesados
• la información proporcionada a los niños y la protección de éstos, así como la manera de obtener el consentimiento de los titulares de la patria potestad o tutela sobre el niño
• la responsabilidad del responsable, protección desde el diseño y por defecto y las medidas de seguridad
• la notificación de violaciones de la seguridad
• la transferencia de datos personales a terceros países y organizaciones internacionales, o
• los procedimientos extrajudiciales y otros procedimientos de resolución de conflictos, sin perjuicio de los derechos de los interesados

Su ámbito de aplicación subjetivo corresponde a las asociaciones y organismos representativos de categorías de Responsables o encargados del tratamiento, incluídas las Administración Públicas. Además hay la posiblidad de que se adhieran a dichos Códigos responsables o encargados no sujetos al RGPD para ofrecer garantías en las transferencias internacionales de datos (artículo 40.3 RGPD).

Aportan garantías adecuadas para las transferencias internacionales de datos y tienen carácter voluntario. Los Estados, las Autoridades de Protección de Datos y la Comisión están obligados a impulsar su creación.

Se podrán elaborar por las asociaciones y otros organismos representativos de categorías de responsables y encargados, para los que serán vinculantes una vez adheridos a los códigos de conducta, es decir, sólo obligan a quienes se comprometan a aplicar sus disposiciones. Para dicha elaboración se deberá consultar a todas las partes interesadas, incluídos los interesados cuando sea posible, teniendo en cuenta sus consideraciones.

La LOPDGDD en consonancia con el RGPD indica en el artículo 38 que serán vinculantes para quienes se adhieran a los mismos. Además podrán dotarse de mecanismos de resolución extrajudicial de conflictos. Podrán ser promovidos tambien por empresas o grupos de empresas así como los responsables o encargados a que se refiere el artículo 77.1 de esta misma Ley Orgánica, y por organismos o entidades que asuman las funciones de supervisión y resolución extrajudicial de conflictos a que se refiere el art. 41 del RGPD.

Procedimientos de elaboración y adopción:

- Códigos de ámbito exclusivamente nacional (art. 40.5 y 6) -> la Autoridad de protección de datos competente evaluará si es conforme al RGPD y si ofrece garantías suficientes y, si es así, lo aprobará, dando publicidad y registro del Código. En concreto, el artículo 38.3 de la LOPDGDD estipular que serán aprobados por la Agencia Española de Protección de Datos o, en su caso, por la autoridad autonómica de protección de datos competente.

- Códigos que afectan a tratamientos en varios Estados de la UE (art.40.7 y 8)-> la Autoridad competente, antes de su aprobación, lo enviará al Comité Europeo de Protección de Datos (CEPD) para:

     a) dictamen sobre su adecuacuón al RGPD y/o

     b) dictamen  sobre las garantías ofrecidas para las transferencias internacionales.

El Comité Europeo de Protección de Datos enviará el dictamente favorable a la Comisión que decidirá sobre si el Códidigo tiene validez dentro de la UE y, en ese caso, le dará publicidad y lo pondrá a disposición pública en el registro de códigos (art. 40 apartados 10 y 11).

Supervisión:

El control obligatorio de cumplimiento del Código podrá llevarlo a cabo un organismo con el nivel de pericia adecuado en relación con el objeto del código y que haya sido acreditado para tal fin por la Autoridad de protección de datos competente (art. 41 RGPD), en base a los criterios de acreditación fijados por dichas autoridades y que serán sometidos al Comité Europeo de Protección de Datos para su dictamen a través del mecanismo de coherencia. Puntualiza el art. 38.4 párrafo 2º que, cuando sea una autoridad autonómica de protección de datos la que someta el proyecto de código al mecanismo de coherencia, se estará a lo dispuesto en el artículo 60 de la LOPDGDD.

Señala el art. 41.2 del RGPD que se podrá acreditar a un organismo de supervisión si:

- Demuestra independencia y pericia en el objeto del código

- Establece procedimientos para evaluar la idoneidad de los responsables y encargados para aplicar el código, supervisar su cumplimiento y examinar periódicamente su aplicación

- Establece procedimientos y estructuras para tramitarreclamaciones que sean transparentes para los interesadoso y el público

- Demuestra que no hay conflicto de intereses.

En caso de infracción del código estos organismos tomarán las medidas adecuadas, tales como la suspención o la expulsión del infractor del código y se informará de las sanciones y motivos a la Autoridad de protección de datos competente (art. 41.4) .

La Autoridad de Protección de datos podrá revocar la acreditación de los organismos si no se cumplen las condiciones de acreditación o si la actuación del organismo infrige el RGPD.

Téngase en cuenta que el incumplimiento de las obligaciones del Código implica una sanción de hasta 10.000.000 €. Por su parte, la LOPDGDD establece que las entidades acreditadas de supervisión de los Códigos de conducta estarán sujetas al régimen sancionador, disponiendo que:

- se considerará una infracción de carácter grave la falta de adopción por parte de los organismos acreditados de supervisión de un código de conducta de las medidas que resulten oportunas en caso que se hubiera producido una infracción del código; y

- se considerá una infracción de carácter leve el incumplimiento por parte de los organismos acreditados de supervisión de un código de conducta de la obligación de informar a las autoridades de protección de datos acerca de las medidas que resulten oportunas en caso de infracción del código.

Además según el apartado 6 del artículo citado, este no se aplicará al tratamiento realizado por autoridades y organismos públicos.

Por su parte la LOPDGDD en el artículo 38 establece que los responsables o encargados del tratamiento que se adhieran al código de conducta se obligan a someter al organismo o entidad de supervisión las reclamaciones que les fueran formuladas por los afectados en relación con los tratamientos de datos incluidos en su ámbito de aplicación en caso de considerar que no procede atender a lo solicitado en la reclamación. Además podrán voluntariamente y antes de llevar a cabo el tratamiento, someter al citado organismo o entidad de supervisión la verificación de la conformidad del mismo con las materias sujetas al código de conducta.

En caso de que el organismo o entidad de supervisión rechace o desestime la reclamación, o si el responsable o encargado del tratamiento no somete la reclamación a su decisión, el afectado podrá formularla ante la Agencia Española de Protección de Datos o, en su caso, las autoridades autonómicas de protección de datos, que verificará que los organismos o entidades que promuevan los códigos de conducta han dotado a estos códigos de organismos de supervisión que reúnan los requisitos del Reglamento

Efectos:

- Podrá servir de elemento para demostrar el cumplimiento de las obligaciones del responsable

- Su cumplimiento de tendrá en cuenta a efectos de evaluar el impacto en protección de datos de las operaciones de tratamiento -PIAS- (para responsables y encargados)

- Podrá servir de elemento para demostrar el cumplimiento de las obligaciones sobre medidas de seguridad (para responsables y encargados)

- Podrá servir de elemento para demostrar que el encargado o subencargado adherido a un código ofrece garantías suficientes

- Como garantía suficiente para realizar transferencias internacionales de datos (en este caso su tramitación también requerirá el dictamen del CEPD)

- Se tendrá en cuenta a la hora de determinar las sanciones

Antes de resolver sobre la adición a trámite a trámite una reclamación, la Agencia Española de Protección de Datos podrá remitir la misma al delegado de protección de datos o al organismo de supervisión establecido para la aplicación de los códigos de conducta (art. 65.4 LOPDGDD)

Los Códigos de Conducta aprobados por la AEPD y las autoridades autonómicas se mantendrán en registros interconectados entre sí y coordinados con el registro gestionado por el CEPD y serán accesibles a través de medios electrónicos (art. 38.5 LOPDGDD). El contenido del registro y las especialidades del procedimiento de aprobación de los códigos se regularán mediante Real Decreto.

inscritos actualmente se pueden consultar aquí.