Códigos de conducta en materia de protección de datos en el Reglamento General de Protección de Datos (RGPD) y en la LO 3/2018 de 5 de diciembre (LOPDGDD)

Sobre los códigos de conducta, la AEPD entiende que se trata de una muestra de lo que se denomina como autorregulación, concretamente lo define como: «la capacidad de las entidades, instituciones y organizaciones para regularse a sí mismas a partir de la normativa establecida. Son mecanismos de cumplimiento voluntario en los que se establecen reglas específicas de protección de datos para categorías de responsables o encargados del tratamiento».

El propio RGPD en su considerando (98) viene a estimar que: «Se debe incitar a las asociaciones u otros organismos que representen a categorías de responsables o encargados a que elaboren códigos de conducta, dentro de los límites fijados por el presente Reglamento, con el fin de facilitar su aplicación efectiva, teniendo en cuenta las características específicas del tratamiento llevado a cabo en determinados sectores y las necesidades específicas de las microempresas y las pequeñas y medianas empresas. Dichos códigos de conducta podrían en particular establecer las obligaciones de los responsables y encargados, teniendo en cuenta el riesgo probable para los derechos y libertades de las personas físicas que se derive del tratamiento».

Es más, el artículo 24, apartado 3, del RGPD reconoce la adhesión al código de conducta como un justificante del cumplimiento de las obligaciones por parte del responsable el tratamiento. A su vez, el art. 35.8 del RGPD establece que el cumplimiento de estos códigos de conducta se tendrá en cuenta «al evaluar las repercusiones de las operaciones de tratamiento realizadas por dichos responsables o encargados, en particular a efectos de la evaluación de impacto relativa a la protección de datos», así como, a la hora de decidir la imposición de una multa administrativa y su cuantía, como especifica el artículo 83, apartado 2, letra j), del RGPD. Lo mismo ocurre para el caso de que sea el encargado el que se adhiera a un código de conducta, pudiendo utilizarse tal hecho como elemento para demostrar la existencia de garantías suficientes de que el tratamiento de datos es conforme al RGPD y protege los derechos del interesado.

Podemos describir el código de conducta como un documento redactado voluntariamente por una empresa en el que se exponen los principios que se compromete unilateralmente a seguir (antiguamente se denominaban como «códigos tipo»). Su objetivo será la contribución a la correcta aplicación del reglamento teniendo en consideración las características y necesidades de los distintos sectores del tratamiento de datos. Estos códigos podrán ser de ámbito nacional o bien regular los tratamientos de datos que se den en más de un Estado miembro.

Para conocer su regulación será necesario acudir al RGPD, a la LOPDGDD, así como a la Directriz 1/2019 del Comité Europeo de Protección de Datos (CEPD) y a los Criterios de acreditación para los organismos de supervisión de códigos de conducta, aprobados en febrero de 2020.

a) Entidades legitimadas para su confección

Deben promover la elaboración de códigos de conducta destinados a una correcta aplicación del RGPD, con atención a las especialidades de las microempresas y las PYMES:

• Los Estados miembros.
• Las autoridades de control. Tienen como función propia alentar la creación de estos códigos, como recoge el artículo 57, apartado 1, letra m), del RGPD.
• El Comité. Al igual que las autoridades de control, tiene como encomienda promover la creación de este tipo de códigos, como se indica en el artículo 70, apartado 1, letra n), del RGPD. 
• La Comisión.

Pueden elaborar o modificar códigos de conducta (art. 40 del RGPD y 38 de la LOPDGDD):

• Las asociaciones.
• Otros organismos representativos de categorías de responsables o encargados del tratamiento.
• Las empresas o grupos de empresas.
• Los responsables y encargados relacionados en el artículo 77, apartado 1, de la LOPDGDD: órganos constitucionales, jurisdiccionales, AAPP, organismos públicos y entidades de derecho público, autoridades administrativas independientes, Banco de España, corporaciones de derecho público, fundaciones del sector público, universidades públicas, consorcios, grupos parlamentarios de las CCGG, asambleas legislativas autonómicas y grupos políticos de las corporaciones locales.
• Los organismos o entidades que asuman las funciones de supervisión y resolución extrajudicial de conflictos a los que se refiere el artículo 41 del RGPD.

Los códigos de conducta especificarán la aplicación del RGPD, en lo que respecta a:

• El tratamiento leal y transparente.
• Los intereses legítimos perseguidos por los responsables del tratamiento en contextos específicos.
• La recogida de datos personales.
• La seudonimización de datos personales.
• La información proporcionada al público y a los interesados.
• El ejercicio de los derechos de los interesados.
• La información proporcionada a los niños y la protección de estos, así como la manera de obtener el consentimiento de los titulares de la patria potestad o tutela sobre el niño.
• Las medidas y procedimientos a que se refieren los artículos 24 y 25 del RGPD, relativos a la responsabilidad del responsable del tratamiento y la protección de datos desde el diseño y por defecto, y las medidas para garantizar la seguridad del tratamiento a que se refiere el artículo 32 del RGPD.
• La notificación de violaciones de la seguridad de los datos personales a las autoridades de control y la comunicación de dichas violaciones a los interesados.
• La transferencia de datos personales a terceros países u organizaciones internacionales.
• Los procedimientos extrajudiciales y otros procedimientos de resolución de conflictos que permitan resolver las controversias entre los responsables del tratamiento y los interesados relativas al tratamiento, sin perjuicio de los derechos de los interesados (en virtud de los artículos 77 y 79 del RGPD) a presentar reclamación ante una autoridad de control y a la tutela judicial efectiva contra una autoridad de control o contra un responsable o encargado del tratamiento. 

En cuanto a la adhesión a estos códigos de conducta, el artículo 40, apartado 3, del RGPD fija que también hay la posibilidad de que se adhieran responsables o encargados no sujetos al RGPD, es decir, que no se encuentren dentro de la UE o que no les sea de aplicación el derecho europeo o el de los Estados miembros, cuando se trate de códigos de conducta:

• Aprobados de conformidad con el procedimiento que recoge el artículo 40, apartado 5, del RGPD.
• Que tengan validez declarada por la Comisión. 
• Que ofrezcan garantías adecuadas en el marco de las transferencias de datos personales a terceros países u organizaciones internacionales, como ordena el artículo 46, apartado 2, letra e) del RGPD.
• Que asuman compromisos vinculantes y exigibles mediante contrato u otros instrumentos jurídicamente vinculantes, para aplicar las garantías adecuadas incluidas las relativas a los derechos de los interesados. 

Respecto al contenido de los códigos de conducta, la AEPD, así como el artículo 40, apartado 4, del RGPD y el artículo 38 de la LOPDGDD, establece:

• No existe un contenido mínimo en los códigos de conducta.
• Podrán adecuarse al ámbito del tratamiento que precise el sector de actividad de que se trate.
• Debe contener los mecanismos que permitan al organismo encargado de la supervisión del código de conducta efectuar el control obligatorio de su cumplimiento por parte de los responsables o encargados de tratamiento, sin perjuicio de las funciones y poderes de las autoridades de control que sean competentes al amparo de los artículos 51 o 56 del RGPD.
• Pueden dotarse de mecanismos de resolución extrajudicial de conflictos. 

CUESTIONES

1. ¿Quién está sometido a los códigos de conducta?

Estarán obligados al contenido de los códigos de conducta los responsables o encargados adheridos al código de conducta, como así se regula en el artículo 38 de la LOPDGDD.

2. ¿Cuáles son las obligaciones de los sometidos al código de conducta?

Los responsables o encargados del tratamiento que se adhieran al código de conducta se obligan a someter al organismo o entidad de supervisión, que regula el artículo 41 del RGPD, las reclamaciones que les fueran formuladas por los afectados en relación con los tratamientos de datos incluidos en su ámbito de aplicación en caso de considerar que no procede atender a lo solicitado en la reclamación, sin perjuicio de lo dispuesto en el artículo 37 en la LOPDGDD. En atención al referido artículo 37 de la LOPDGDD, recordar que en las reclamaciones puede intervenir la figura del delegado de protección de datos, designado por el responsable o encargado. Será este quien conozca la reclamación en el caso de que el interesado presente directamente la reclamación, antes de dirigirse a la AEPD. 

Así mismo, los encargados o responsables adheridos podrán, voluntariamente y antes de llevar a cabo el tratamiento, someter al citado organismo o entidad de supervisión la verificación de la conformidad del mismo con las materias sujetas al código de conducta.

Así se recoge en el artículo 38, apartado 2, de la LOPDGDD. 

b) Procedimiento de elaboración de los códigos de conducta

Continuando con lo estipulado en el artículo 40, apartados 5 a 11, del RGPD, respecto a la elaboración, modificación o ampliación de los códigos de conducta:

• Proyectos que no se refieren a actividades de tratamiento en varios EEMM. Debe presentarse el proyecto de código o la modificación o ampliación ante la autoridad de control competente conforme al artículo 55 del RGPD. Esta comprobará si es conforme al RGPD y lo aprobará si considera suficientes las garantías adecuadas ofrecidas cuando el código de conducta de que se trate no se refiera a actividades de tratamiento en varios Estados miembros. La autoridad de control será la encargada de registrar y publicar el código de conducta. El artículo 58, apartado 3, letra d), del RGPD es el que reconoce a la autoridad de control los poderes de autorización y consultivos en cuanto a aprobación de proyectos de códigos de conducta. 

• Proyecto relacionado con actividades de tratamiento en varios EEMM. Debe presentarse el proyecto de código o la modificación o ampliación ante la autoridad de control competente conforme al artículo 55 del RGPD. El código se presentará por el procedimiento de coherencia (regulado en el artículo 63 del RGPD) ante el Comité. Este dictaminará si el proyecto es conforme al RGPD u ofrece garantías adecuadas suficientes en el marco de transferencias de datos personales a terceros países u organizaciones internacionales. Si considera que es conforme, el Comité presentará su dictamen a la Comisión.

La función del Comité de emitir dictamen cuando una autoridad de control pretenda adoptar un código de conducta viene establecida en el artículo 64, apartado 1, letra b), del RGPD. La Comisión puede, mediante actos de ejecución (que se adoptarán con arreglo al procedimiento de examen del Comité del artículo 93, apartado 2, del RGPD, aplicando el artículo 5 del Reglamento (UE) n.º 182/2011), decidir que el código de conducta o la modificación o ampliación tenga validez general dentro de la Unión. La Comisión dará publicidad adecuada a los códigos aprobados mediante los actos de ejecución.

El Comité archivará en un registro todos los códigos de conducta, modificaciones y ampliaciones que se aprueben, y los pondrá a disposición pública por cualquier medio apropiado.

En esa misma línea, se redacta el artículo 38 de la LOPDGDD que viene a disponer que:

• En caso de que el organismo o entidad de supervisión rechace o desestime la reclamación, o si el responsable o encargado del tratamiento no somete la reclamación a su decisión, el afectado podrá formularla ante la AEPD o, en su caso, ante las autoridades autonómicas de protección de datos.
• La AEPD competente verificará que los organismos o entidades que promuevan los códigos de conducta han dotado a estos códigos de organismos de supervisión que reúnan los requisitos establecidos en el artículo 41, apartado 2, del RGPD.
• Los códigos de conducta son aprobados por la AEPD o autoridad autonómica competente. Se someterán los proyectos al mecanismo de coherencia del artículo 63 del RGPD en los casos en que guarden relación con actividades de tratamiento en varios Estados miembros. Mientras el Comité Europeo de Protección de Datos no emita el dictamen se suspenderá el procedimiento. 
• Para los casos de que sea la autoridad autonómica la que someta el proyecto de código al mecanismo de coherencia se atenderá al artículo 60 de la LOPDGDD, debiendo practicarse la comunicación de esta autoridad con el Comité Europeo de Protección de Datos mediante la AEPD, asistida por un representante de la autoridad autonómica en su intervención ante el Comité. 
• Tanto la AEPD como las autoridades autonómicas competentes deben mantener un registro de los códigos de conducta, al que se podrá acceder a través de medios electrónicos, que se interconectarán y coordinarán con el registro del Comité Europeo.
• Mediante RD se establece el contenido del registro y las especialidades del procedimiento de aprobación de los códigos de conducta.

Acudiendo al artículo 41 del RGPD, la supervisión de los códigos de conducta corresponde a las autoridades de control, así como a otro organismos que tengan el nivel adecuado de pericia en relación con el objeto del código y que así se haya reconocido por la autoridad de control competente. Para ello, el organismo debe:

• Demostrar, a satisfacción de la autoridad de control competente, su independencia y pericia en relación con el objeto del código.
• Establecer procedimientos que le permitan evaluar la idoneidad de los responsables y encargados correspondientes para aplicar el código, supervisar el cumplimiento de sus disposiciones y examinar periódicamente su aplicación.
• Establecer procedimientos y estructuras para tratar las reclamaciones relativas a infracciones del código o a la manera en que el código haya sido o esté siendo aplicado por un responsable o encargado del tratamiento, y para hacer dichos procedimientos y estructuras transparentes para los interesados y el público.
• Demostrar, a satisfacción de la autoridad de control competente, que sus funciones y cometidos no dan lugar a conflicto de intereses.

A TENER EN CUENTA. Estos requisitos u otros deben ser elaborados y publicados por la autoridad de control, dentro de sus funciones reconocidas en el artículo 57, apartado 1, letra p), del RGPD. 

Estos requisitos se fijarán mediante proyecto que será sometido por la autoridad de control al Comité, conforme al mecanismo de coherencia del artículo 63 del RGPD. El Comité emitirá dictamen, a tenor de lo dispuesto en el artículo 64, apartado 1, del RGPD. El incumplimiento de estos requisitos, o del propio RGPD, supone la revocación de la acreditación del organismo. 

Los organismos de control deben, con sujeción a garantías adecuadas, tomar las medidas oportunas, incluida suspensión o exclusión en caso de infracción del código de conducta por el responsable o encargado del tratamiento, informando sobre ello a la autoridad competente. El incumplimiento de este mandato está tipificado como infracción con multa administrativa de 10.000.000 euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio anterior, optando por la mayor cuantía en estos casos [así se recoge en el artículo 83, apartado 4, letra c) del RGPD].

Como ya se ha venido reflejando a lo largo de este punto, la elaboración de códigos de conducta además de ser una medida para adecuar y facilitar la aplicación del RGPD, tendrá otras funcionalidades o efectos, tal y como determina la AEPD, como son:

• Servir de elemento para demostrar el cumplimiento de las obligaciones de los responsables y encargados.
• Servir de elemento para demostrar el cumplimiento de las obligaciones sobre medidas de seguridad (responsables y encargados).
• Se tendrán en cuenta a efectos de evaluar el impacto en protección de datos de las operaciones de tratamiento —PIAS— (responsables y encargados).
• Pueden servir de elemento para demostrar que el encargado adherido a un código ofrece garantías suficientes (encargados o subencargados).
• Pueden servir para aportar garantías suficientes para realizar transferencias internacionales de datos (en este caso su tramitación también requerirá el dictamen del CEPD).
• Se tendrán en cuenta en la determinación de sanciones.