Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Códigos de conducta. Sentido y utilidad

Uno de los elementos documentales que más contribuyen a la creación de una verdadera cultura de cumplimiento son los denominados «códigos de conducta», que constituyen una muestra de lo que se denomina autorregulación, es decir, la capacidad de las entidades, instituciones y organizaciones para regularse a sí mismas a partir de la normativa establecida.

Los códigos de conducta son mecanismos de cumplimiento voluntario, en los que se establecen reglas de protección de datos para aquellos responsables o encargados del tratamiento adheridos a dichos códigos, para los cuales estos son vinculantes.

Los códigos de conducta, a tenor de lo dispuesto en el artículo 40.2 del RGPD, podrán ser elaborados por asociaciones y otros organismos representativos de categorías de responsables o encargados del tratamiento. Asimismo, de conformidad con el artículo 38 de la LOPDGDD, podrán ser elaborados por empresas o grupos de empresas, así como por los responsables o encargados a los que se refiere el artículo 77.1 de la LOPDGDD y por aquellos organismos o entidades que asuman las funciones de supervisión y resolución extrajudicial de conflictos a los que se refiere el artículo 41 del RGPD. 

Contenido

La normativa no establece un contenido mínimo y reglado, de forma que se pueden adecuar, con cierta libertad, al ámbito del tratamiento que precise el sector de actividad de que se trate.

En cualquier caso, los códigos de conducta especificarán la aplicación de la normativa en aspectos como:

  • El tratamiento leal y transparente.
  • Los intereses legítimos de los responsables del tratamiento en contextos específicos.
  • La recogida de datos personales.
  • La seudoanonimización.
  • La información proporcionada al público y a los interesados.
  • El ejercicio de los derechos de los interesados.
  • La información proporcionada a los menores y la protección de estos, así como la manera de obtener el consentimiento de los titulares de la patria potestad o tutela sobre el menor.
  • Las medidas y procedimientos para garantizar la seguridad del tratamiento, así como la protección de datos desde el diseño y por defecto.
  • La notificación de violaciones de la seguridad de los datos personales a la autoridad de control y la comunicación de dichas violaciones a los interesados.
  • La transferencia de datos personales a terceros países y organizaciones internacionales.
  • Los procedimientos extrajudiciales y otros procedimientos de resolución de conflictos que permitan resolver las controversias entre los responsables del tratamiento y los interesados.

Todos ños códigos de conducta serán aprobados por la Agencia Española de Protección de Datos o, en su caso, por la autoridad autonómica de protección de datos competente. Sin su aprobación carecen de validez. 

Organismos de supervisión

Todos los códigos de conducta deben incluir obligatoriamente mecanismos que permitan efectuar el control obligatorio de su cumplimiento, así como la designación de un organismo de supervisión, que reúna los requisitos establecidos en el artículo 41.2 del RGPD y que habrán de ser acreditados por la AEPD.

En caso de incumplimiento del código de conducta, el organismo de supervisión podrá expulsar o suspender al infractor, informando a la autoridad de control de la sanción.

Ventajas atribuibles a los códigos de conducta

Una de sus ventajas es que pueden servir para demostrar el cumplimiento de las obligaciones que atañen a los responsables y encargados del tratamiento, por ejemplo en relación a la adopción de medidas de seguridad.

También sirven como ofrecimiento de garantías suficientes en relación a encargados y subencargados, al tiempo de su contratación y con objeto de demostrar la existencia de garantías adecuadas en el marco de transferencias de datos personales a terceros países u organizaciones internacionales.

Otra ventaja es el establecimiento de mecanismos de solución extrajudicial de controversias. Los responsables y encargados del tratamiento que se adhieran a un código de conducta se obligan a someter al organismo o entidad de supervisión las reclamaciones que les fueran formuladas por los afectados en relación con sus actividades de tratamiento. En caso de que el organismo o entidad de supervisión rechace o desestime la reclamación, o si el responsable o encargado del tratamiento no se somete a su decisión, el afectado podrá formular una reclamación ante la autoridad de control.

El tráfico creativo en esta materia es escaso, a pesar de que el RGPD obliga a los Estados miembros, a las autoridades de control, al Comité Europeo de Protección de Datos y a la Comisión Europea a promoverlos. Es una lástima que no se explote más este recurso.

Si quieren conocer el listado de códigos de conducta aprobados por autoridades de control pueden consultar los siguientes enlaces:

https://www.aepd.es/es/derechos-y-deberes/cumple-tus-deberes/medidas-de-cumplimiento/codigos-de-conducta/codigos-inscritos

https://apdcat.gencat.cat/es/drets_i_obligacions/Registre-de-codis-de-conducta

EnglishPortuguêsEspañol
error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).