Uno de los elementos documentales que más contribuyen a la creación de una verdadera cultura de cumplimiento son los denominados «Códigos de Conducta» que constituyen una muestra de lo que se denomina autorregulación, es decir, la capacidad de las entidades, instituciones y organizaciones para regularse a sí mismas a partir de la normativa establecida, siendo vinculantes para aquellos que, de forma voluntaria, decidan adherirse al mismo.
Los Códigos de Conducta, a tenor de lo dispuesto en el artículo 40.2 del RGPD, podrán ser elaborados por asociaciones y otros organismos representativos de categorías de responsables o encargados del tratamiento. Asimismo, de conformidad con el artículo 38 de la LOPDGDD, podrán ser elaborados por empresas o grupos de empresas, así como por los responsables o encargados a los que se refiere el artículo 77.1 de la LOPDGDD y por aquellos organismos o entidades que asuman las funciones de supervisión y resolución extrajudicial de conflictos a los que se refiere el artículo 41 del RGPD.
Contenido
La normativa no establece un contenido mínimo y reglado, de forma que se pueden adecuar –con cierta libertad– al ámbito del tratamiento que precise el sector de actividad de que se trate.
En todo caso, los Códigos de Conducta especificarán la aplicación de la normativa en aspectos como:
- El tratamiento leal y transparente.
- Los intereses legítimos de los responsables del tratamiento en contextos específicos.
- La recogida de datos personales.
- La seudoanonimización.
- La información proporcionada al público y a los interesados.
- El ejercicio de los derechos de los interesados.
- La información proporcionada a los menores y la protección de estos, así como la manera de obtener el consentimiento de los titulares de la patria potestad o tutela sobre el menor.
- Las medidas y procedimientos para garantizar la seguridad del tratamiento, así como la protección de datos desde el diseño y por defecto.
- La notificación de violaciones de la seguridad de los datos personales a la autoridad de control y la comunicación de dichas violaciones a los interesados.
- La transferencia de datos personales a terceros países y organizaciones internacionales.
- Los procedimientos extrajudiciales y otros procedimientos de resolución de conflictos que permitan resolver las controversias entre los responsables del tratamiento y los interesados.
Todos los Códigos de Conducta serán aprobados por la Agencia Española de Protección de Datos o, en su caso, por la autoridad autonómica de protección de datos competente. Sin su aprobación carecen de validez.
Organismos de supervisión
Todos los Códigos de Conducta deben incluir obligatoriamente mecanismos que permitan efectuar el control obligatorio de su cumplimiento, así como la designación de un organismo de supervisión, que reúna los requisitos establecidos en el artículo 41.2 del RGPD y que habrán de ser acreditados por la AEPD.
En caso de incumplimiento del código de conducta, el organismo de supervisión podrá expulsar o suspender al infractor, informando a la autoridad de control de la sanción.
Ventajas atribuibles a los Códigos de Conducta
Los Códigos de Conducta nos pueden servir para demostrar el cumplimiento de las obligaciones que atañen a responsables y encargados del tratamiento en materia de protección de datos, por ejemplo, en relación a la adopción de medidas de seguridad.
Otra ventaja es el establecimiento de mecanismos de resolución extrajudicial de controversias que se basan en la medición.
Los responsables y encargados del tratamiento que se adhieran a un Código de Conducta se obligan a someter al organismo o entidad de supervisión aquellas reclamaciones que les fueran formuladas por los afectados en relación con sus actividades de tratamiento de datos personales. En el caso de que el organismo o entidad de supervisión rechace o desestime la reclamación formulada, o si el responsable o encargado del tratamiento no se somete a la decisión, el afectado podrá formular una reclamación ante la AEPD, sin perjuicio de las acciones judiciales que en derecho le asistan. Decir, también, que la decisión del organismo o entidad de supervisión no es vinculante para el reclamante, lo cual es una ventaja, pues no le cierra puertas a la hora de formular una reclamación ante la autoridad de control o los tribunales de justicia, en su caso.
Más ventajas: Pueden servir de elemento para demostrar el cumplimiento de las obligaciones sobre medidas de seguridad de responsables y encargados del tratamiento, se tendrán en cuenta a los efectos de evaluar el impacto en protección de datos de las operaciones de tratamiento y en la determinación de sanciones…
Conclusión
El tráfico creativo en materia de Códigos de Conducta es realmente escaso, a pesar de que el RGPD obliga a los Estados miembros, a las autoridades de control, al Comité Europeo de Protección de Datos y a la Comisión Europea a promoverlos. Es una lástima que no se explote más este recurso.
Si quieren conocer el listado de Códigos de Conducta aprobados en España pueden consultar los siguientes enlaces:
https://www.aepd.es/es/informes-y-resoluciones/codigos-de-conducta
https://apdcat.gencat.cat/es/drets_i_obligacions/Registre-de-codis-de-conducta