Protección Data

BLOG

PARA ESTAR AL TANTO DE LA REGULACIÓN Y NOVEDADES EN PROTECCIÓN DE DATOS

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Códigos de conducta. Sentido y utilidad

Uno de los elementos documentales que más contribuyen a la creación de una verdadera cultura de cumplimiento son los denominados Códigos de conducta, que constituyen una muestra de lo que se denomina autorregulación, es decir, la capacidad de las entidades, instituciones y organizaciones para regularse a sí mismas a partir de la normativa establecida.

Los Códigos de conducta son mecanismos de cumplimiento voluntario, en los que se establecen reglas específicas de protección de datos para aquellos responsables o encargados del tratamiento adheridos a dichos Códigos, para los cuales estos son vinculantes.

Los Códigos de conducta, a tenor de lo dispuesto en el artículo 40.2 del RGPD, podrán ser elaborados por asociaciones y otros organismos representativos de categorías de responsables o encargados del tratamiento. Asimismo, de conformidad con el artículo 38 de la LOPDGDD, podrán ser elaborados por empresas o grupos de empresas, así como por los responsables o encargados a los que se refiere el artículo 77.1 de la LOPDGDD y por aquellos organismos o entidades que asuman las funciones de supervisión y resolución extrajudicial de conflictos a los que se refiere el artículo 41 del RGPD. 

Los Códigos de conducta especificarán la aplicación de la normativa en aspectos como:

  • El tratamiento leal y transparente.
  • Los intereses legítimos perseguidos por los responsables del tratamiento en contextos específicos.
  • La recogida de datos personales.
  • La seudoanonimización de datos personales.
  • La información proporcionada al público y a los interesados.
  • El ejercicio de los derechos de los interesados.
  • La información proporcionada a los menores y la protección de estos, así como la manera de obtener el consentimiento de los titulares de la patria potestad o tutela sobre el menor.
  • Las medidas y procedimientos para garantizar la seguridad del tratamiento, así como la protección de datos desde el diseño y por defecto.
  • La notificación de violaciones de la seguridad de los datos personales a la autoridad de control y la comunicación de dichas violaciones a los interesados.
  • La transferencia de datos personales a terceros países y organizaciones internacionales.
  • Los procedimientos extrajudiciales y otros procedimientos de resolución de conflictos que permitan resolver las controversias entre los responsables del tratamiento y los interesados.

La normativa no establece un contenido mínimo y reglado, de forma que se pueden adecuar, con cierta libertad, al ámbito del tratamiento que precise el sector de actividad de que se trate. Todos los Códigos deben incluir obligatoriamente mecanismos que permitan efectuar el control obligatorio de su cumplimiento, así como un organismo de supervisión que reúna los requisitos establecidos en el artículo 41.2 del RGPD y que habrán de ser acreditados por la AEPD. En el caso de incumplimiento del Código dicho organismo podrá expulsar o suspender al infractor, informando a la autoridad de control de la sanción.

Los Códigos de conducta serán aprobados por la Agencia Española de Protección de Datos o, en su caso, por la autoridad autonómica de protección de datos competente. Sin su aprobación carecen de validez. 

Una de las ventajas que ofrecen los Códigos de conducta es que pueden servir para demostrar el cumplimiento de las obligaciones que atañen a los responsables y encargados del tratamiento, por ejemplo en relación a la adopción de medidas de seguridad. También sirven como ofrecimiento de garantías suficientes en relación a encargados y subencargados al tiempo de su contratación y con objeto de demostrar la existencia de garantías adecuadas en el marco de transferencias de datos personales a terceros países u organizaciones internacionales.

Otra ventaja es el establecimiento de mecanismos de solución extrajudicial de controversias. Los responsables y encargados del tratamiento que se adhieran a un Código de conducta se obligan a someter al organismo o entidad de supervisión las reclamaciones que les fueran formuladas por los afectados en relación con sus actividades de tratamiento. En caso de que el organismo o entidad de supervisión rechace o desestime la reclamación, o si el responsable o encargado del tratamiento no se somete a su decisión, el afectado podrá formular una reclamación ante la autoridad de control.

La realidad es que el tráfico creativo en esta materia es más bien escaso, a pesar de que el RGPD obliga a los Estados miembros, a las autoridades de control, al Comité Europeo de Protección de Datos y a la Comisión a promoverlos. Es una lástima que no se explote más este recurso.

Si quieren conocer el listado de Códigos de conducta aprobados por autoridades de control pueden consultar los siguientes enlaces:

https://www.aepd.es/es/derechos-y-deberes/cumple-tus-deberes/medidas-de-cumplimiento/codigos-de-conducta/codigos-inscritos

https://apdcat.gencat.cat/es/drets_i_obligacions/Registre-de-codis-de-conducta

EnglishPortuguêsEspañol
error: Contenido protegido por derechos de propiedad intelectual