Codes of conduct
Last updated:
Los códigos de conducta constituyen una muestra de lo que se denomina autorregulación, es decir, la capacidad de las entidades, instituciones y organizaciones para regularse a sí mismas.
En materia de protección de datos, son mecanismos de cumplimiento voluntario en los que se establecen reglas específicas para categorías de responsables o encargados del tratamiento con la finalidad de contribuir a la correcta aplicación del Reglamento general de protección de datos (RGPD) y la Ley Orgánica de protección de datos personales y garantía de los derechos digitales (LOPDPGDD).
El RGPD los configura como un instrumento del cumplimiento del principio de proactividad.
Los códigos de conducta pueden ser de alcance nacional, o transnacional si guardan relación con actividades de tratamiento en varios Estados miembros de la Unión Europea (UE).
Normativa aplicable:
- RGPD (arts. 40 y 41)
- LOPDPGDD (art. 38)
- Directrices 1/2019 del Comité Europeo de Protección de Datos (CEPD) en español
- Directrices 1/2019 del Comité Europeo de Protección de Datos (CEPD) en inglés
- Criterios de acreditación para los organismos de supervisión de códigos de conducta
Otra documentación de interés
Legitimación para promover un código de conducta:
Los códigos de conducta con arreglo al RGPD y la LOPDPGDD, que han de ser aprobados por la Agencia Española de Protección de Datos como autoridad de control competente, se podrán presentar por:
- Asociaciones y otros organismos representativos de categorías de personas responsables y encargadas del tratamiento
- Empresas y grupos de empresas
- Los órganos, instituciones y entidades a los que se refiere el artículo 77.1 de la LOPDPGDD: Órganos constitucionales, AAPP, autoridades administrativas independientes, Universidades públicas, Fundaciones del sector público, consorcios…
- Organismos que asuman funciones de supervisión y resolución extrajudicial de conflictos
Contenido:
Su objeto es especificar la aplicación del RGPD en aspectos como:
- El tratamiento leal y transparente
- Los intereses legítimos perseguidos por las personas responsables del tratamiento en contextos específicos
- La recogida de datos personales
- La seudonimización de datos personales
- La información proporcionada al público y a las personas interesadas
- El ejercicio de los derechos de las personas interesadas
- La información proporcionada a los menores de edad y la protección de éstos, así como la manera de obtener el consentimiento de los titulares de la patria potestad o tutela sobre el menor de edad
- Las medidas y procedimientos para garantizar la seguridad del tratamiento, así como la protección de datos desde el diseño y por defecto
- La notificación de violaciones de la seguridad de los datos personales a las autoridades de control y la comunicación de dichas violaciones a las personas interesadas
- La transferencia de datos personales a terceros países y organizaciones internacionales
- Los procedimientos extrajudiciales y otros procedimientos de resolución de conflictos que permitan resolver las controversias entre las personas responsables del tratamiento y las personas interesadas relativos al tratamiento, sin perjuicio de los derechos de las personas interesadas
No se establece un contenido obligatorio, pero éste debe responder a las necesidades específicas del sector o actividad de tratamiento de que se trate.
No obstante, los códigos de conducta deberán incluir obligatoriamente:
- Los mecanismos para la supervisión de su cumplimiento
- Un organismo para la supervisión del cumplimiento del código que habrá de acreditarse por la Agencia Española de Protección de Datos (están exceptuados los códigos que regulen tratamientos efectuados por las entidades, instituciones y organismos a los que se refiere el artículo 77.1 de la LOPDPGDD)
Criterios de admisibilidad (Directrices 1/2019 CEPD)
Para facilitar una evaluación eficaz de cualquier proyecto de código, deberá incluir:
- Una MEMORIA JUSTIFICATIVA clara y concisa, que describa detalladamente el objetivo del código, su ámbito de aplicación y cómo facilitará la aplicación efectiva del RGPD y, en su caso, documentación justificativa
- La justificación de la legitimación del promotor
- El ámbito de aplicación material que determine de forma clara y precisa las operaciones de tratamiento (o las características del tratamiento) de datos personales que abarca, así como las categorías de responsables o encargados del tratamiento a las que se aplica aportará soluciones prácticas
- El ámbito de aplicación territorial
- La autoridad competente, si se trata de códigos transnacionales
- Los mecanismos de supervisión
- El organismo de supervisión
- La consulta con las partes interesadas, o la justificación de su ausencia
- Y ser conformes con la legislación nacional
Criterios de aprobación de los códigos (Directrices 1/2019 CEPD)
Para su aprobación, los códigos deben demostrar que:
- Satisfacen una necesidad específica del sector o actividad de tratamiento de que se trate
- Facilitan y especifican la aplicación de la normativa de protección de datos
- Aportan garantías suficientes
- Disponen de mecanismos suficientes para supervisar su cumplimiento
Incentivos de los códigos de conducta
En protección de datos los códigos de conducta sirven para adecuar y facilitar la aplicación del RGPD a las características de los distintos sectores de actividad de sus promotores y, además:
- Pueden servir de elemento para demostrar el cumplimiento de las obligaciones de las personas responsables y encargadas
- Pueden servir de elemento para demostrar el cumplimiento de las obligaciones sobre medidas de seguridad (personas responsables y encargadas)
- Se tendrán en cuenta a efectos de evaluar el impacto en protección de datos de las operaciones de tratamiento –PIAS- (personas responsables y encargadas)
- Pueden servir de elemento para demostrar que la persona encargada adherida a un código ofrece garantías suficientes (personas encargadas o subencargadas)
- Pueden servir para aportar garantías suficientes para realizar transferencias internacionales de datos (en este caso su tramitación también requerirá el dictamen del CEPD)
- Se tendrán en cuenta en la determinación de sanciones
Códigos transnacionales
Cuando el código afecte a actividades de tratamiento en varios Estados miembros de la UE se deberá presentar ante la autoridad de control competente, para su determinación se tendrán en cuenta, entre otros, los siguientes criterios:
- La ubicación de la mayor densidad del sector o de la actividad de tratamiento
- La ubicación de la mayor densidad de interesados afectados por el sector o actividad de tratamiento
- La ubicación de la sede del titular del código
- La ubicación del organismo de supervisión
- Las iniciativas desarrolladas por una autoridad de control en un ámbito específico
Organismos de supervisión
Los organismos de supervisión del cumplimiento de los códigos han de ser acreditados por la Agencia Española de Protección de Datos, para lo que tendrán que:
- Demostrar independencia y experiencia en relación con el objeto del código
- Establecer procedimientos que le permitan evaluar la idoneidad de los responsables y los encargados del tratamiento correspondientes para aplicar el código, supervisar el cumplimiento de sus disposiciones y revisar periódicamente su aplicación
- Establecer procedimientos y estructuras para tramitar las reclamaciones sobre infracciones del código o la forma en que el código ha sido, o está siendo, aplicado por un responsable o encargado del tratamiento, y para hacer que dichos procedimientos y estructuras sean transparentes para los interesados y el público
- Demostrar de forma satisfactoria que sus funciones y deberes no dan lugar a un conflicto de intereses
Registro de códigos de conducta nacionales
Registro de códigos de conducta (Comité Europeo de Protección de Datos)