Los códigos de conducta en el Reglamento Europeo de Protección de Datos

Los códigos de conducta en el Reglamento Europeo de Protección de Datos
dortega
Dom, 11/18/2018

18 de Noviembre de 2018

En el marco de la autorregulación que el Reglamento Europeo de Protección de Datos pretende promover, los códigos de conducta, junto con las certificaciones, destacan como una herramienta útil para demostrar que responsables y encargados cumplen con los requisitos establecidos en el mismo.

Los códigos de conducta, a diferencia de las certificaciones, ya estaban previstos de una forma genérica en la Directiva 95/46/CE y, en el caso de España, se adaptó al derecho nacional tanto en la LORTAD como en la LOPD.

De forma más concreta, en el título VII del Reglamento de desarrollo de la LOPD (RLOPD) se recogen con mayor claridad el objeto y la naturaleza, la iniciativa y ámbito de aplicación, los compromisos adicionales, las garantías del cumplimiento, la publicidad, la relación de adheridos, así como las obligaciones posteriores a la inscripción del código tipo. Finalmente, el RLOPD también regula el procedimiento de inscripción de los códigos tipo así como los preceptos relativos al procedimiento para su tramitación.

Este marco normativo ha propiciado la elaboración de 13 códigos tipo en el ámbito del sector privado y 2 en el ámbito del sector público como mecanismos de autorregulación en materia de protección de datos, complementando el marco regulatorio existente.

Como se señalaba al principio, el objetivo principal que parece tener el  Reglamento europeo de Protección de Datos al dar una mayor relevancia a los códigos de conducta es el de que sirvan como herramientas para que los responsables y encargados puedan demostrar su cumplimiento, teniendo en cuenta las características y necesidades específicas de los distintos sectores y de las pymes y micropymes. Para ello, señala a los Estados miembros, las Autoridades de protección de datos, el Comité europeo de protección de datos, así como a la Comisión, como impulsores para la elaboración de códigos de conducta o para la adaptación de los ya existentes por parte de los responsables y encargados, así como a las asociaciones y otros organismos representativos de categorías de responsables y encargados.

El Reglamento señala los aspectos que, ente otros, estos códigos deberían incluir, lo que podría entenderse como un conjunto de requisitos mínimos a ser abordados con el fin de contribuir a la correcta aplicación del Reglamento europeo. Entre ellos, los códigos de conducta deberán arrojar claridad sobre:

el tratamiento leal y transparente;
los intereses legítimos perseguidos por los responsables del tratamiento en contextos específicos;
la recogida de datos personales;
la seudoanonimización de datos personales;
la información proporcionada al público y a los interesados;
el ejercicio de los derechos de los interesados;
la información proporcionada a los niños y la protección de éstos, así como la manera de obtener el consentimiento de los titulares de la patria potestad o tutela sobre el niño;
las medidas y procedimientos para garantizar la seguridad del tratamiento así como la protección de datos desde el diseño y por defecto;
la notificación de violaciones de la seguridad de los datos personales a las autoridades de control y la comunicación de dichas violaciones a los interesados;
la transferencia de datos personales a terceros países y organizaciones internacionales, o
los procedimientos extrajudiciales y otros procedimientos de resolución de conflictos que permitan resolver las controversias entre los responsables del tratamiento y los interesados relativas al tratamiento, sin perjuicio de los derechos de los interesados.

Destaca este último aspecto, que permitirá resolver los conflictos que pudieran plantearse y obtener satisfacción de manera ágil.

El Reglamento prevé la posibilidad de aprobar códigos de conducta cuando guarde relación con actividades de tratamiento en varios Estados miembros o incluya compromisos vinculantes y exigibles para realizar transferencias internacionales de datos a través del mecanismo de coherencia, que cuenta como antecedente el mecanismo coordinado y de reconocimiento mutuo impulsado por el Grupo del Artículo 29 para la adopción de las BCR.

Mucho más impreciso parece el alcance del mecanismo previsto para la supervisión de códigos de conducta por parte de un organismo que tenga el nivel adecuado de pericia en relación con el objeto del código y que haya sido acreditado para tal fin por la autoridad de control competente. Cabe señalar que el RLOPD ya contenía entre el contenido mínimo que debían tener los códigos tipo mecanismos de supervisión a través de los cuales se garantice el cumplimiento por los adheridos de lo establecido en el código tipo. Habrá que estar, por tanto, atentos al desarrollo que se realice de esta previsión.

Como resumen, los códigos de conducta, que adquieren una mayor relevancia, resultan un instrumento que no sólo permite adecuar la aplicación del Reglamento europeo a las características de cada sector, sino que sirven para demostrar su cumplimiento y, en el caso de España, tanto la Agencia Española de Protección de Datos como los potenciales promotores de los códigos disponen de un buen punto de partida en la experiencia desarrollada durante la vigencia de la LOPD y, en especial, de su Reglamento de desarrollo.