Códigos de conducta en protección de datos ¿Qué son?

Es probable que al buscar información sobre protección de datos y cómo cumplir la normativa, os hayáis encontrado con algún código de conducta en protección de datos, pero ¿qué son estos códigos?, ¿quién los elabora?, ¿para qué sirven?, ¿es necesario adherirse a ellos? En las siguientes líneas responderemos a estas y otras cuestiones relacionadas con los códigos de conducta en protección de datos.

¿Qué es un código de conducta en protección de datos?

Un código de conducta en protección de datos es un mecanismo de autorregulación, elaborado y adoptado de manera voluntaria por entidades de un mismo sector de actividad para cumplir las normas de protección de datos, teniendo en cuenta las necesidades particulares debido a la actividad que desarrollan y los tratamientos de datos personales derivados de esta que necesitan llevar a cabo.

La elaboración, contenido y aprobación de los códigos de conducta en protección de datos están regulados tanto el Reglamento General de Protección de Datos (RGPD), en los artículos 40 y 41, como en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), en el artículo 38. Ambos textos, además, promueven la creación de estos códigos de conducta.

Los códigos de conducta pueden tener alcance nacional o transnacional, si afectan a actividades de tratamiento en varios Estados miembros.

¿Qué objetivos tiene un código de conducta en protección de datos?

El objetivo principal de los códigos de conducta en protección de datos es especificar la aplicación del RGPD (y, en el caso de España, la LOPDGDD) para entidades que compartan una misma actividad (pueden ser empresas o entidades públicas o asociaciones), puesto que se entiende que enfrentarán los mismos problemas derivados de los tratamientos de datos personales comunes que realizan.

Así, los códigos de conducta en protección de datos deben abarcar y detallar la aplicación de las siguientes materias, siempre dentro de los límites establecidos por el RGPD:

• Tratamientos de datos personales leales y transparente
• Los intereses legítimos de los responsables del tratamiento dentro de contextos específicos
• La recogida de datos personales.
• La seudonimización de datos personales
• La información que se debe proporcionar a los interesados
• El ejercicio de los derechos de los interesados
• La información que se debe proporcionar a menores de edad y su protección de datos, además de los mecanismos para recabar el consentimiento de los padres o tutores legales de los mismos
• Medidas y procedimientos para garantizar la seguridad de los tratamientos y la aplicación de la protección de datos desde el diseño y por defecto
• La notificación de brechas de seguridad a la autoridad de control y a las personas interesadas cuyos datos hayan podido verse afectados
• Las transferencias de datos personales internacionales
• Los procedimientos extrajudiciales para la resolución de conflictos
• Los mecanismos para la supervisión del cumplimiento del código
• El organismo para la supervisión del cumplimiento del código

¿Quién puede promover un código de conducta?

Pueden promover la elaboración y presentación de un código de conducta en protección de datos:

• Los Estados miembros
• Las autoridades de control
• El Comité Europeo de Protección de Datos (CEPD)
• La Comisión Europea
• Asociaciones
• Organismos representativos de categorías de responsables o encargados del tratamiento
• Empresas o grupos de empresas
• Los responsables y encargados recogidos en el artículo 77.1 de la LOPDGDD (órganos constitucionales, jurisdiccionales, AA. PP., organismos públicos y entidades de derecho público, etc.)
• Organismos o entidades que asuman las funciones de supervisión y resolución extrajudicial de conflictos.

¿Quién aprueba los códigos de conducta de protección de datos?

Los códigos de conducta en protección de datos los aprueba la autoridad de control competente, que, en el caso de España, es la AEPD (Agencia Española de Protección de Datos).

Así, los promotores del código de conducta deberán presentarlo ante la AEPD, que estudiará la propuesta (o la modificación o ampliación de un código existente) y la evaluará de acuerdo a las directrices establecidas en el RGPD. Si se muestra conforme, la AEPD aprobará el código, lo registrará y lo publicará.

En el caso de que se trate de un código de conducta en protección de datos transnacional, la AEPD lo presentará ante el CEPD para su evaluación y aprobación. Una vez aprobado, este lo presentará a la Comisión para que le dé publicidad.

¿Qué códigos de conducta de protección de datos existen?

Actualmente y con los criterios de aprobación establecidos por el RGPD y la LOPDGDD, encontramos registrados estos códigos de conducta en la AEPD:

• Código de conducta de tratamiento de datos en actividad publicitaria (presentado por Autocontrol)
• Código de conducta regulador del tratamiento de datos personales en el ámbito de los ensayos clínicos y otras investigaciones clínicas y de la farmacovigilancia (presentado por Farmaindustria)
• Código de conducta regulador del tratamiento de datos personales en los sistemas comunes del sector asegurador (presentado por UNESPA)

Si buscáis ejemplos de códigos de conducta en protección de datos, los tres que hemos dejado enlazados sobre estas líneas os servirán.

Además, en la página web del CEPD también podréis encontrar los códigos de conducta en protección de datos aprobados y publicados en otros Estados miembros.

¿Cómo adherirse a un código de conducta de protección de datos?

Adherirse a un código de conducta de protección de datos es un acto completamente voluntario, pero vinculante una vez se ha adherido la entidad al mismo, es decir, cuando una empresa u otro tipo de organización se adhiere a uno de los códigos de conducta registrados por la AEPD, se compromete a cumplir las obligaciones recogidas en dicho código.

Para adherirse a un código de conducta de protección de datos, debemos consultar dicho código, para ver si nuestra organización está dentro de su alcance y después seguir los pasos indicados por el código para iniciar el proceso de adhesión. Los tres códigos que hemos citado y enlazado en el punto anterior explican en su texto cómo proceder para adherirse a los mismos.

Cabe señalar que antes de adherirse a un código de conducta en protección de datos, es necesario leer y estudiar el mismo, para asegurarnos de que nuestra entidad será capaz de cumplir con las obligaciones establecidas en él.

¿Qué ocurre cuando se está adherido a un código de conducta?

Una vez adheridas a un código de conducta, las organizaciones deben cumplir con las obligaciones recogidas en él, de la misma forma que tendrían que cumplir con las obligaciones establecidas en el RGPD y la LOPDGDD.

El código de conducta contempla, además, un mecanismo de control y supervisión del cumplimiento normativo, por lo que adherirse no se trata solo de un acto cosmético, sino que hay que cumplir con las directrices que establece en materia de protección de datos.

El incumplimiento del código de conducta puede suponer la baja del mismo, además de una sanción administrativa de hasta 10 millones de euros o el 2% de la facturación anual.

¿Qué beneficios aporta a la empresa adherirse a un código de conducta?

Adherirse a un código de conducta en protección de datos puede tener los siguientes beneficios para una empresa:

• Sirve como elemento para demostrar el cumplimiento de las obligaciones en materia de protección de datos y que se cuenta con las garantías suficientes
• Sirve para acreditar la proactividad de responsables y encargados del tratamiento respecto a la implantación de medidas de seguridad
• Asegura un mayor nivel de cumplimiento en materia de protección de datos
• Puede servir para atenuar las sanciones por incumplimiento de la normativa
• Mejora la imagen corporativa