guiasjuridicas.es - Documento
El documento tardará unos segundos en cargarse. Espere, por favor.
Códigos de conducta (Protección de Da...

Códigos de conducta (Protección de Datos)

Los códigos de conducta tienen el objetivo de promover entre las entidades de un determinado sector el cumplimiento normativo. Cuando se realiza un tratamiento de datos de forma habitual en un sector, las empresas deberán dar cumplimiento a la normativa de forma similar, por lo que establecen reglas comunes para ello.

Protección de datos

¿Qué son y cuál es el objeto de los códigos de conducta?

Los códigos de conducta tratan principalmente de promover entre entidades de un sector el cumplimiento de las normas. A la hora de realizar un tratamiento de datos relacionado con un proceso habitual dentro del sector, la problemática en el cumplimiento de la legislación sobre protección de datos a la que tendrán que hacer frente las empresas será muy similar. Por ello estos códigos establecen reglas comunes para unos tratamientos comunes.

La adhesión y efectivo respeto de un código de conducta es garantía de responsabilidad y cumplimiento normativo. Si bien no es obligatorio adherirse a un código, por un lado, asegurará un nivel de cumplimiento mayor y por otro proyectará una imagen corporativa de seguridad. La adhesión a un código es por lo tanto un acto de responsabilidad voluntario, siendo obligatorio el cumplimiento una vez que una organización se ha adherido, lo que va en línea con la intención del Reglamento (UE) 2016/679, de 27 de abril de 2016 (en adelante, RGPD) de crear una cultura de cumplimiento en protección de datos. Es por ello que el RGPD promueve su utilización y anima a asociaciones u otros organismos representantes de un sector de responsables o encargados de tratamiento a que los redacten (Considerando 98 y arts. 40 y 41). Como ejemplo, el Código de Conducta para prestadores de servicios de almacenamiento «Cloud», redactado por el «Cloud Select Industry Group (CSIG) -Data Protection Code of Conduct Subgroup».

En el proceso de creación o modificación del código, sus impulsores deberán notificar a la autoridad nacional competente para que apruebe este código y analice si considera suficientes las garantías ofrecidas, y posteriormente deberá registrarse y publicarse. De nada serviría un código que no tuviera en cuenta los riesgos concretos de su sector de actividad, y del mismo modo, sea capaz de graduar el nivel de cumplimiento en función del tamaño de las organizaciones. Podrá regular la aprobación y supervisión de los códigos un organismo independiente que ostente un nivel acorde con la tarea.

El artículo 40.2 del RGPD detalla las materias que un código de conducta debería tratar: tratamiento leal y transparente, los intereses legítimos de los responsables del tratamiento en contextos específicos, la recogida de datos, la seudonimización, la información proporcionada al público y a los interesados, el ejercicio de los derechos de los interesados, la información proporcionada a los niños y su protección, así como la manera de obtener el consentimiento parental, las medidas de seguridad; la notificación de violaciones de la seguridad, etc. Además, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) fomenta que los códigos de conducta incluyan mecanismos de resolución extrajudicial de conflictos.

Otra de las ventajas de estar adherido a un código de conducta es que podrá considerarse como un factoratenuante en el momento de calcular una posible sanción (Considerando 148). El incumplimiento del código de conducta puede suponer la suspensión o exclusión del código, y está sujeto a multa administrativa de hasta 10 millones de euros o el 2% de sus ingresos totales anuales (art. 83.4.a RGPD).

¿Cómo se aprueban los códigos de conducta?

Como se indica en la LOPDGDD, ya que es necesario seguir el procedimiento previsto en el RGPD, los códigos de conducta tendrán que ser aprobados, en su caso, por la Agencia Española de Protección de Datos o por la autoridad autonómica de protección de datos que sea competente.

En este sentido, la autoridad de control ante la que se presente un código de conducta para su aprobación tendrá que someter el proyecto de código al mecanismo de coherencia previsto en el RGPD, de manera que será necesario un dictamen del Comité Europeo de Protección de Datos que determine si el proyecto de código de conducta o la modificación o ampliación de un código de conducta es conforme con el RGPD.

La Agencia Española de Protección de Datos y las autoridades autonómicas mantendrán registros de los códigos de conducta aprobados por las mismas, que estarán interconectados entre sí y coordinados con el registro gestionado por el Comité Europeo de Protección de Datos. Este registro podrá consultarse en cualquier momento ya que estará accesible por medios electrónicos.

Además, reglamentariamente se desarrollará el contenido de este registro y las especialidades del procedimiento de aprobación de los códigos de conducta.

Por último, por lo que se refiere a los códigos tipo o de conducta que se inscribieron en las autoridades de protección de datos conforme a la Ley Orgánica 15/1999, de 13 de diciembre, la Disposición Transitoria 2ª de la LOPDGDD prevé que los promotores de estos códigos tendrán un año, desde la entrada en vigor de ésta, para adaptarlos al RGPD. Y sin en dicho plazo no se hubiera solicitado la aprobación se procederá a cancelar la inscripción del código.

Recuerde que…

  • Cuando determinadas empresas de un sector deben dar cumplimiento a la normativa de protección de datos de forma similar, crean códigos de conducta para establecer reglas comunes.
  • A pesar de que no es obligatorio adherirse, de hacerlo se asegura un nivel mayor de cumplimiento y una imagen corporativa más segura, ya que su cumplimiento es obligatorio.
  • Cuando se creen o modifiquen, habrá de notificarse a la autoridad nacional competente para su análisis y aprobación.
  • La adhesión a un código de conducta podrá atenuar posibles sanciones administrativas.
Subir