A estas alturas creo que ya todos conocemos nuestra obligación de cumplir la normativa de Protección de datos en caso de que tratemos datos personales.
Pero, ¿cómo garantizo que cumplo esa normativa?
Para ello el RGPD establece los Códigos de Conducta y los mecanismos de certificación. A través de ellos podemos garantizar que nuestra empresa está adaptada a la normativa de Protección de datos. También sirven para ofrecer adecuadas garantías en casos de transferencias internacionales de datos.
A continuación te explicaré en qué consiste cada uno de ellos.
Códigos de Conducta en el RGPD
El RGPD regula los Códigos de conducta en los artículos 40 y 41. También hace referencia a ellos en otros artículos pero no establece una definición de los mismos.
Podemos definir los Códigos de conducta como el conjunto de normas en las que se regulan cómo debe comportarse una empresa u organización, la cuál se responsabiliza de cumplir esas normas en relación a una o varias prácticas dentro de un sector de su actividad. Estas normas no deben estar exigidas por una ley o disposición administrativa.
Estos códigos de conducta son voluntarios, lo que supone que únicamente obligan a aquellas entidades que han asumido el compromiso de aplicarlos.
En la LOPDGDD se alude a los códigos de conducta en el artículo 38 indicando que estos vincularán a aquellos que se adhieran a ellos.
Los códigos de conducta solamente son obligatorios para las autoridades nacionales, el Comité Europeo de Protección de datos y la Comisión Europea.
Finalidad
Los códigos de conducta ayudan a la correcta aplicación del RGPD, teniendo en cuenta las especiales características de los diferentes sectores y las necesidades específicas de las pequeñas y medianas empresas. Estos códigos de conducta también ofrecen adecuadas garantías en la realización de transferencias internacionales de datos.
Tanto las autoridades de control como la Comisión y el Comité europeo de Protección de datos deben impulsar la confección de códigos de conducta por las empresas. También pueden promover esa elaboración:
- Empresas o grupos de empresas
- Responsables o encargados de tratamiento
- Organismos y asociaciones
- Entidades con funciones de resolución extrajudicial de conflictos y de supervisión.
Ámbito de aplicación
Esos códigos de conducta serán aplicables en los distintos sectores en los que se hayan incorporado y será obligatorio su cumplimiento por las empresas, asociaciones, organismos o responsables del tratamiento que se hayan adherido a ellos.
Contenido
Los códigos de conducta deben especificar el cumplimiento del RGPD en relación a:
- Tratamiento de datos transparente y leal
- Intereses legítimos de los responsables
- Recopilación de datos personales
- Anonimización y seudonimización de los datos personales
- Información que debe facilitarse a los titulares de los datos y al público
- Derechos de los afectados
- Información a facilitar a menores y cómo debe obtenerse el consentimiento de los padres o tutores
- Procedimiento y medidas de seguridad respecto al tratamiento de los datos personales
- Notificaciones de brechas de seguridad
- Transferencias internacionales de datos
- Procedimientos extrajudiciales de resolución de conflictos sobre el tratamiento de datos entre el responsable y los interesados
- Mecanismos de control del cumplimiento de esos códigos de conducta por el órgano de supervisión
Procedimiento de elaboración
Los códigos de conducta se elaborarán o modificarán por las entidades u organismos previa consulta a todas las partes interesadas, incluidos los titulares de los datos, siempre que sea posible tener en cuenta sus opiniones.
En primer lugar se presentará el proyecto a la autoridad de control que debe decidir si ese código se adecua a lo establecido en el RGPD.
La LOPDGDD establece que los códigos de conducta debe aprobarlos la AEPD o la autoridad autonómica de protección de datos correspondiente, siempre que consideren que ofrecen las suficientes garantías. Las particularidades del procedimiento de aprobación de estos códigos se establecerán a través de real decreto.
Existirá un único registro de códigos de conducta llevado por las autoridades autonómicas y la AEPD. A ese registro se podrá acceder a través de medios electrónicos.
Una vez aprobado ese código de conducta, la autoridad de Protección de datos lo publicará y lo registrará.
Códigos de conducta que afectan a tratamientos en varios Estados de la UE
En estos casos, la autoridad de Protección de datos, antes de aprobarlo, debe remitirlo al Comité europeo de Protección de datos. Este debe analizar si:
- Es conforme al RGPD
- Ofrece adecuadas garantías para transferencias internacionales de datos
Posteriormente, el Comité europeo de Protección de datos enviará un informe favorable a la Comisión que es quien decidirá si ese código es válido dentro de la UE y lo publicará.
El Comité europeo de Protección de datos debe llevar un registro de esos códigos de conducta, que deben estar a disposición pública.
Supervisión
Debe existir un órgano con un nivel adecuado de conocimiento sobre el objeto del código y que haya sido acreditado por la autoridad de Protección de datos competente que se encargará de controlar el cumplimiento del código de conducta.
A este órgano de supervisión le corresponde adoptar las medidas adecuadas en caso de producirse una infracción del código de conducta. Por ejemplo, suspender o expulsar al infractor. También informará a la autoridad de Protección de datos competente sobre las sanciones y los motivos.
En caso de incumplimiento de las obligaciones establecidas, las sanciones que pueden imponerse pueden llegar hasta los 10 millones de euros.
Acreditación de los organismos de supervisión
Los criterios para acreditar a los órganos de supervisión se establecerán por las autoridades de Protección de datos y los someterán a la aprobación del Comité europeo de Protección de datos para que emita su dictamen al respecto.
Los requisitos para acreditar a un organismo de supervisión son:
- Conocimiento del objeto del código e independencia
- Establezca procedimientos para analizar que, tanto el responsable como el encargado del tratamiento, son idóneos para aplicar el código, supervisar su cumplimiento y analizar periódicamente su aplicación.
- Aplique procesos para la tramitación de reclamaciones con transparencia para los interesados y el público en general.
- Se demuestre que no existe conflicto de intereses.
Si ese organismo vulnera el RGPD o no cumple los requisitos de acreditación, la AEPD revocará su acreditación.
Efectos
Los efectos que producen los códigos de conducta son los siguientes:
- Sirven de medio para justificar el cumplimiento por el responsable de sus obligaciones
- Su cumplimiento se tendrá en cuenta a la hora de realizar la Evaluación de impacto en Protección de datos de esas actividades de tratamiento
- Sirve para demostrar el cumplimiento de las medidas de seguridad
- A través de ellos puede justificarse que el encargado del tratamiento ofrece suficientes garantías
- Demuestran que existen garantías adecuadas para realizar transferencias internacionales
- Son tenidos en cuenta a la hora de imponer sanciones
Mecanismos de certificación
Los mecanismos de certificación, al igual que los códigos de conducta, sirven para demostrar el cumplimiento del RGPD por parte de los responsables y encargados del tratamiento. También ofrecen garantías adecuadas para realizar transferencias internacionales de datos.
En su elaboración deben considerarse la necesidades específicas de las pymes y no impondrán límites a la responsabilidad de responsables y encargados sobre el cumplimiento del RGPD.
Se promoverá su elaboración por parte de los Estados miembros, autoridades de Protección de datos, Comité europeo de Protección de datos y Comisión europea.
Estos mecanismos de certificación son voluntarios y su acceso debe ser transparente.
Criterios de certificación
Los criterios de certificación deberán aprobarse por la Autoridad de Protección de datos competente y por el Comité europeo de Protección de datos, que establecerá un Sello Europeo de Protección de datos.
La certificación será expedida por un órgano acreditado, la autoridad de Protección de datos y por el Comité europeo de Protección de datos.
Para conceder esa certificación, el organismo recabará la información necesaria del responsable y del encargado del tratamiento y estos le facilitarán acceso a las actividades de tratamiento que realicen.
La certificación será válida durante un plazo de tres años y podrá renovarse en las mismas condiciones.
La concesión o renovación de la certificación por un organismo acreditado debe comunicarse previamente a la autoridad de Protección de datos, que puede decidir que no se conceda.
Esa certificación puede retirarse si no se cumplen los requisitos exigidos.
Organismos de certificación
Los organismos de certificación deben tener conocimientos adecuados en materia de Protección de datos y estar acreditados por la autoridad de Protección de datos (AEPD) , el organismo nacional de acreditación (ENAC) o por el Comité europeo de Protección de datos.
Para su acreditación el organismo debe demostrar:
- Independencia y conocimientos en materia de Protección de datos
- Respeto de los criterios de certificación
- Establecimiento de procedimientos para la concesión, revisión y retirada de las certificaciones
- Creación de procesos para tramitar reclamaciones sobre infracciones de la certificación
- No existe conflicto de intereses
La acreditación será válida durante 5 años y puede renovarse en las mismas condiciones.
El Comité europeo de Protección de datos llevará un registro público de las certificaciones, de los organismos acreditados y de los responsables y encargados certificados.
Efectos
Los efectos de estas certificaciones son:
- Demuestran el cumplimiento de sus obligaciones por el responsable
- Acreditan el cumplimiento de la privacidad desde el diseño y por defecto
- Demuestran el cumplimiento de las medidas de seguridad adecuadas
- Justifican que los responsables y encargados ofrecen las suficientes garantías para realizar transferencias internacionales de datos y sobre el cumplimiento del RGPD
- Son tenidas en cuenta a la hora de imponer sanciones
Nuevas directrices sobre Códigos de conducta y mecanismos de certificación
El Comité europeo de Protección de datos aprobó el pasado 4 de junio unas nuevas directrices sobre Códigos de conducta y se establecieron anexos a los mecanismos de certificación y acreditación.
Directrices sobre los códigos de conducta
Tras un período de consulta pública de la propuesta inicial, el Comité ha aprobado la versión final de las Directrices sobre Códigos de Conducta, en las que se han incluido diversas aclaraciones.
Con estas directrices, que se espera publicar pronto, se pretende ofrecer una orientación práctica y ayuda en la interpretación de la aplicación de los artículos 40 y 41 del RGPD.
Las directrices tienen el objetivo de proporcionar más claridad a los procedimientos y las normas de presentación, aprobación y publicación de códigos de conducta tanto a nivel nacional como europeo. Además, también deben servir de marco clarificador para que todas las autoridades de supervisión competentes, el Supervisor y la Comisión evalúen los códigos de conducta de manera coherente y racionalicen los procedimientos que intervienen en el proceso de evaluación.
Anexo de las Directrices sobre Acreditación
En la misma sesión el Comité aprobó también la versión final del anexo de las Directrices sobre acreditación. Tras un período de consulta pública, el texto ha sido revisado para mejorar su claridad.
El objetivo de estas directrices es facilitar ayuda en la interpretación y aplicación de las disposiciones del artículo 43 del RGPD.
En particular, tienen por objeto ayudar a los Estados miembros, a las autoridades de supervisión y a los organismos nacionales de acreditación a establecer una base de referencia coherente y armonizada para la acreditación de los organismos de certificación que expiden la certificación de conformidad con el RGPD.
El nuevo anexo ofrece orientación sobre los requisitos adicionales para la acreditación de los organismos de certificación que deben establecer las autoridades de supervisión. Estos requisitos adicionales, antes de ser adoptados por las autoridades de supervisión, deben presentarse al Comité Europeo de Protección de Datos para su aprobación.
Anexo a las Directrices para la Certificación
Por último, el Comité Europeo de Protección de Datos adoptó una versión final del anexo 2 de las Directrices sobre certificación.
Al igual que en los casos anteriores, tras un período de consulta pública se han añadido al texto determinadas mejoras, por ejemplo, sobre si los criterios se refieren a la obligación del responsable o encargado del tratamiento de designar un Delegado de Protección de Datos, o a la obligación de llevar registros de las actividades de tratamiento.
El principal propósito de estas directrices es establecer los criterios generales que afecten a todos los tipos de mecanismos de certificación concedidos según los artículo 42 y 43 del RGPD.
El anexo identifica los temas que las autoridades de control y el CEPD deberán considerar y aplicar para la aprobación de los criterios de certificación para un mecanismo de certificación. La lista no es exhaustiva, sino que se refiere a los criterios mínimos que se deberán considerar.
Tras la aprobación de estos materiales, y como paso previo al debate sobre casos específicos relativos a la certificación y acreditación por el Comité, este está preparando un procedimiento para facilitar la elaboración de dictámenes coherentes y oportunos sobre los proyectos de decisión de las Autoridades de Control y para la aprobación de los sellos europeos de protección de datos.
De todo esto podemos concluir que la adhesión a códigos de conducta o la certificación es muy importante para demostrar que cumplimos con la normativa de Protección de datos.
Escribe aquí tu comentario