[{"@context":"http:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/ayudaleyprotecciondatos.es\/2019\/06\/13\/codigos-conducta-mecanismos-certificacion\/#BlogPosting","mainEntityOfPage":"https:\/\/ayudaleyprotecciondatos.es\/2019\/06\/13\/codigos-conducta-mecanismos-certificacion\/","headline":"C\u00f3digos de Conducta y mecanismos de certificaci\u00f3n","name":"C\u00f3digos de Conducta y mecanismos de certificaci\u00f3n","description":"\u00bfSabes en qu\u00e9 consisten los c\u00f3digos de conducta y los mecanismos de certificaci\u00f3n seg\u00fan el RGPD y la LOPDGDD? \u00a1Aqu\u00ed tienes toda la informaci\u00f3n!","datePublished":"2019-06-13","dateModified":"2021-07-20","author":{"@type":"Person","@id":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/#Person","name":"Ana Gonz\u00e1lez","url":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/","image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"AyudaLeyProteccionDatos","logo":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","width":100,"height":100},"url":"https:\/\/ayudaleyprotecciondatos.es\/2019\/06\/13\/codigos-conducta-mecanismos-certificacion\/","about":["LOPDGDD & RGPD"],"wordCount":2653,"articleBody":" if (typeof BingeIframeRan === \"undefined\") { window.addEventListener(\"message\", receiveMessage, false); function receiveMessage(event) { try { var parsed = JSON.parse(event.data) if (parsed.context === \"iframe.resize\") { var iframes = document.getElementsByClassName(\"binge-iframe\"); for (let i = 0; i < iframes.length; ++i) { if (iframes[i].src == parsed.src || iframes[i].contentWindow === event.source) { iframes[i].height = parsed.height; } iframes[i].style.opacity = 1; } } } catch (error) { } } var BingeIframeRan = true; } A estas alturas creo que ya todos conocemos nuestra obligaci\u00f3n de cumplir la normativa de Protecci\u00f3n de datos en caso de que tratemos datos personales.Pero, \u00bfc\u00f3mo garantizo que cumplo esa normativa?Para ello el RGPD establece los C\u00f3digos de Conducta y los mecanismos de certificaci\u00f3n. A trav\u00e9s de ellos podemos garantizar que nuestra empresa est\u00e1 adaptada a la normativa de Protecci\u00f3n de datos. Tambi\u00e9n sirven para ofrecer adecuadas garant\u00edas en casos de transferencias internacionales de datos.A continuaci\u00f3n te explicar\u00e9 en qu\u00e9 consiste cada uno de ellos.C\u00f3digos de Conducta en el RGPDFinalidad\u00c1mbito de aplicaci\u00f3nContenidoProcedimiento de elaboraci\u00f3nC\u00f3digos de conducta que afectan a tratamientos en varios Estados de la UESupervisi\u00f3nAcreditaci\u00f3n de los organismos de supervisi\u00f3nEfectosMecanismos de certificaci\u00f3nCriterios de certificaci\u00f3nOrganismos de certificaci\u00f3nEfectosNuevas directrices sobre C\u00f3digos de conducta y mecanismos de certificaci\u00f3nDirectrices sobre los c\u00f3digos de conductaAnexo de las Directrices sobre Acreditaci\u00f3nAnexo a las Directrices para la Certificaci\u00f3nC\u00f3digos de Conducta en el RGPDEl RGPD regula los C\u00f3digos de conducta en los art\u00edculos 40 y 41. Tambi\u00e9n hace referencia a ellos en otros art\u00edculos pero no establece una definici\u00f3n de los mismos.Podemos definir los C\u00f3digos de conducta como el conjunto de normas en las que se regulan c\u00f3mo debe comportarse una empresa u organizaci\u00f3n, la cu\u00e1l se responsabiliza de cumplir esas normas en relaci\u00f3n a una o varias pr\u00e1cticas dentro de un sector de su actividad. Estas normas no deben estar exigidas por una ley o disposici\u00f3n administrativa.Estos c\u00f3digos de conducta son voluntarios, lo que supone que \u00fanicamente obligan a aquellas entidades que han asumido el compromiso de aplicarlos.En la LOPDGDD se alude a los c\u00f3digos de conducta en el art\u00edculo 38 indicando que estos vincular\u00e1n a aquellos que se adhieran a ellos.Los c\u00f3digos de conducta solamente son obligatorios para las autoridades nacionales, el Comit\u00e9 Europeo de Protecci\u00f3n de datos y la Comisi\u00f3n Europea.FinalidadLos c\u00f3digos de conducta ayudan a la correcta aplicaci\u00f3n del RGPD, teniendo en cuenta las especiales caracter\u00edsticas de los diferentes sectores y las necesidades espec\u00edficas de las peque\u00f1as y medianas empresas. Estos c\u00f3digos de conducta tambi\u00e9n ofrecen adecuadas garant\u00edas en la realizaci\u00f3n de transferencias internacionales de datos.Tanto las autoridades de control como la Comisi\u00f3n y el Comit\u00e9 europeo de Protecci\u00f3n de datos deben impulsar la confecci\u00f3n de c\u00f3digos de conducta por las empresas. Tambi\u00e9n pueden promover esa elaboraci\u00f3n:Empresas o grupos de empresasResponsables o encargados de tratamientoOrganismos y asociacionesEntidades con funciones de resoluci\u00f3n extrajudicial de conflictos y de supervisi\u00f3n.\u00c1mbito de aplicaci\u00f3nEsos c\u00f3digos de conducta ser\u00e1n aplicables en los distintos sectores en los que se hayan incorporado y ser\u00e1 obligatorio su cumplimiento por las empresas, asociaciones, organismos o responsables del tratamiento que se hayan adherido a ellos.ContenidoLos c\u00f3digos de conducta deben especificar el cumplimiento del RGPD en relaci\u00f3n a:Tratamiento de datos transparente y lealIntereses leg\u00edtimos de los responsablesRecopilaci\u00f3n de datos personalesAnonimizaci\u00f3n y seudonimizaci\u00f3n de los datos personalesInformaci\u00f3n que debe facilitarse a los titulares de los datos y al p\u00fablicoDerechos de los afectadosInformaci\u00f3n a facilitar a menores y c\u00f3mo debe obtenerse el consentimiento de los padres o tutoresProcedimiento y medidas de seguridad respecto al tratamiento de los datos personalesNotificaciones de brechas de seguridadTransferencias internacionales de datosProcedimientos extrajudiciales de resoluci\u00f3n de conflictos sobre el tratamiento de datos entre el responsable y los interesadosMecanismos de control del cumplimiento de esos c\u00f3digos de conducta por el \u00f3rgano de supervisi\u00f3nProcedimiento de elaboraci\u00f3nLos c\u00f3digos de conducta se elaborar\u00e1n o modificar\u00e1n por las entidades u organismos previa consulta a todas las partes interesadas, incluidos los titulares de los datos, siempre que sea posible tener en cuenta sus opiniones.En primer lugar se presentar\u00e1 el proyecto a la autoridad de control que debe decidir si ese c\u00f3digo se adecua a lo establecido en el RGPD.La LOPDGDD establece que los c\u00f3digos de conducta debe aprobarlos la AEPD o la autoridad auton\u00f3mica de protecci\u00f3n de datos correspondiente, siempre que consideren que ofrecen las suficientes garant\u00edas. Las particularidades del procedimiento de aprobaci\u00f3n de estos c\u00f3digos se establecer\u00e1n a trav\u00e9s de real decreto.Existir\u00e1 un \u00fanico registro de c\u00f3digos de conducta llevado por las autoridades auton\u00f3micas y la AEPD. A ese registro se podr\u00e1 acceder a trav\u00e9s de medios electr\u00f3nicos.Una vez aprobado ese c\u00f3digo de conducta, la autoridad de Protecci\u00f3n de datos lo publicar\u00e1 y lo registrar\u00e1.C\u00f3digos de conducta que afectan a tratamientos en varios Estados de la UEEn estos casos, la autoridad de Protecci\u00f3n de datos, antes de aprobarlo, debe remitirlo al Comit\u00e9 europeo de Protecci\u00f3n de datos. Este debe analizar si:Es conforme al RGPDOfrece adecuadas garant\u00edas para transferencias internacionales de datosPosteriormente, el Comit\u00e9 europeo de Protecci\u00f3n de datos enviar\u00e1 un informe favorable a la Comisi\u00f3n que es quien decidir\u00e1 si ese c\u00f3digo es v\u00e1lido dentro de la UE y lo publicar\u00e1.El Comit\u00e9 europeo de Protecci\u00f3n de datos debe llevar un registro de esos c\u00f3digos de conducta, que deben estar a disposici\u00f3n p\u00fablica.Supervisi\u00f3nDebe existir un \u00f3rgano con un nivel adecuado de conocimiento sobre el objeto del c\u00f3digo y que haya sido acreditado por la autoridad de Protecci\u00f3n de datos competente que se encargar\u00e1 de controlar el cumplimiento del c\u00f3digo de conducta.A este \u00f3rgano de supervisi\u00f3n le corresponde adoptar las medidas adecuadas en caso de producirse una infracci\u00f3n del c\u00f3digo de conducta. Por ejemplo, suspender o expulsar al infractor. Tambi\u00e9n informar\u00e1 a la autoridad de Protecci\u00f3n de datos competente sobre las sanciones y los motivos.En caso de incumplimiento de las obligaciones establecidas, las sanciones que pueden imponerse pueden llegar hasta los 10 millones de euros.Acreditaci\u00f3n de los organismos de supervisi\u00f3nLos criterios para acreditar a los \u00f3rganos de supervisi\u00f3n se establecer\u00e1n por las autoridades de Protecci\u00f3n de datos y los someter\u00e1n a la aprobaci\u00f3n del Comit\u00e9 europeo de Protecci\u00f3n de datos para que emita su dictamen al respecto.Los requisitos para acreditar a un organismo de supervisi\u00f3n son:Conocimiento del objeto del c\u00f3digo e independenciaEstablezca procedimientos para analizar que, tanto el responsable como el encargado del tratamiento, son id\u00f3neos para aplicar el c\u00f3digo, supervisar su cumplimiento y analizar peri\u00f3dicamente su aplicaci\u00f3n.Aplique procesos para la tramitaci\u00f3n de reclamaciones con transparencia para los interesados y el p\u00fablico en general.Se demuestre que no existe conflicto de intereses.Si ese organismo vulnera el RGPD o no cumple los requisitos de acreditaci\u00f3n, la AEPD revocar\u00e1 su acreditaci\u00f3n.EfectosLos efectos que producen los c\u00f3digos de conducta son los siguientes:Sirven de medio para justificar el cumplimiento por el responsable de sus obligacionesSu cumplimiento se tendr\u00e1 en cuenta a la hora de realizar la Evaluaci\u00f3n de impacto en Protecci\u00f3n de datos de esas actividades de tratamientoSirve para demostrar el cumplimiento de las medidas de seguridadA trav\u00e9s de ellos puede justificarse que el encargado del tratamiento ofrece suficientes garant\u00edasDemuestran que existen garant\u00edas adecuadas para realizar transferencias internacionalesSon tenidos en cuenta a la hora de imponer sancionesMecanismos de certificaci\u00f3nLos mecanismos de certificaci\u00f3n, al igual que los c\u00f3digos de conducta, sirven para demostrar el cumplimiento del RGPD por parte de los responsables y encargados del tratamiento. Tambi\u00e9n ofrecen garant\u00edas adecuadas para realizar transferencias internacionales de datos.En su elaboraci\u00f3n deben considerarse la necesidades espec\u00edficas de las pymes y no impondr\u00e1n l\u00edmites a la responsabilidad de responsables y encargados sobre el cumplimiento del RGPD.Se promover\u00e1 su elaboraci\u00f3n por parte de los Estados miembros, autoridades de Protecci\u00f3n de datos, Comit\u00e9 europeo de Protecci\u00f3n de datos y Comisi\u00f3n europea.Estos mecanismos de certificaci\u00f3n son voluntarios y su acceso debe ser transparente.Criterios de certificaci\u00f3nLos criterios de certificaci\u00f3n deber\u00e1n aprobarse por la Autoridad de Protecci\u00f3n de datos competente y por el Comit\u00e9 europeo de Protecci\u00f3n de datos, que establecer\u00e1 un Sello Europeo de Protecci\u00f3n de datos.La certificaci\u00f3n ser\u00e1 expedida por un \u00f3rgano acreditado, la autoridad de Protecci\u00f3n de datos y por el Comit\u00e9 europeo de Protecci\u00f3n de datos.Para conceder esa certificaci\u00f3n, el organismo recabar\u00e1 la informaci\u00f3n necesaria del responsable y del encargado del tratamiento y estos le facilitar\u00e1n acceso a las actividades de tratamiento que realicen.La certificaci\u00f3n ser\u00e1 v\u00e1lida durante un plazo de tres a\u00f1os y podr\u00e1 renovarse en las mismas condiciones.La concesi\u00f3n o renovaci\u00f3n de la certificaci\u00f3n por un organismo acreditado debe comunicarse previamente a la autoridad de Protecci\u00f3n de datos, que puede decidir que no se conceda.Esa certificaci\u00f3n puede retirarse si no se cumplen los requisitos exigidos.Organismos de certificaci\u00f3nLos organismos de certificaci\u00f3n deben tener conocimientos adecuados en materia de Protecci\u00f3n de datos y estar acreditados por la autoridad de Protecci\u00f3n de datos (AEPD) , el organismo nacional de acreditaci\u00f3n (ENAC) o por el Comit\u00e9 europeo de Protecci\u00f3n de datos.Para su acreditaci\u00f3n el organismo debe demostrar:Independencia y conocimientos en materia de Protecci\u00f3n de datosRespeto de los criterios de certificaci\u00f3nEstablecimiento de procedimientos para la concesi\u00f3n, revisi\u00f3n y retirada de las certificacionesCreaci\u00f3n de procesos para tramitar reclamaciones sobre infracciones de la certificaci\u00f3nNo existe conflicto de interesesLa acreditaci\u00f3n ser\u00e1 v\u00e1lida durante 5 a\u00f1os y puede renovarse en las mismas condiciones.El Comit\u00e9 europeo de Protecci\u00f3n de datos llevar\u00e1 un registro p\u00fablico de las certificaciones, de los organismos acreditados y de los responsables y encargados certificados.EfectosLos efectos de estas certificaciones son:Demuestran el cumplimiento de sus obligaciones por el responsableAcreditan el cumplimiento de la privacidad desde el dise\u00f1o y por defectoDemuestran el cumplimiento de las medidas de seguridad adecuadasJustifican que los responsables y encargados ofrecen las suficientes garant\u00edas para realizar transferencias internacionales de datos y sobre el cumplimiento del RGPDSon tenidas en cuenta a la hora de imponer sancionesNuevas directrices sobre C\u00f3digos de conducta y mecanismos de certificaci\u00f3nEl Comit\u00e9 europeo de Protecci\u00f3n de datos aprob\u00f3 el pasado 4 de junio unas nuevas directrices sobre C\u00f3digos de conducta y se establecieron anexos a los mecanismos de certificaci\u00f3n y acreditaci\u00f3n.Directrices sobre los c\u00f3digos de conductaTras un per\u00edodo de consulta p\u00fablica de la propuesta inicial, el Comit\u00e9 ha aprobado la versi\u00f3n final de las Directrices sobre C\u00f3digos de Conducta, en las que se han incluido diversas aclaraciones.Con estas directrices, que se espera publicar pronto, se pretende ofrecer una orientaci\u00f3n pr\u00e1ctica y ayuda en la interpretaci\u00f3n de la aplicaci\u00f3n de los art\u00edculos 40 y 41 del RGPD.Las directrices tienen el objetivo de proporcionar m\u00e1s claridad a los procedimientos y las normas de presentaci\u00f3n, aprobaci\u00f3n y publicaci\u00f3n de c\u00f3digos de conducta tanto a nivel nacional como europeo. Adem\u00e1s, tambi\u00e9n deben servir de marco clarificador para que todas las autoridades de supervisi\u00f3n competentes, el Supervisor y la Comisi\u00f3n eval\u00faen los c\u00f3digos de conducta de manera coherente y racionalicen los procedimientos que intervienen en el proceso de evaluaci\u00f3n.Anexo de las Directrices sobre Acreditaci\u00f3nEn la misma sesi\u00f3n el Comit\u00e9 aprob\u00f3 tambi\u00e9n la versi\u00f3n final del anexo de las Directrices sobre acreditaci\u00f3n. Tras un per\u00edodo de consulta p\u00fablica, el texto ha sido revisado para mejorar su claridad.El objetivo de estas directrices es facilitar ayuda en la interpretaci\u00f3n y aplicaci\u00f3n de las disposiciones del art\u00edculo 43 del RGPD.En particular, tienen por objeto ayudar a los Estados miembros, a las autoridades de supervisi\u00f3n y a los organismos nacionales de acreditaci\u00f3n a establecer una base de referencia coherente y armonizada para la acreditaci\u00f3n de los organismos de certificaci\u00f3n que expiden la certificaci\u00f3n de conformidad con el RGPD.El nuevo anexo ofrece orientaci\u00f3n sobre los requisitos adicionales para la acreditaci\u00f3n de los organismos de certificaci\u00f3n que deben establecer las autoridades de supervisi\u00f3n. Estos requisitos adicionales, antes de ser adoptados por las autoridades de supervisi\u00f3n, deben presentarse al Comit\u00e9 Europeo de Protecci\u00f3n de Datos para su aprobaci\u00f3n.Anexo a las Directrices para la Certificaci\u00f3nPor \u00faltimo, el Comit\u00e9 Europeo de Protecci\u00f3n de Datos adopt\u00f3 una versi\u00f3n final del anexo 2 de las Directrices sobre certificaci\u00f3n.Al igual que en los casos anteriores, tras un per\u00edodo de consulta p\u00fablica se han a\u00f1adido al texto determinadas mejoras, por ejemplo, sobre si los criterios se refieren a la obligaci\u00f3n del responsable o encargado del tratamiento de designar un Delegado de Protecci\u00f3n de Datos, o a la obligaci\u00f3n de llevar registros de las actividades de tratamiento.El principal prop\u00f3sito de estas directrices es establecer los criterios generales que afecten a todos los tipos de mecanismos de certificaci\u00f3n concedidos seg\u00fan los art\u00edculo 42 y 43 del RGPD.El anexo identifica los temas que las autoridades de control y el CEPD deber\u00e1n considerar y aplicar para la aprobaci\u00f3n de los criterios de certificaci\u00f3n para un mecanismo de certificaci\u00f3n. La lista no es exhaustiva, sino que se refiere a los criterios m\u00ednimos que se deber\u00e1n considerar.Tras la aprobaci\u00f3n de estos materiales, y como paso previo al debate sobre casos espec\u00edficos relativos a la certificaci\u00f3n y acreditaci\u00f3n por el Comit\u00e9, este est\u00e1 preparando un procedimiento para facilitar la elaboraci\u00f3n de dict\u00e1menes coherentes y oportunos sobre los proyectos de decisi\u00f3n de las Autoridades de Control y para la aprobaci\u00f3n de los sellos europeos de protecci\u00f3n de datos.De todo esto podemos concluir que la adhesi\u00f3n a c\u00f3digos de conducta o la certificaci\u00f3n es muy importante para demostrar que cumplimos con la normativa de Protecci\u00f3n de datos."},{"@context":"http:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/#breadcrumbitem","name":"Ayuda Ley Protecci\u00f3n Datos"}},{"@type":"ListItem","position":2,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/2019\/06\/13\/codigos-conducta-mecanismos-certificacion\/#breadcrumbitem","name":"C\u00f3digos de Conducta y mecanismos de certificaci\u00f3n"}}]}]