Ayuda Ley Protección Datos

Códigos de Conducta y mecanismos de certificación

A estas alturas creo que ya todos conocemos nuestra obligación de cumplir la normativa de Protección de datos en caso de que tratemos datos personales.

Pero, ¿cómo garantizo que cumplo esa normativa?

Para ello el RGPD establece los Códigos de Conducta y los mecanismos de certificación. A través de ellos podemos garantizar que nuestra empresa está adaptada a la normativa de Protección de datos. También sirven para ofrecer adecuadas garantías en casos de transferencias internacionales de datos.

A continuación te explicaré en qué consiste cada uno de ellos.

Códigos de Conducta en el RGPD

El RGPD regula los Códigos de conducta en los artículos 40 y 41. También hace referencia a ellos en otros artículos pero no establece una definición de los mismos.

Podemos definir los Códigos de conducta como el conjunto de normas en las que se regulan cómo debe comportarse una empresa u organización, la cuál se responsabiliza de cumplir esas normas en relación a una o varias prácticas dentro de un sector de su actividad. Estas normas no deben estar exigidas por una ley o disposición administrativa.

Estos códigos de conducta son voluntarios, lo que supone que únicamente obligan a aquellas entidades que han asumido el compromiso de aplicarlos.

En la LOPDGDD se alude a los códigos de conducta en el artículo 38 indicando que estos vincularán a aquellos que se adhieran a ellos.

Los códigos de conducta solamente son obligatorios para las autoridades nacionales, el Comité Europeo de Protección de datos y la Comisión Europea.

Finalidad

Los códigos de conducta ayudan a la correcta aplicación del RGPD, teniendo en cuenta las especiales características de los diferentes sectores y las necesidades específicas de las pequeñas y medianas empresas. Estos códigos de conducta también ofrecen adecuadas garantías en la realización de transferencias internacionales de datos.

Tanto las autoridades de control como la Comisión y el Comité europeo de Protección de datos deben impulsar la confección de códigos de conducta por las empresas. También pueden promover esa elaboración:

Ámbito de aplicación

Esos códigos de conducta serán aplicables en los distintos sectores en los que se hayan incorporado y será obligatorio su cumplimiento por las empresas, asociaciones, organismos o responsables del tratamiento que se hayan adherido a ellos.

Contenido

Los códigos de conducta deben especificar el cumplimiento del RGPD en relación a:

Procedimiento de elaboración

Los códigos de conducta se elaborarán o modificarán por las entidades u organismos previa consulta a todas las partes interesadas, incluidos los titulares de los datos, siempre que sea posible tener en cuenta sus opiniones.

En primer lugar se presentará el proyecto a la autoridad de control que debe decidir si ese código se adecua a lo establecido en el RGPD.

La LOPDGDD establece que los códigos de conducta debe aprobarlos la AEPD o la autoridad autonómica de protección de datos correspondiente, siempre que consideren que ofrecen las suficientes garantías. Las particularidades del procedimiento de aprobación de estos códigos se establecerán a través de real decreto.

Existirá un único registro de códigos de conducta llevado por las autoridades autonómicas y la AEPD. A ese registro se podrá acceder a través de medios electrónicos.

Una vez aprobado ese código de conducta, la autoridad de Protección de datos lo publicará y lo registrará.

Códigos de conducta que afectan a tratamientos en varios Estados de la UE

En estos casos, la autoridad de Protección de datos, antes de aprobarlo, debe remitirlo al Comité europeo de Protección de datos. Este debe analizar si:

Posteriormente, el Comité europeo de Protección de datos enviará un informe favorable a la Comisión que es quien decidirá si ese código es válido dentro de la UE y lo publicará.

El Comité europeo de Protección de datos debe llevar un registro de esos códigos de conducta, que deben estar a disposición pública.

Supervisión

Debe existir un órgano con un nivel adecuado de conocimiento sobre el objeto del código y que haya sido acreditado por la autoridad de Protección de datos competente que se encargará de controlar el cumplimiento del código de conducta.

A este órgano de supervisión le corresponde adoptar las medidas adecuadas en caso de producirse una infracción del código de conducta. Por ejemplo, suspender o expulsar al infractor. También informará a la autoridad de Protección de datos competente sobre las sanciones y los motivos.

En caso de incumplimiento de las obligaciones establecidas, las sanciones que pueden imponerse pueden llegar hasta los 10 millones de euros.

Acreditación de los organismos de supervisión

Los criterios para acreditar a los órganos de supervisión se establecerán por las autoridades de Protección de datos y los someterán a la aprobación del Comité europeo de Protección de datos para que emita su dictamen al respecto.

Los requisitos para acreditar a un organismo de supervisión son:

Si ese organismo vulnera el RGPD o no cumple los requisitos de acreditación, la AEPD revocará su acreditación.

Efectos

Los efectos que producen los códigos de conducta son los siguientes:

Mecanismos de certificación

Los mecanismos de certificación, al igual que los códigos de conducta, sirven para demostrar el cumplimiento del RGPD por parte de los responsables y encargados del tratamiento. También ofrecen garantías adecuadas para realizar transferencias internacionales de datos.

En su elaboración deben considerarse la necesidades específicas de las pymes y no impondrán límites a la responsabilidad de responsables y encargados sobre el cumplimiento del RGPD.

Se promoverá su elaboración por parte de los Estados miembros, autoridades de Protección de datos, Comité europeo de Protección de datos y Comisión europea.

Estos mecanismos de certificación son voluntarios y su acceso debe ser transparente.

Criterios de certificación

Los criterios de certificación deberán aprobarse por la Autoridad de Protección de datos competente y por el Comité europeo de Protección de datos, que establecerá un Sello Europeo de Protección de datos.

La certificación será expedida por un órgano acreditado, la autoridad de Protección de datos y por el Comité europeo de Protección de datos.

Para conceder esa certificación, el organismo recabará la información necesaria del responsable y del encargado del tratamiento y estos le facilitarán acceso a las actividades de tratamiento que realicen.

La certificación será válida durante un plazo de tres años y podrá renovarse en las mismas condiciones.

La concesión o renovación de la certificación por un organismo acreditado debe comunicarse previamente a la autoridad de Protección de datos, que puede decidir que no se conceda.

Esa certificación puede retirarse si no se cumplen los requisitos exigidos.

Organismos de certificación

Los organismos de certificación deben tener conocimientos adecuados en materia de Protección de datos y estar acreditados por la autoridad de Protección de datos (AEPD) , el organismo nacional de acreditación (ENAC) o por el Comité europeo de Protección de datos.

Para su acreditación el organismo debe demostrar:

La acreditación será válida durante 5 años y puede renovarse en las mismas condiciones.

El Comité europeo de Protección de datos llevará un registro público de las certificaciones, de los organismos acreditados y de los responsables y encargados certificados.

Efectos

Los efectos de estas certificaciones son:

Nuevas directrices sobre Códigos de conducta y mecanismos de certificación

El Comité europeo de Protección de datos aprobó el pasado 4 de junio unas nuevas directrices sobre Códigos de conducta y se establecieron anexos a los mecanismos de certificación y acreditación.

Directrices sobre los códigos de conducta

Tras un período de consulta pública de la propuesta inicial, el Comité ha aprobado la versión final de las Directrices sobre Códigos de Conducta, en las que se han incluido diversas aclaraciones.

Con estas directrices, que se espera publicar pronto, se pretende ofrecer una orientación práctica y ayuda en la interpretación de la aplicación de los artículos 40 y 41 del RGPD.

Las directrices tienen el objetivo de proporcionar más claridad a los procedimientos y las normas de presentación, aprobación y publicación de códigos de conducta tanto a nivel nacional como europeo. Además, también deben servir de marco clarificador para que todas las autoridades de supervisión competentes, el Supervisor y la Comisión evalúen los códigos de conducta de manera coherente y racionalicen los procedimientos que intervienen en el proceso de evaluación.

Anexo de las Directrices sobre Acreditación

En la misma sesión el Comité aprobó también la versión final del anexo de las Directrices sobre acreditación. Tras un período de consulta pública, el texto ha sido revisado para mejorar su claridad.

El objetivo de estas directrices es facilitar ayuda en la interpretación y aplicación de las disposiciones del artículo 43 del RGPD.

En particular, tienen por objeto ayudar a los Estados miembros, a las autoridades de supervisión y a los organismos nacionales de acreditación a establecer una base de referencia coherente y armonizada para la acreditación de los organismos de certificación que expiden la certificación de conformidad con el RGPD.

El nuevo anexo ofrece orientación sobre los requisitos adicionales para la acreditación de los organismos de certificación que deben establecer las autoridades de supervisión. Estos requisitos adicionales, antes de ser adoptados por las autoridades de supervisión, deben presentarse al Comité Europeo de Protección de Datos para su aprobación.

Anexo a las Directrices para la Certificación

Por último, el Comité Europeo de Protección de Datos adoptó una versión final del anexo 2 de las Directrices sobre certificación.

Al igual que en los casos anteriores, tras un período de consulta pública se han añadido al texto determinadas mejoras, por ejemplo, sobre si los criterios se refieren a la obligación del responsable o encargado del tratamiento de designar un Delegado de Protección de Datos, o a la obligación de llevar registros de las actividades de tratamiento.

El principal propósito de estas directrices es establecer los criterios generales que afecten a todos los tipos de mecanismos de certificación concedidos según los artículo 42 y 43 del RGPD.

El anexo identifica los temas que las autoridades de control y el CEPD deberán considerar y aplicar para la aprobación de los criterios de certificación para un mecanismo de certificación. La lista no es exhaustiva, sino que se refiere a los criterios mínimos que se deberán considerar.

Tras la aprobación de estos materiales, y como paso previo al debate sobre casos específicos relativos a la certificación y acreditación por el Comité, este está preparando un procedimiento para facilitar la elaboración de dictámenes coherentes y oportunos sobre los proyectos de decisión de las Autoridades de Control y para la aprobación de los sellos europeos de protección de datos.

De todo esto podemos concluir que la adhesión a códigos de conducta o la certificación es muy importante para demostrar que cumplimos con la normativa de Protección de datos.