El Comité Europeo de Protección de Datos publica unas pautas sobre los Códigos de Conducta y las correspondientes autoridades de control conforme al RGPD.
Uno de los principales conceptos que introduce el RGPD es el principio de “accountability” que recae sobre el responsable de los datos, lo que se traduce en un deber de diligencia respecto del tratamiento, entendido como la obligación de aplicar las medidas correspondientes según la naturaleza de la información y del contexto. Uno de los métodos previstos en el RGPD para demostrar la observancia de este principio son los denominados Códigos de Conducta, previstos en los artículos 40 y 41 de la norma. El Comité Europeo de Protección de Datos se ha pronunciado con una interpretación práctica de la materia, a fin de establecer un criterio base y clarificar los conceptos y reglas que se aplican.
Los Códigos de Conducta son herramientas de cumplimiento de carácter voluntario que establecen una serie de normas específicas para un determinado sector, y que se aplicarán a los responsables y encargados de dicho sector que de forma libre deseen adherirse. Los Códigos otorgan así cierto nivel de autonomía a los responsables y encargados, que pueden determinar las prácticas más adecuadas que mejor se adaptan a su sector, y generan confianza en los usuarios al suponer un compromiso concreto en cuanto al tratamiento de sus datos. Los Códigos de Conducta están además reconocidos en el RGPD como un método válido para demostrar cumplimiento con algunos de sus principios y previsiones.
El Comité Europeo de Protección de Datos ha establecido una serie de criterios que las Autoridades de Control deberán tener en cuenta para evaluar la viabilidad de los Códigos de Conducta, a saber:
- Declaración de aplicabilidad y documentación de apoyo, a fin de detallar el propósito y ámbito del Código.
- Representante: los Códigos deberán ser presentados por una asociación o conjunto de ellas en representación de determinadas categorías o grupos de responsables y encargados.
- Ámbito del tratamiento: el Código deberá definir las actividades de tratamiento sobre las que opera, así como las categorías de responsables y encargados.
- Alcance territorial: se habrá de señalar de forma específica si es un Código nacional o internacional, y las jurisdicciones sobre las que tendrá efecto.
- Sumisión a una Autoridad de Control: la Autoridad de Control que reciba el Código para su revisión deberá ser competente para ello conforme a las normas del RGPD.
- Previsión de mecanismos de cumplimiento: el Código deberá incluir un sistema de supervisión de cumplimiento por parte de aquellos que se adhieran.
- Consulta: el Código deberá configurarse de modo que incluya la información relevante sobre las consultas realizadas para su redacción (empresas, interesados, etc.).
- Legislación nacional: cualquier Código propuesto tendrá que haber sido redactado en consonancia con la legislación nacional, sobre todo cuando haya normativa sectorial que sea de aplicación.
- Idioma: en términos generales los Códigos deberán ser presentados en el idioma oficial del país de la Autoridad de Control, y, aquellos de ámbito internacional, también en inglés.
Además de estos criterios objetivos base, la aprobación final del Código pasa también por la valoración de la forma en que éste da respuesta específica a las necesidades del sector en la materia a la vez que beneficia a toda la sociedad.
En cuanto al aspecto formal del resto del procedimiento, cabe destacar que los Códigos podrán presentarse a la Autoridad de Control tanto de forma online como escrita, y que en caso de sufrir algún defecto de forma o fondo no hay período de subsanación, sino que deberá presentarse de nuevo. En el caso de los Códigos de ámbito internacional, la Autoridad de Control competente remitirá el borrador al resto de autoridades interesadas, de las cuales dos se identificarán como co-revisores y tendrán un plazo de treinta días para pronunciarse al respecto, tras lo que se decidirá si se remite al Comité Europeo de Protección de Datos para su valoración.
Finalmente, el propio Código deberá prever una institución de supervisión que controle su efectivo cumplimiento por parte de las partes adheridas, y dicha institución tendrá que ser aprobada por parte de la Autoridad de Control. Se han establecido también una serie de requisitos que deberán cumplir estas instituciones, entre los que se encuentran:
- Independencia: lo representantes tendrán que demostrar la efectiva independencia de la institución respecto de la profesión y el sector en sí mismo, pero este hecho no impide que la institución de control pueda ser tanto externa como interna, aunque en este último caso sus funciones, dirección y responsabilidades deberán estar separadas del resto de la organización.
- Conflicto de intereses: en línea con la anterior característica y de manera similar a lo que ocurre con los Delegados de Protección de Datos, la institución de supervisión no podrá recibir normas del sector u organización al que sirve. Asimismo, deberá evitar cualquier incompatibilidad.
- Experiencia: la misma propuesta de institución de supervisión deberá incluir una relación de la experiencia en la materia, tanto en protección de datos como en el campo específico al que se aplique.
- Estructura y procedimiento: la institución deberá prever una serie de procesos que permitan un efectivo control de cumplimiento y toma de acción cuando sea necesario.
- Transparencia: la institución habrá de contar con un sistema de funcionamiento transparente, principalmente en relación a la resolución de quejas y procedimientos, además de ser dotada de los poderes suficientes para ejercer su función.
Puedes acceder al documento original (en inglés) aquí.