El Comité Europeo de Protección de Datos emitió el pasado 2 de diciembre su dictamen sobre el borrador de la autoridad de control de Reino Unido (ICO) con los requisitos para la creación de un organismo de supervisión de los códigos de conducta.
A principios de este año, la ICO presentó ante el CEPD su borrador con los requisitos de acreditación para un organismo supervisor de los códigos de conducta, acorde al artículo 64 del RGPD, que sitúa en el CEPD la responsabilidad de asegurar una aplicación coherente del mismo en relación a la aprobación de códigos de conducta por parte de una autoridad de control. Hace dos semanas, el CEPD elaboró así su dictamen sobre los requisitos de acreditación propuestos por la ICO.
La finalidad del dictamen es asegurar consistencia y una aplicación correcta de los requisitos por parte de todas las autoridades de control del EEE.
Códigos de Conducta y RGPD
La ICO explica que, bajo el RGPD, asociaciones profesionales y organismos de representantes pueden elaborar códigos de conducta sobre los asuntos relevantes para sus miembros. Conforme a la ICO, entre los temas que se pueden incluir se encuentran el tratamiento legítimo y transparente, la seudonimización de los datos o el ejercicio de los derechos de los interesados. La ICO añade también que, aunque los códigos de conducta no son obligatorios conforme al RGPD, sí son una buena forma de desarrollar guías específicas por sector para ayudar con el cumplimiento con la normativa.
Resumen del dictamen del CEPD
Tras evaluarlo, el CEPD concluyó que el borrador con los requisitos de acreditación de la ICO podría “conducir a una aplicación inconsistente de la acreditación de los organismos de supervisión”. De esta forma, el CEPD realizó importantes recomendaciones y cambios que realizar en el borrador, entre las que se incluyen que la ICO clarifique los requisitos de responsabilidad y ofrezca más ejemplos de los tipos de evidencias o pruebas que los organismos pueden dar.
¿Siguientes pasos?
El dictamen del CEPD señala que, según los artículos 64 (7) y (8) del RGPD, la autoridad de control debe comunicar al presidente, por medios electrónicos y en el plazo de dos semanas tras recibir el dictamen, si su intención es modificarlo o por el contrario mantener el original. En el mismo tiempo tendrá que presentar el nuevo borrador o las razones por las que ha decidido no aceptar las recomendaciones, ya sea en su totalidad o en parte. La ICO tendrá que comunicar su decisión final al Comité para incluirlo en el registro de decisiones que han sido objeto del mecanismo de consistencia.