Una de las cuestiones que regula el Reglamento Europeo de Protección de Datos, en sus artículos 40 a 44, son los códigos de conducta y certificación. Si bien no son figuras novedosas puesto que estos códigos ya eran objeto de regulación por parte del Real Decreto 1720/2007 de 21 de Diciembre por el que se aprueba la Ley Orgánica 15/1999 de 13 de Diciembre de Protección de datos, bajo el nombre de códigos tipo. Tras la publicación del Reglamento Europeo de Protección de Datos, estos códigos se encuentran regulados en la sección 5º, artículos 40 a 43.
A lo largo del presente artículo nos centraremos en el desarrollo de los llamados Códigos de Conducta, los cuales están regulados en los artículos 40 y 41 del RGPD.
¿Qué son y que suponen?
Tal y como ha indicado la Agencia Española de Protección de Datos, partimos de la base de que son mecanismos con carácter voluntario, lo que supone que sólo aquellas asociaciones y organismos que se comprometan a aplicar sus disposiciones podrán llevarlos a cabo. No sólo esto sino que, además, en el marco de las transferencias internacionales de datos, estos códigos también aportan garantías adecuadas para su correcto desarrollo.
Es importante hacer mención a que existe una obligación de impulso de estos códigos por parte de las autoridades nacionales, la Comisión Europea y el futuro Comité Europeo de Protección de Datos (que sustituirá actual Grupo de Trabajo del artículo 29).
La Agencia Española de Protección de Datos, en su 8ª Sesión Anual Abierta, nos habló sobre los Códigos de conducta en el RGPD y su triple ámbito de aplicación:
1. ¿A quiénes afectan? (Ámbito de aplicación subjetivo). Tal y como indica el artículo 40.2, las asociaciones y otros organismos representativos de categorías de responsables o encargados de tratamiento podrán elaborar códigos de conducta o modificar o ampliar dichos códigos con objeto de especificar la aplicación del RGPD en lo relativo a aquellas cuestiones amparadas por el artículo 40.2, como por ejemplo el tratamiento leal y transparente, recogida y seudonimización de datos personales, el ejercicio de los derechos de los interesados, la información proporcionada a los niños y la protección de estos, entre otros.
Sin embargo, también existe la posibilidad de que se adhieran a los códigos de conducta aprobados o que se puedan aprobar, aquellos responsables o encargados a los que no siendo de aplicación el reglamento, en aplicación del ámbito territorial que contempla el artículo 3 del mismo, ofrezcan garantías adecuadas en el marco de las transferencias de datos personales a terceros países u organizaciones internacionales. Dichos responsables o encargados deberán asumir compromisos vinculantes y exigibles, por vía contractual o mediante otros instrumentos jurídicamente vinculantes, para aplicar dichas garantías adecuadas, incluidas las relativas a los derechos de los interesados.
2. ¿Cuál es la finalidad de estos códigos? (Ámbito de aplicación objetivo) El objeto de estos códigos es, tal y como indica el artículo 40 del RGPD, la contribución a la correcta aplicación del reglamento, teniendo en cuenta las características y necesidades específicas de los distintos sectores de tratamiento y ámbitos sectoriales.
3. ¿Qué tipología de códigos existen en el RGPD? (Ámbito de aplicación territorial) Aquí nos encontramos:
a. Por un lado los códigos de ámbito nacional en los que, una vez sea de aplicación el RGPD, la autoridad de control competente evaluará si el proyecto de código o la modificación o ampliación es conforme con el RGPD y solamente aprobará dicho proyecto si considera suficientes las garantías ofrecidas; tras lo cual registrará y dará publicidad a ese código.
b. Por otro lado, aquellos códigos de conducta en los tratamientos de datos que se den en más de un Estado Miembro de la Unión Europea. Al igual que ocurre con los códigos de ámbito nacional, cuando el RGPD sea de plena aplicación en Mayo de 2018, la autoridad de control competente, antes de su aprobación, lo enviará al Comité Europeo de Protección de Datos para que emita dictamen sobre la adecuación del mismo al RGPD y/o para que dictamine sobre las garantías ofrecidas cuando hay transferencia internacional de datos. Una vez aprobado por el Comité, presentará su dictamen a la Comisión que podrá decidir que el código de conducta tenga validez general dentro de la Unión Europea.
¿Cómo regula la supervisión de los Códigos de Conducta el RGPD?
En su artículo 41, indica que el encargado de tal labor será un organismo que haya sido suficientemente acreditado para tal fin, tras cumplir con una serie de requisitos, por la autoridad de control competente. Estos organismos, deberán, con sujeción a garantías adecuadas, tomar las medidas oportunas en caso de infracción del código por un responsable o encargado del tratamiento, incluida la suspensión o exclusión de este. Informará de dichas medidas y de las razones de las mismas a la autoridad de control competente.
En la actualidad, en España, tenemos 15 Códigos Tipo, elaborados conforme al RD 1720/2007, Título VII, artículos 71 y siguientes, todos ellos registrados en el Registro General de Protección de Datos de la Agencia Española de Protección de Datos. Como ha indicado la propia AEPD y tras la publicación del RGPD, esos códigos han de adaptarse a la nueva normativa, motivo por el cual la AEPD ha ido recogiendo e interpretando los criterios contenidos en el RGPD para señalar aquellos aspectos que deben incluir estos códigos.