Garantiza el cumplimiento de la normativa de Protección de Datos con Códigos de Conducta y mecanismos de certificación

En estos tiempos, es de suma importancia estar al tanto de nuestras obligaciones para cumplir con la normativa de Protección de Datos, especialmente cuando tratamos datos personales. Sin embargo, puede resultar complicado saber cómo garantizar ese cumplimiento. Aquí es donde entran en juego los Códigos de Conducta y los mecanismos de certificación establecidos por el Reglamento General de Protección de Datos (RGPD). A través de ellos, podemos asegurarnos de que nuestra empresa está adaptada a la normativa y ofrecemos adecuadas garantías en casos de transferencias internacionales de datos.

Códigos de Conducta en el RGPD

Los Códigos de Conducta están regulados por los artículos 40 y 41 del RGPD. Aunque el reglamento no proporciona una definición específica de los mismos, podemos entenderlos como un conjunto de normas que regulan el comportamiento de una empresa u organización en relación a una o varias prácticas dentro de su sector. Estas normas no deben estar exigidas por ley, sino que son voluntarias y solo obligan a aquellos que han asumido el compromiso de aplicarlas. En el ámbito español, la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) señala que los códigos de conducta vincularán a quienes se adhieran a ellos, siendo obligatorios solo para las autoridades nacionales, el Comité Europeo de Protección de Datos y la Comisión Europea.

La finalidad de los Códigos de Conducta es ayudar a la correcta aplicación del RGPD, teniendo en cuenta las características específicas de los distintos sectores y las necesidades de las pequeñas y medianas empresas. Además, ofrecen garantías adecuadas en transferencias internacionales de datos. Tanto las autoridades de control como la Comisión y el Comité Europeo de Protección de Datos tienen el deber de fomentar la elaboración de estos códigos, que pueden ser promovidos por empresas, grupos de empresas, responsables o encargados de tratamiento, organismos y asociaciones, y entidades con funciones de resolución extrajudicial de conflictos y supervisión.

Ámbito de aplicación y contenido de los Códigos de Conducta

Los Códigos de Conducta son aplicables en los diferentes sectores en los que se hayan incorporado y son de cumplimiento obligatorio para las empresas, asociaciones, organismos o responsables del tratamiento que se hayan adherido a ellos. Estos códigos deben especificar el cumplimiento del RGPD en relación a varias áreas, tales como el tratamiento transparente y leal de datos, los intereses legítimos de los responsables, la recopilación, anonimización y seudonimización de los datos personales, la información que se debe facilitar a los titulares de los datos, los derechos de los afectados, las medidas de seguridad, las notificaciones de brechas de seguridad, las transferencias internacionales, los procedimientos extrajudiciales de resolución de conflictos y los mecanismos de control y supervisión del cumplimiento del código.

Procedimiento de elaboración de los Códigos de Conducta

Los Códigos de Conducta deben ser elaborados o modificados por las entidades u organismos, previa consulta a todas las partes interesadas, incluidos los titulares de los datos. En primer lugar, el proyecto se presenta a la autoridad de control correspondiente, que debe evaluar si cumple con lo establecido en el RGPD. En España, este proceso debe ser aprobado por la Agencia Española de Protección de Datos (AEPD) o la autoridad autonómica competente. Existe un único registro de Códigos de Conducta, que es llevado por las autoridades autonómicas y la AEPD, y al que se puede acceder electrónicamente. Una vez aprobado, el código se publica y se registra por parte de la autoridad de Protección de Datos.

Mecanismos de certificación

Al igual que los Códigos de Conducta, los mecanismos de certificación son una forma de demostrar el cumplimiento del RGPD por parte de los responsables y encargados del tratamiento. Además, ofrecen garantías adecuadas en transferencias internacionales de datos. Su elaboración debe tener en cuenta las necesidades de las pymes y no pueden limitar la responsabilidad de los responsables y encargados en el cumplimiento del RGPD. Estos mecanismos son voluntarios y deben contar con un acceso transparente.

Criterios de certificación y organismos de certificación

Los criterios de certificación deben ser aprobados por la autoridad de Protección de Datos competente y el Comité Europeo de Protección de Datos, que establecerá un Sello Europeo de Protección de Datos. La certificación será expedida por un organismo acreditado, la autoridad de Protección de Datos y el Comité Europeo de Protección de Datos. Los organismos de certificación deben tener conocimientos adecuados en Protección de Datos y estar acreditados por la autoridad de Protección de Datos, el organismo nacional de acreditación o el Comité Europeo de Protección de Datos. Estos organismos deben cumplir ciertos requisitos, como la independencia y los procedimientos para la tramitación de reclamaciones.

Los efectos de los Códigos de Conducta y los mecanismos de certificación son diversos. Por un lado, sirven para justificar el cumplimiento de las obligaciones por parte de los responsables, demostrando el cumplimiento de las medidas de seguridad y garantías. Además, son tenidos en cuenta a la hora de realizar la Evaluación de impacto en Protección de Datos, así como en la imposición de sanciones. Estos mecanismos también acreditan el cumplimiento de la privacidad y facilitan las transferencias internacionales de datos.

Nuevas directrices sobre Códigos de Conducta y mecanismos de certificación

Recientemente, el Comité Europeo de Protección de Datos aprobó nuevas directrices sobre Códigos de Conducta y estableció anexos para los mecanismos de certificación y acreditación. Estas directrices proporcionan orientación práctica y ayuda en la interpretación y aplicación de los artículos 40, 41 y 43 del RGPD, tanto a nivel nacional como europeo.

Las directrices sobre Códigos de Conducta tienen como objetivo ofrecer una guía clara sobre los procedimientos y las normas de presentación, aprobación y publicación de los códigos de conducta. También brindan un marco para la evaluación coherente de los mismos por parte de las autoridades de supervisión y la Comisión.

Por otro lado, las directrices sobre acreditación establecen los requisitos para la acreditación de los organismos de certificación y proporcionan una base de referencia coherente para su evaluación. Además, se establece el anexo 2 de las Directrices sobre certificación, que se centra en los criterios generales para la aprobación de los mecanismos de certificación.

En resumen, la adhesión a Códigos de Conducta o la certificación son herramientas fundamentales para demostrar el cumplimiento de la normativa de Protección de Datos. No solo garantizan el cumplimiento de nuestras obligaciones, sino que también ofrecen garantías adecuadas en transferencias internacionales de datos y son tenidos en cuenta a la hora de imponer sanciones. Es importante tener en cuenta las directrices establecidas para asegurar una aplicación coherente y efectiva de estos mecanismos.