Firmas

Los códigos de conducta en el nuevo Reglamento General de Protección de Datos

Los códigos de conducta en el nuevo Reglamento General de Protección de Datos
Javier Puyol es el socio director de Puyol Abogados, una boutique legal especializada en el mundo de las nuevas tecnologías y el cumplimiento normativo. Confilegal.
01/1/2017 05:56
|
Actualizado: 12/4/2022 10:47
|

La Agencia Española de Protección de Datos ha señalado muy recientemente como en el marco de la autorregulación que el Reglamento Europeo de Protección de Datos pretende promover, los códigos de conducta, junto con las certificaciones, destacan como una herramienta útil para demostrar que responsables y encargados cumplen con los requisitos establecidos en el mismo.

Ello se justifica por dicho Regulador,  desde el objetivo principal que parece tener el Reglamento Europeo de Protección de Datos del dar una mayor relevancia a los códigos de conducta, principalmente a los efectos de que los mismos sirvan como herramientas para que los responsables y encargados puedan demostrar su cumplimiento, teniendo en cuenta las características y necesidades específicas de los distintos sectores y de las pymes y micro pymes.

Para ello, señala a los Estados miembros, a las Autoridades de protección de datos, al Comité Europeo de Protección de Datos, así como a la Comisión, como impulsores para la elaboración de códigos de conducta o para la adaptación de los ya existentes por parte de los responsables y encargados, así como a las asociaciones y otros organismos representativos de categorías de responsables y encargados.

Estos Códigos de Conducta ahora previstos en dicho Reglamento, se encontraban ya contenidos en la Ley Orgánica 15/1.999, de 13 de diciembre de Protección de Datos de Carácter Personal, y como por todos es conocido, no tuvieron ni demasiada profusión, ni tampoco un éxito que pudiera ser considerado como relevante.

Probablemente, la razón de su más que escasa implantación fuera debido a la ausencia de incentivos evidentes, pues de manera exclusiva sus beneficios eran fundamentalmente de carácter reputacional, no presentando ventajas palpables desde el punto de vista del cumplimiento, ni tampoco desde la perspectiva del régimen sancionador, como por otra parte no podía ser.

Estas ventajas desde el punto de vista reputacional, se concretaban en un conjunto de buenas prácticas que una empresa, un grupo de ellas, o un sector de actividad económica determinaba asumir, a los efectos de transmitir a los mercados y a la sociedad en general una determinada voluntad de cumplimiento normativo, en el ámbito de la protección de datos de carácter personal, pero sin que de ello se dedujeran otras conclusiones o consecuencias derivadas de dicho código o declaración.

Nivel de exigencia

Por otra parte, es evidente que incrementar el nivel de exigencia en el cumplimiento de las reglas legales derivadas de la protección de datos de carácter personal, desde la perspectiva empresarial, en la práctica no reportaba una ventaja sustancialmente interesante, teniendo en cuenta el elevado nivel y la intensidad de las obligaciones que ya se derivan del debido cumplimiento de la Ley Orgánica 15/1.999, y sobre todo del régimen sancionador establecido en la misma.

En su consecuencia, la falta de una regulación que propiciara expresamente la existencia de unas ventajas o incentivos manifiestos para las empresas, ha determinado el escaso desarrollo de los llamados “Códigos Tipos”, que básicamente eran, tal como ha quedado indicado anteriormente, acuerdos de naturaleza sectorial, convenios administrativos o decisiones de empresa en los que se establecen, en función de los principales problemas de un determinado sector para cumplir la normativa sobre protección de datos, unas pautas de actuación así como una definición de criterios uniformes de aplicación de la LOPD entre las organizaciones agrupadas a dicho Código Tipo, y que constituyen un instrumento de lo que se denomina autorregulación, es decir, la capacidad de las organizaciones y entidades para regularse a sí mismas.

En el ámbito de la protección de datos de carácter personal esa capacidad está orientada a la adopción de reglas o estándares específicos que permitan armonizar los tratamientos de datos efectuados por quienes se adhieran al código tipo o lo promuevan y a facilitar el ejercicio de los derechos de los afectados y favorecer el cumplimiento de la normativa.

En este sentido, se debe tener en cuenta el contenido del artículo 32 de la Ley Orgánica, de 13 de diciembre, de Protección de Datos de carácter personal (LOPD) se establece que:

«Mediante acuerdos sectoriales, convenios administrativos o decisiones de empresa, los responsables de tratamientos de titularidad pública y privada así como las organizaciones en que se agrupen, podrán formular códigos tipo que establezcan las condiciones de organización, régimen de funcionamiento, procedimientos aplicables, normas de seguridad del entorno, programas o equipos, obligaciones de los implicados en el tratamiento y uso de la información personal, así como las garantías, en su ámbito, para el ejercicio de los derechos de las personas con pleno respeto a los principios y disposiciones de la presente Ley y sus normas de desarrollo».

Y para ello, los códigos-tipo presentaban como especiales características en su configuración, el cumplimiento de los siguientes requisitos:

a). Identificar los principales problemas de un sector determinado para cumplir la normativa sobre protección de datos.

b). Concretar criterios específicos de aplicación de la normativa.

c). Y definir la aplicación de las medidas de seguridad atendiendo los riesgos de ese sector en concreto.

Frente a esta situación, aunque de manera continuista, se alza el nuevo Reglamento General de Protección de Datos de la UE.

Mayor autorregulación

Dicho Reglamento tampoco introduce, tal como ocurre con la legislación hasta ahora vigente, incentivos específicos con relación a la implantación de estos códigos de conducta, códigos-tipo o códigos de naturaleza deontológica en el ámbito regulatorio que nos ocupa, pero a diferencia de la situación anterior, el escenario en los que los mismos se han de mover, es completamente diferente.

De un escenario caracterizado por una hiper regulación, como era el contenido en la trasposición de la Directiva 95/46/CE, y concretado en la citada Ley Orgánica 15/1.999, pasamos a otro caracterizado por una mayor autorregulación, con una menor profusión normativa, aunque también es cierto, que se tiene una mayor experiencia colectiva sobre la materia, y donde ahora se prima y cobra una especial importancia, la responsabilidad individual de cada operador en el cumplimiento de las obligaciones propias de la protección de datos de carácter personal.

Basado en dicho criterio, y desde una perspectiva fundamentalmente práctica, es razonable prever que una empresa, un grupo empresarial, o determinado sector de la actividad económico, consideren que un código de conducta en la materia, tanto desde una perspectiva interna como externa, va a clarificar y favorecer el funcionamiento de la organización en su conjunto, y lo que es más importante, el cumplimiento normativo que debe derivarse del establecimiento de estos códigos de conducta como manifestación de una voluntad de auto regulación tanto para los responsables de los ficheros/tratamiento, como para los encargados del mismo.

Este carácter de auto regulación puede encontrarse orientado en diferentes sentidos. Uno de ellos, puede ser el referente al hecho de cumplir de la forma más sencilla y segura con la legislación correspondiente a través de un documento único que reúna todos los elementos esenciales.

Un segundo objetivo, puede ir encaminado a aumentar la protección y la seguridad de los datos personales almacenados en ficheros, incrementando las medidas de seguridad determinadas como procedentes y suficientes por la propia organización, y finalmente, como otra finalidad o consecuencia, el hecho de servir como guía a todo el conjunto de personas que deban prestar sus servicios laborales o profesionales para dicha colectividad, contribuyendo al conocimiento correcto del derecho fundamental a la protección de datos personales y su adecuada aplicación, especialmente a todas las relaciones jurídicas y sociales aplicables o derivadas de la actividad de la organización que se haya dotado con dicho código de conducta.

Claridad

Por ello, es razonable pensar, que, ante esa menor regulación normativa, la Agencia Española, recogiendo e interpretando los criterios contenidos en el nuevo Reglamento General de Protección de Datos, señale los aspectos que, ente otros, estos códigos deberían incluir, lo que podría entenderse como un conjunto de requisitos mínimos a ser abordados con el fin de contribuir a la correcta aplicación de dicho Reglamento europeo.

Consecuentemente con lo afirmado, los códigos de conducta deberán arrojar claridad sobre:

a) El tratamiento leal y transparente;

b) Los intereses legítimos perseguidos por los responsables del tratamiento en contextos específicos;

c) La recogida de datos personales;

d) La seudoanonimización de datos personales;

e) La información proporcionada al público y a los interesados;

f) El ejercicio de los derechos de los interesados;

g) La información proporcionada a los niños y la protección de éstos, así como la manera de obtener el consentimiento de los titulares de la patria potestad o tutela sobre el niño;

h) Las medidas y procedimientos para garantizar la seguridad del tratamiento, así como la protección de datos desde el diseño y por defecto;

i) La notificación de violaciones de la seguridad de los datos personales a las autoridades de control y la comunicación de dichas violaciones a los interesados;

j) La transferencia de datos personales a terceros países y organizaciones internacionales, o

k) Los procedimientos extrajudiciales y otros procedimientos de resolución de conflictos que permitan resolver las controversias entre los responsables del tratamiento y los interesados relativas al tratamiento, sin perjuicio de los derechos de los interesados.

El cumplimiento de todos y cada uno de estos requisitos, debe producir como resultado un código eficaz, que responde a las obligaciones derivadas del nuevo Reglamento de Protección de Datos, y a las exigencias de funcionamiento del colectivo o grupo económico, que necesite dar pautas concretas de actuación, con relación a la interpretación y aplicación de la nueva normativa en materia de protección de datos de carácter personal, que suponga, en definitiva, un cumplimiento responsable de las pautas contenidas en el mismo.

Otras Columnas por Javier Puyol Montero:
Últimas Firmas
  • Opinión | Los juicios serán preferentemente telemáticos a partir de ahora, según  el Real Decreto-ley 6/2023
    Opinión | Los juicios serán preferentemente telemáticos a partir de ahora, según el Real Decreto-ley 6/2023
  • Opinión | El secreto de la fase de instrucción ha muerto
    Opinión | El secreto de la fase de instrucción ha muerto
  • Opinión | Elección de colegio y patria potestad
    Opinión | Elección de colegio y patria potestad
  • Opinión | CDL – El pleito de M&A más complejo y largo de la Historia: La compra de Autonomy por Hewlett-Packard (I)
    Opinión | CDL – El pleito de M&A más complejo y largo de la Historia: La compra de Autonomy por Hewlett-Packard (I)
  • Opinión | ¿A quién defiende el Defensor del Pueblo?
    Opinión | ¿A quién defiende el Defensor del Pueblo?