El Reglamento Europeo de Protección de Datos paso a paso VIII: Códigos de conducta y certificaciones en materia de protección de datos.

por Jorge Campanillas Ciaurriz

publicado el 30 junio 2016

Categorías: Abogado / Abogados / Abogados LOPD / Derechos Fundamentales / LOPD / Normativa / Privacidad / Protección de Datos / Tecnología

El Reglamento Europeo de Protección de Datos paso a paso VIII: Códigos de conducta y certificaciones en materia de protección de datos. La serie de publicaciones sobre el reglamento va terminando (de hecho sólo haremos ya referencia a las transferencias internacionales y, como no, a las infracciones y sanciones) y os recuerdo que hemos ido analizando los aspectos más importantes del Reglamento Europeo de Protección de Datos, como es la Evaluación de Impacto relativa a la protección de datos, la importante figura del Delegado de Protección de Datos (DPO), las brechas de seguridad, el responsable y el encargado de tratamiento, la privacidad de datos desde el diseño y por defecto, los derechos a la limitación del tratamiento y a la portabilidad de los datos, los principios de consentimiento e información y de los derechos de acceso y supresión o derecho al olvido.

En este caso voy a hacer referencia a 2 aspectos que van a dar su juego y pueden servir a las empresas para destacar la importancia que dan a la privacidad. Además, también pueden servir como otro campo de trabajo a los especilistas en la privacidad. En este caso nos referimos a los códigos de conducta y más especialmente a las certificaciones que vienen reguladas en el propio reglamento.

En cuanto a los códigos de conducta en el reglamento permite tanto a las asociaciones como a otros organismos representativos de categorías de responsables o encargados del tratamiento elaborar códigos de conducta o modificar o ampliar dichos códigos, a los que se podrán adherir libremente los responsables o encargados de tratamiento, sobre todo en los siguientes aspectos:

• a) el tratamiento leal y transparente;
• b) los intereses legítimos perseguidos por los responsables del tratamiento en contextos específicos;
• c) la recogida de datos personales;
• d) la seudonimización de datos personales;
• e) la información proporcionada al público y a los interesados;
• f) el ejercicio de los derechos de los interesados;
• g) la información proporcionada a los niños y la protección de estos, así como la manera de obtener el consentimiento de los titulares de la patria potestad o tutela sobre el niño;
• h) las medidas y procedimientos para garantizar la seguridad del tratamiento
• i) la notificación de violaciones de la seguridad de los datos personales a las autoridades de control y la comunicación de dichas violaciones a los interesados;
• j) la transferencia de datos personales a terceros países u organizaciones internacionales,
• k) los procedimientos extrajudiciales y otros procedimientos de resolución de conflictos que permitan resolver las controversias entre los responsables del tratamiento y los interesados relativas al tratamiento

Por supuesto, corresponderá a la autoridad de control, en nuestro caso a la Agencia Española de Protección de Datos aprobar el código de conducta o su modificación y suprevisar su cumplimiento, si bien el Reglamento permite que un organismo acreditado para ello relice dichas supervisiones de los códigos de conducta.

En cuanto a las certificaciones, y que darán mucho juego, el Reglamento promueve la creación de certificaciones en materia de protección de datos y de sellos y marcas de protección de datos a fin de demostrar el cumplimiento de lo dispuesto en el Reglamento en las operaciones de tratamiento de los responsables y los encargados. En ningún caso serán certificaciones obligatorias, el reglamento deja bien claro que las certificaciones serán voluntarias, y todo el procedimiento de certificación debe ser transparente.

Se consciente que el sello, la certificación o la marca a la que te adhieras no te va a salvar de una sanción en el caso de una infracción en la materia ni limitará tu responsabilidad en la misma, ahora bien seguro que en la cultura de la empresa la protección de la privacidad estará en un nivel superior que permita adelantarse a posibles infracciones en la materia o sepa como afrontar adecuadamente los tratamientos de datos personales.

La certificación se expedirá a un responsable o encargado de tratamiento por un período máximo de tres años y podrá ser renovada en las mismas condiciones, siempre y cuando se sigan cumpliendo los requisitos pertinentes. La certificación será retirada, cuando proceda, por los organismos de certificación, o en su caso por la autoridad de control competente, cuando no se cumplan o se hayan dejado de cumplir los requisitos para la certificación.

Eso sí, si la empresa quiere tener una certificación conforme al reglamento deberá acudir a organismos de certificación acreditados por las autoridades de control, con lo cuál en su momento, antes de elegir quién nos acredite será interesante acudir a la agencia para comprobar si ese organismo está acreditado y tiene un nivel adecuado de pericia en la materia.