Código de conducta
Descripción y objetivo
El objetivo de este elemento es el disponer de un código de conducta en Responsables de Tratamiento (RT) en los términos reconocidos por la Autoridad de Control para este tipo de documentos, como mecanismo de autorregulación para los RT, impulsar la cultura de privacidad en los mismos, fortalecer los procesos que ayuden a garantizar los derechos y libertades de los interesados y reducir los riesgos e impactos de una posible sanción.
Buena práctica
La formalización del código de conducta es un proceso voluntario, aunque altamente recomendable cuando nos encontramos frente al cumplimiento de protección de datos en un sector específico y delimitado. Esto es debido a que la aprobación del código de conducta por parte de la autoridad de control puede proporcionar una seguridad adicional en cuanto a que las directrices de cumplimiento establecidas en dicho código son válidas, y por tanto la adhesión al mismo es un claro valor añadido para los RT. A la hora de plantear la elaboración y aprobación de un código de conducta, se debe observar cuidadosamente el cumplimiento de los artículos 40 y 41 del RGPD y el artículo 38 y título IX de la LOPDGDD, junto con los criterios de acreditación del organismo de supervisión de códigos de conducta emitidos por la AEPD, prestando especial atención a los siguientes requisitos:
- Analizar y establecer claramente los roles de promotor del código y organismo supervisor del código de conducta, atendiendo especialmente a las limitaciones y condicionantes prefijados en caso de que ambos roles los asuma una misma organización.
- Fijar claramente el ámbito del código, con la naturaleza y tratamientos cubiertos por el mismo
- Asegurar que el contenido del código de conducta no sea una mera reproducción de la normativa de protección de datos, ya que debe especificar la necesidad y utilidad del código tanto para los RT como para los ciudadanos.
- Contar con procesos de gestión y respuesta de las reclamaciones extrajudiciales que los ciudadanos pueden interponer en relación al incumplimiento del código o al propio contenido del código, garantizando unas medidas mínimas de independencia y conflicto de intereses.
- Asegurar que, una vez aprobado el código por la Autoridad de Control, se proporcionen mecanismos sencillos y robustos para que los RT se adhieran al mismo.
- Realizar procesos periódicos de supervisión del cumplimiento del código en los RT adheridos, y que se gestionen los incumplimientos conforme a lo especificado en la normativa.
Ejemplos de implantación
La implementación de esta buena práctica varía sustancialmente en función de si los
dos roles principales (promotor y organismo supervisor) los desempeña la misma organización u organizaciones diferentes. El primer caso, si bien es posible, entraña complicaciones que deben ser valoradas por las organizaciones, y que quedan bien definidas en la guía de la AEPD “Criterios de acreditación para los organismos de supervisión de códigos de conducta”. Estas limitaciones van principalmente encaminadas a garantizar la independencia necesaria entre ambos roles, que debe quedar patente en todos los niveles y estructuras de la organización.