Javier Puyol, magistrado y letrado del Tribunal Constitucional en excedencia. Socio director de Puyol Abogados
    Javier Puyol, magistrado y letrado del Tribunal Constitucional en excedencia. Socio director de Puyol Abogados

Los códigos de conducta en protección de datos

Javier Puyol / 18 feb 2021 / 14:30 H.

Los “Códigos de Conducta” en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, (en lo sucesivo RGPD), representan una versión actualizada de lo que a través de la Directiva Comunitaria 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, se consideraban como “Códigos Tipo”, regulados en el artículo 32 de la Ley Orgánica 15/1999, de 13 de Protección de Datos de Carácter Personal, que, posteriormente, han tenido una regulación específica en los diversos apartados del artículo 40 del RGPD, específicamente se determina la necesidad de promover dichos códigos, teniendo en consideración tanto las características específicas de los distintos sectores de tratamiento, como de una manera más concreta, en lo que se refiere tanto a las Pymes como a las micro pymes, a las que desde el RGPD, se les quiere prestar una especial atención.

Se puede afirmar que un Código de Conducta constituye básicamente un mecanismo de autorregulación que permite probar a los responsables y encargados del tratamiento su cumplimiento del reglamento. En lo que se refiere a su régimen jurídico, debe hacerse puntual referencia tanto a las Directrices 1/2019 sobre Códigos de Conducta y Organismos de Supervisión elaboradas por la European Data Protection Board, como al Reglamento (UE) 2016/679, donde en su apartado 2º, del artículo 40 del RGPD, se indica el contenido mínimo a que los mismos han de hacer referencia, especialmente en lo que atañe a su reconocimiento y homologación. En dicha norma se determinan las cuestiones básicas y fundamentales que deben ser tratadas en el contenido de un Código de Conducta para ser considerado como tal.

Todos los aspectos detallados son importantes, pero probablemente por su novedad, de manera especial, se ha de hacer referencia a la previsión existente con relación a la posibilidad de prever una normativa ad hoc con relación a la existencia de procedimientos extrajudiciales y otros procedimientos de resolución de conflictos que permitan resolver las controversias entre los responsables del tratamiento y los interesados relativas al tratamiento de datos personales, sin perjuicio del respeto a los legítimos derechos que el propio RGPD reconoce a dichos interesados en los artículos 77 y 79 del mismo. Como antes se anticipó, hoy en día, un Código de Conducta puede ser considerado como un ejemplo de lo que representan los modelos de autorregulación en el ámbito de la protección de datos, muy indicado tanto para el sector público, como para el privado, constituyendo vivos ejemplos de ello, su aplicabilidad al ámbito de las asociaciones profesionales, como para los franquiciados dentro del ámbito de cualquier modelo de franquicia.

En el ámbito público, se debe hacer referencia, a título de ejemplo, a las organizaciones que se componen sobre la base de conjuntos de municipios, como pueden ser los Cabildos o las Diputaciones Provinciales, a los que les es sumamente útil, poseer una relación propia, específica y común en el ámbito de la protección de datos personales, en los que partiendo del cumplimiento del ordenamiento jurídico vigente, se puedan establecer unos estándares propios en el ámbito de la protección de datos de carácter personal, de modo y manera que los mismos se adapten de una manera más personalizada al ámbito de negocio, a la actividad económica o, simplemente a las funciones públicas o privadas desarrolladas respectivamente. Esta cuestión se encuentra plenamente corroborada a través de lo dispuesto en el Considerando número 98 del RGPD, En una primera aproximación a los Códigos de Conducta, y con independencia del ya mencionado carácter de la autorregulación que los mismos conllevan, debe prestarse un especial interés a alguna de sus características esenciales, y que son las que se indican a continuación:

a). Su carácter fundamental de instrumento de carácter voluntario. En este sentido, debe indicarse que la normativa vigente en el ámbito de la privacidad no exige el otorgamiento a las asociaciones y otros organismos representativos de categorías de responsables o encargados del tratamiento de dichos Códigos de Conducta, teniendo la facultad de proceder a su otorgamiento

b). Y, su aplicabilidad tanto en lo que corresponde a los responsables como también a los encargados del tratamiento. Cabe, por tanto, incluir dentro de su régimen jurídico, los derechos y las obligaciones que dentro del Código de Conducta deben asumir para su adecuada gestión y funcionamiento tanto unos como otros.

Debe indicarse que el hecho de incorporarse a un Código de Conducta representa múltiples ventajas para los adheridos al mismo en todo el ámbito de la protección de datos personales, ya que permite, entre otros aspectos: (i) acreditar que las medidas de seguridad implementadas son las suficientes; (ii) poder llevar a cabo con cierta fluidez transferencias internacionales de datos; y, (iii) que constituya un elemento sumamente valioso, por ejemplo a la hora de determinar las sanciones a imponer como consecuencia de los incumplimientos normativos producidos, o incluso poder minimizar el alcance de las sanciones a imponer, a consecuencia de la presunción de cumplimiento que se establece como consecuencia de la adhesión voluntaria a dichos Código de Conducta.

Los códigos representan una oportunidad para establecer un conjunto de normas que contribuyan a la correcta aplicación del RGPD de forma práctica, transparente y potencialmente rentable que tenga en cuenta las especificidades de un sector en concreto o de sus actividades de tratamiento de datos. En este sentido, pueden elaborarse códigos para los responsables o encargados del tratamiento que tengan en cuenta las características específicas del tratamiento realizado en determinados sectores y las necesidades concretas de las microempresas y las pequeñas y medianas empresas.