Читать книгу Derecho digital - José F. Estévez - Страница 20

Si bien la LOPD y el RLOPD se preveían la existencia de códigos de conducta y de certificaciones y, actualmente, existen en el mercado, lo cierto es que la relevancia actual en España es escasa.

Con el RGPD, se prebvé que ambas figuras se fortalezcan exponencialmente, ya que dicha norma otorga una importancia y relevancia mucho mayor a estas dos figuras.

Los códigos de conducta se encuentran regulados en los artículos 40 y 41 del RGPD. Por su parte, las certificaciones se encuentran reguladas en los artículos 42 y 43.

Códigos de conducta: La autoridad de control será la encargada de aprobar los códigos de conducta. Aprobado el código, la autoridad de control lo registrará y lo publicará. En caso de que el código de conducta aplique a más de un país miembro, el Comité realizará el análisis del mismo y presentará su dictamen a la Comisión quien, mediante actos de ejecución, determinará su validez general dentro de la Unión y dará publicidad del mismo. El Comité archivará en un registro todos los códigos de conducta, modificaciones y ampliaciones que se aprueben y los pondrá a disposición pública por cualquier medio apropiado.

La supervisión de los códigos de conducta corresponde a la autoridad de control competente, si bien en caso de tratamientos realizados por entidades privadas, esta función también podrá llevarla a cabo un organismo que tenga el nivel adecuado de pericia en relación con el objeto del código y que haya sido acreditado para tal fin por la autoridad de control competente. Dicho organismo deberá, con sujeción a garantías adecuadas, tomas las medidas oportunas en caso de información del código por un responsable o encargado del tratamiento, incluida la suspensión o exclusión de este, informando de dichas medidas y de las razones de las mismas a la autoridad de control competente.

Certificaciones: La certificación podrá ser expedida por la autoridad de control competente o por organismos de certificación que tengan un nivel adecuado de pericia en materia de protección de datos. También se prevé la posibilidad de una certificación común: el Sello Europeo de Protección de Datos. La certificación se expedirá tanto a responsables como encargados. Tendrá una duración máxima de tres años, pudiendo ser renovada en las mismas condiciones, siempre y cuando se sigan cumpliendo los requisitos pertinentes. El Comité archivará en un registro todos los mecanismos de certificación y sellos y marcas de protección de datos y los pondrá a disposición pública por cualquier medio apropiado.

En España, la certificación se realizará por entidades certificadoras acreditadas por ENAC.

Tanto la adhesión a códigos de conducta como la obtención de certificaciones, son procedimientos voluntarios, si bien ambos podrán ser utilizados como elementos para demostrar el cumplimiento de las obligaciones por parte del responsable del tratamiento (artículo 24.3 del RGPD), así como posible atenuante frente a la imposición de una sanción. En este sentido:

a) Tanto la adhesión a un código de conducta como la certificación pueden utilizarse para acreditar que un encargado y un sub-encargado de tratamiento ofrecen garantías suficientes (con el RGPD, el responsable debe elegir únicamente a encargados que ofrezcan garantías y el encargado debe contratar únicamente a sub-encargados que ofrezcan garantías). (artículo 28.5 del RGPD).

b) Tanto la adhesión a un código de conducta como la certificación pueden utilizarse para acreditar tener implementadas las medidas de seguridad necesarias, teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas (artículo 32.3 del RGPD).

c) El cumplimiento de los códigos de conducta por los responsables o encargados correspondientes se tendrá debidamente en cuenta al evaluar las repercusiones de las operaciones de tratamiento realizadas por dichos responsables o encargados, en particular a efectos de la evaluación de impacto relativa a la protección de datos (artículo 35.8 del RGPD).

d) Cuando se realice una trasferencia internacional de datos, no será necesario solicitar la autorización del Director de la AEPD si existe un código de conducta junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados (artículo 46.2.e del RGPD).

e) Al decidir la imposición de una multa administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta la adhesión a códigos de conducta o a mecanismos de certificación (artículo 83.2.j del RGPD).