Los códigos de conducta, a diferencia de las certificaciones, ya estaban previstos de una forma genérica en la Directiva 95/46/CE y, en el caso de España, se adaptó al derecho nacional tanto en la LORTAD como en la LOPD.

El Reglamento (UE) 2016/679 (RGPD) otorga dar una mayor relevancia a los códigos de conducta, con la finalidad de que sirvan como herramientas para que los responsables y encargados puedan demostrar su cumplimiento, teniendo en cuenta las características y necesidades específicas de los distintos sectores y de las pymes y micropymes. Para ello, señala a los Estados miembros, las Autoridades de protección de datos, el Comité europeo de protección de datos, así como a la Comisión, como impulsores para la elaboración de códigos de conducta o para la adaptación de los ya existentes por parte de los responsables y encargados, así como a las asociaciones y otros organismos representativos de categorías de responsables y encargados.

Los códigos se constituyen como instrumentos de autorregulación que deben facilitar el cumplimiento del Reglamento (UE) 2016/679 (RGPD), teniendo en cuenta las características específicas del tratamiento llevado a cabo por determinados sectores y las necesidades específicas de los tratamientos de datos efectuados por quienes se adhieren a los mismos y aportando valores añadidos de garantía, calidad y confianza en materia de protección de datos.

De conformidad con el artículo 24.3 del RGPD, introduce cómo una ventaja adicional que la adhesión a estos códigos de conducta o a algún mecanismo de certificación de los aprobados en virtud del artículo 42, podrá utilizarse como elemento probatorio del cumplimiento de las obligaciones por parte del responsable del tratamiento.

En relación con los códigos de conducta, y conforme se establece en los artículos 40 y 41 del Reglamento (UE) 2016/679 (RGPD) y el artículo 38 de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), podrán promoverse, además de por asociaciones u otros organismos que representen a categorías de responsables o encargados de tratamiento, por empresas o grupos de empresas, así como por las Administraciones Públicas y las entidades pertenecientes al sector público.

Asimismo, en la LOPDPGDD, se prevé que podrá promoverse la adopción de códigos de conducta por los organismos o entidades que asumirían las funciones de supervisión y resolución extrajudicial de conflictos a los que se refiere el art. 41 del RGPD.

Con carácter previo a la presentación formal del proyecto de código de conducta, es recomendable y necesario mantener contactos con los promotores (asociaciones u otros organismos que representen a categorías de responsables o encargados de tratamiento, empresas o grupos de empresas, las Administraciones Públicas y las entidades pertenecientes al sector público y organismos o entidades que asumirían las funciones de supervisión y resolución extrajudicial de conflictos a los que se refiere el art. 41 del Reglamento (UE) 2016/679 (RGPD) para que obtengan información con respecto de la existencia de solicitudes o códigos inscritos anteriormente, así como para prestarles asesoramiento sobre los requisitos de forma y fondo que deben contener los proyectos para poder ser aprobados si se consideran suficientes las garantías aportadas.

En su elaboración se ha de tener en cuenta lo que recoge el considerando 79 del Reglamento (UE) 2016/679 (RGPD), por lo que el proyecto de código debe acompañarse de una memoria explicativa que indique las específicas características del sector en materia de protección de datos e identificar y afrontar las necesidades que presenta en cuanto a su tratamiento y aportar las soluciones para dichas necesidades y proporcionar las garantías adecuadas en relación con los aspectos que regule para su aprobación, además de incluir los mecanismos que permitan efectuar el control obligatorio de sus disposiciones, conforme establece el artículo 40.4 del RGPD.

Los proyectos de códigos de conducta han de tener consistencia interna, pues las meras reproducciones del RGPD no proporcionarían las garantías para beneficiarse de los incentivos que establece.

Los códigos de conducta podrán recoger, sin que sea requisito indispensable hacer referencia a todos ellos, los siguientes aspectos:

1. el tratamiento leal y transparente;
2. los intereses legítimos perseguidos por los responsables del tratamiento en contextos específicos;
3. la recogida de datos personales;
4. la seudoanonimización de datos personales;
5. la información proporcionada al público y a los interesados;
6. el ejercicio de los derechos de los interesados;
7. la información proporcionada a los niños y la protección de éstos, así como la manera de obtener el consentimiento de los titulares de la patria potestad o tutela sobre el niño;
8. las medidas y procedimientos para garantizar la seguridad del tratamiento así como la protección de datos desde el diseño y por defecto;
9. la notificación de violaciones de la seguridad de los datos personales a las autoridades de control y la comunicación de dichas violaciones a los interesados;
10. la transferencia de datos personales a terceros países y organizaciones internacionales, o
11. los procedimientos extrajudiciales y otros procedimientos de resolución de conflictos que permitan resolver las controversias entre los responsables del tratamiento y los interesados relativas al tratamiento, sin perjuicio de los derechos de los interesados. Destaca este último aspecto, que permitirá resolver los conflictos que pudieran plantearse y obtener satisfacción de manera ágil.

Además, deben identificar, en aquellos proyectos de código que impliquen actividades de autoridades u organismos privados, o no públicos, el organismo de supervisión que ha de ser, o estar, acreditado por la Agencia Española de Protección de Datos.

En la elaboración de un código de conducta, además de lo dispuesto en los artículos 40 y 41 del RGPD, se han de tener en cuenta las Directrices sobre códigos de conducta y sus organismos de control que fueron aprobadas por el Comité Europeo de Protección de Datos el pasado 4 de junio (accesibles en el siguiente enlace en inglés):

https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_201901_v2.0_codesofconduct_en.pdf

Es importante que los códigos de conducta identifiquen las áreas o ámbitos de la protección de datos que vaya a regular (art. 40.2 RGPD) y especificar cómo se pretende cumplir con el RGPD. Asimismo, deben incluir los mecanismos de control del cumplimiento del Código (art. 40.4 RGPD) y proporcionar las garantías adecuadas en relación con los aspectos que regule para su aprobación (art. 40.5 RGPD).

Al código se deberá acompañar una memoria explicativa que indique las específicas características del sector en materia de protección de datos e identificar y afrontar las necesidades específicas del sector, y de información sobre las consultas llevadas a cabo con los actores involucrados, inclusive los afectados cuando sea posible.

Los proyectos de códigos de conducta han de tener consistencia interna, pues deben contribuir a la adecuada aplicación del RGPD al sector de tratamiento de que se trate y constituir un valor añadido. Las meras reproducciones del RGPD no proporcionarían las garantías para beneficiarse de los incentivos que establece, por lo que aquellos proyectos que no cumplan los criterios y requisitos no podrán ser tomados en consideración.

Además de identificar, en aquellos proyectos de código que impliquen actividades de autoridades u organismos privados, o no públicos, el organismo de supervisión que ha de ser, o estar, acreditado por la autoridad de control competente, en este caso por la Agencia Española de Protección de Datos conforme a los criterios a los que se ha hecho referencia al principio.

Se han hecho públicos en la web de esta AEPD, los Criterios de acreditación para los organismos de supervisión de códigos de conducta, disponibles en el siguiente enlace.

Dichos criterios se deberán tener en cuenta para poder acreditar el organismo de supervisión, por lo que deberán remitir la documentación que permita evaluar para cada uno de los requisitos el correspondiente análisis de cumplimiento.

Las asociaciones y otros organismos representativos de categorías de responsables o encargados del tratamiento que pretendan elaborar un código de conducta o modificar o ampliar un código existente, presentarán el proyecto de código o modificación o ampliación a la autoridad de control que sea competente con arreglo al artículo 55 del Reglamento (UE) 2016/679 (RGPD).

Esta autoridad de control dictaminará si el proyecto de código o la modificación o ampliación es conforme con el RGPD procediendo a su aprobación, registro y publicación. Si el proyecto de código de conducta guardase relación con actividades de tratamiento en varios Estados miembros, la autoridad de control que sea competente en virtud del artículo 55 del RGPD, lo presentará por el procedimiento del artículo 63, antes de su aprobación o de la modificación o ampliación, al Comité Europeo de Protección de datos, que dictaminará si el mismo es conforme al RGPD u ofrece las garantías adecuadas. En caso afirmativo, este dictamen se presentará a la Comisión, procediendo esta última a darle publicidad.