Con la aplicación del Reglamento General de Protección de Datos y la entrada en vigor de la Ley Orgánica de Protección de Datos y garantía de los derechos digitales se ha destacado el importante papel que cumplen los códigos de conducta y los sistemas de certificación.
Gracias a la existencia de códigos que fomentan la aplicación normativa y conciencian sobre la importancia del correcto tratamiento de datos, la adaptación legal deja de ser una simple obligación y pasa a convertirse en un compromiso real y necesario por parte de las empresas. En esta misma línea, los sistemas de certificación se han convertido en un mecanismo práctico y necesario para orientar y ayudar a las empresas a identificar las cualidades, funciones, conocimientos y criterios que tiene que cumplir el Delegado de Protección de Datos, los encargados y responsables del tratamiento de datos.
Códigos de Conducta
Confianza Online como Asociación creada en 2003 para aumentar la confianza de los usuarios y la reputación de las empresas en Internet, basa su labor en el Código Ético de referencia del Ecommerce nacional por el que se promueve la transparencia digital y las buenas prácticas en Internet y que incluye, entre otras áreas, la Protección de Datos de Carácter Personal.
La importancia de este tipo de documentos para fomentar la autorregulación y la ética digital se recoge en el Capítulo IV de la Ley Orgánica de Protección de Datos y garantía de derechos digitales que establece que los Códigos de Conducta:
- Serán promovidos por asociaciones, empresas, responsables o encargados de protección de datos que reúnan los requisitos establecidos por los organismos de supervisión;
- Tendrán carácter vinculante para las entidades que se adhieran a ellos;
- Podrán incorporar sistemas de resolución alternativa de litigios. Los responsables o encargados de tratamiento de datos adheridos a códigos de conducta someterán a las autoridades competentes las reclamaciones que no puedan resolver en base a sus ámbitos de acción. Si la reclamación es desestimada, el afectado podrá tramitarla en la Agencia Española de Protección de Datos o a través de autoridades autonómicas;
- Se aprobarán por la Agencia Española de Protección de Datos o la autoridad autonómica competente que elaborarán un registro de los códigos de conducta aprobados, coordinado con el registro gestionado por el Comité Europeo de Protección de Datos;
- Incluirán mecanismos de control para su cumplimiento;
Además, los códigos de conducta cumplen un papel clave en su trabajo de colaboración con la Agencia Española de Protección de Datos para:
- Apoyar los trabajos de supervisión de cumplimiento de la normativa con el establecimiento de medidas y directrices para que sean adoptadas por los responsables o encargados del tratamiento de datos del sector analizado;
- Gestionar y resolver reclamaciones remitidas por la AEPD a los organismos de supervisión para la aplicación de códigos de conducta;
- Potenciar la autorregulación para que las empresas se comprometan a realizar un correcto tratamiento de datos;
- Especificar la aplicación de la normativa de protección de datos a las características y necesidades de los distintos sectores de actividad y entidades en lo relativo a:
- La transparencia y medidas de seguridad necesarias para garantizar la protección de datos;
- La recogida y seudoanonimización de datos personales;
- El deber de informar a los usuarios y de facilitar el ejercicio de sus derechos;
- La notificación de violaciones de la seguridad de los datos personales a las autoridades de control y a los afectados;
- Demostrar el cumplimiento de las obligaciones de los responsables del tratamiento de datos;
- Aportar garantías suficientes para realizar transferencias internacionales de datos;
- Determinar las sanciones en caso de incumplimiento;
Certificación para acreditar conocimientos en materia de protección de datos
Sobre los sistemas de certificación en materia de protección de datos la LOPDGDD establece que:
- La Agencia Española de Protección de Datos elaborará un listado con información actualizada sobre los delegados de protección de datos;
- Los conocimientos en materia de protección de datos se acreditarán mediante los denominados “esquemas de certificación” a través de los que los delegados de protección de datos podrán demostrar su cualificación;
- La formación especializada se podrá demostrar a través de mecanismos voluntarios de certificación que tendrán en cuenta titulaciones universitarias (especializadas en derecho y protección de datos);
- La acreditación de instituciones que emiten estos certificados podrá realizarse por parte de la Entidad Nacional de Acreditación que informará a la AEPD y a las autoridades de protección de datos de las comunidades autónomas sobre las concesiones, denegaciones o revocaciones de las acreditaciones;
- En materia de sanciones se considerarán infracciones graves:
- El uso de un Sello o certificación en materia de protección de datos que no haya sido otorgado por una entidad de certificación debidamente acreditada o cuya vigencia haya caducado;
- La obtención de la acreditación como organismo de certificación presentando información inexacta;
- El incumplimiento del deber de informar a la autoridad competente de los datos de expedición, renovación o retirada de una certificación;
Respecto al esquema de certificación establecido por la Agencia Española de Protección de Datos (en base a los criterios establecidos por el capítulo IV del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016)
- La AEPD se responsabilizará de su desarrollo y revisión periódica;
- Especifica las características y funciones que cumple el Delegado de Protección de Datos con información sobre el puesto, competencias, evaluación de conocimientos y los criterios para la entrega y supervisión de la acreditación de dicha figura;
- Establece un código ético para asegurar la integridad de su trabajo;
