a). Introducción
Los códigos de conducta constituyen un mecanismo de autorregulación que permite probar a los responsables y encargados del tratamiento su cumplimiento del RGPD.
Entre otros, con este propósito nacen los códigos de conducta, los cuales, en el ámbito de la protección de datos personales tienen como objeto el desarrollo entre las entidades de un determinado ámbito o sector económico o de actividad, el cumplimiento efectivo y el desarrollo de la normativa vinculada a la privacidad y a la protección de datos personales.
Su regulación se encuentra amparada en la “Guidelines 1/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679” de 4 de junio de 2019 y en los “Criterios de acreditación para los organismos de supervisión de códigos de conducta” aprobados por la Agencia Española de Protección de Datos en el mes de Febrero de 2020, en el que se establecen los criterios a aplicar para la acreditación de los
organismos de supervisión de códigos de conducta. El contenido de los mismos, tal como más adelante se indicará, necesariamente debe respetar los límites normativos establecidos a tal efecto en el Reglamento (UE) 2016/679.
En este sentido, debe tenerse presente que los códigos de conducta aprobados con la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal, tienen el plazo de un año desde la entrada en vigor de la LOPDGDD para adaptar su contenido al RGPD. Debe tenerse presente que cuando se lleva a cabo un tratamiento de datos de una manera generalizada y habitual en determinado sector de actividad, las personas jurídicas, las empresas y los responsables de tratamiento en general, tienen que observar la normativa sobre protección de datos de carácter personal de manera muy próxima, por lo que se hace procedente, que entre dichas empresas se establezcan una reglas comunes de cumplimiento normativo, muy similar entre todas ellas, que sirvan principalmente para ordenar las obligaciones que cada una de ellas deben cumplir de manera normalizada en este ámbito o sector.
Los códigos de conducta constituyen básicamente un mecanismo de autorregulación empresarial o de actividad que permite acreditar a los responsables y encargados del tratamiento la observancia de las normas que constituyen el régimen jurídico de la privacidad La elaboración de los códigos de conducta se encuentra destinada a contribuir de manera fundamental en la correcta aplicación del Reglamento (UE) 2016/679, y la Ley Orgánica 3/2018, de 5 de diciembre de Protección de datos Personales y garantía de los derechos digitales (LOPDGDD), teniendo como punto de partida siempre las propias y especiales características específicas de los distintos sectores de tratamiento, y, al mismo tiempo aquellas necesidades concretas que tiene al respecto las microempresas y las pequeñas y medianas empresas, tal como señala el apartado 1º del artículo 40 del RGPD.
En respuesta a la cuestión de quien puede elaborar códigos de conducta desde un punto estrictamente subjetivo, en el RGPD se señala que tiene reconocida dicha capacidad: (i) las asociaciones; y, (ii) otros organismos representativos de categorías de responsables o encargados del tratamiento 1 . Las tareas específicas cuya realización se les atribuye, en lo que respeta a los códigos de conducta hace referencia a: (i) la elaboración de estos; (ii) la modificación de un código de conducta ya existente; o, (iii) la ampliación de estos, con objeto de incorporar a dichos código la aplicación del RGPD o de la LOPDGDD, en aquellas cuestiones que hubieran sido modificadas por la incorporación de la nueva normativa sobre privacidad.
Dichos códigos de conducta, de acuerdo con los términos contenidos en el Considerando 98 del RGPD, pueden establecer las obligaciones de los responsables y encargados, teniendo en cuenta el riesgo probable que los tratamientos desarrollados por los mismos supongan para los derechos y libertades de las personas físicas que se derive de dichos tratamientos.
Como cuestiones más relevantes sobre las que se puede llevar a cabo el contenido material de esta actividad sobre los indicados códigos, tal como se indica en el apartado 2º del artículo 40 del RGPD, cabe señalar al respecto los que se citan seguidamente:
a) El tratamiento leal y transparente.
b) Los intereses legítimos perseguidos por los responsables del tratamiento en contextos específicos.
c) La recogida de datos personales.
d) La seudonimización de datos personales.
e) La información proporcionada al público y a los interesados.
f) El ejercicio de los derechos de los interesados.
g) La información proporcionada a los niños y la protección de estos, así como la manera de obtener el consentimiento de los titulares de la patria potestad o tutela sobre el niño.
h) Las medidas y procedimientos a que se refieren los artículos 24 y 25 y las medidas para garantizar la seguridad del tratamiento a que se refiere el artículo 32.
i) La notificación de violaciones de la seguridad de los datos personales a las autoridades de control y la comunicación de dichas violaciones a los interesados.
j) La transferencia de datos personales a terceros países u organizaciones internacionales
k) O, los procedimientos extrajudiciales y otros procedimientos de resolución de conflictos que permitan resolver las controversias entre los responsables del tratamiento y los interesados relativas al tratamiento, sin perjuicio de los derechos de los interesados reconocidos en el RGPD.
Las ventajas de adherirse o elaborar estos códigos de conducta por parte de los responsables son considerables, ya que permite, por ejemplo, demostrar la aplicación de las medidas de seguridad, sirven de garantías suficientes para realizar transferencias internacionales de datos y, además, se tendrá en cuenta para minimizar y determinar las sanciones.
La configuración de los códigos de conducta en el RGPD determina no solo la adhesión a cualquier código de los promotores o adheridos de manera inicial al mismo, sino que se permite que otros responsables o encargados de tratamiento, puedan adherirse también a códigos de conducta aprobados, siempre que los mismos tengan validez de carácter general.
Ello se produce, por ejemplo, con la finalidad principal de poder ofrecer garantías adecuadas en el marco de las transferencias de datos personales a terceros países u organizaciones internacionales. Los responsables o encargados de tratamiento que se adhieran a un código de conducta ya aprobado, tienen la obligación de asumir los compromisos que sean vinculantes y exigibles derivados del mismo, ya se hayan establecido estos a consecuencia de la vía contractual o por medio de otros instrumentos jurídicamente vinculantes, con la finalidad de poder aplicar dichas garantías de forma adecuadas, especialmente, en lo que hace referencia a los derechos de los titulares de los datos personales o interesados.
En este sentido, de nada serviría un código de conducta, que no tuviera en cuenta los riesgos concretos de su sector de actividad, y del mismo modo, sea capaz de graduar el nivel de cumplimiento en función del tamaño de las organizaciones, debiéndose tener presente que, a través del mismo, se tiene que regular la aprobación y supervisión de los códigos, un organismo de supervisión y control de este, y ello con independencia de que ostente un nivel acorde con la tarea 2 .
Es importante recalcar que en el RGPD se establece la obligación de que en la elaboración de un código de conducta se incorporen mecanismos que permitan al órgano de supervisión y control 3 de dicho código, a los efectos de poder efectuar adecuadamente el control obligatorio del cumplimiento de sus disposiciones por los responsables o encargados de tratamiento que se comprometan a aplicarlo, sin perjuicio de las funciones y los poderes reconocidos en la normativa sobre protección de datos personales a las autoridades de control que sean competentes.
A los efectos de la elaboración de un código de conducta nuevo, la modificación o la ampliación de uno ya existente, las entidades legitimadas para ello, tienen en primer término, que presentar un proyecto de código, o la modificación, o ampliación de este a la autoridad de control correspondiente, la cual viene en la obligación de proceder a elaborar un dictamen acerca de si el proyecto de código o la modificación o ampliación es conforme con el contenido normativo del RGPD.
En tal caso, y en el supuesto que ello sea del todo correcto, por parte de dicha autoridad de control se procederá a la aprobación de dicho proyecto de código, o a su modificación o ampliación, si por parte de la misma se considera que, efectivamente son suficientes y eficaces las garantías ofrecidas por parte del promotor o promotores del indicado código.
Una vez que el proyecto de código es aprobado, el siguiente trámite administrativo a seguir por parte de la autoridad de control, se corresponde con el proceso de su registro y publicación de este, tanto para su constancia, como para su general conocimiento. En este sentido, hay que recordar que la Agencia Española de Protección de Datos y las autoridades autonómicas tienen que mantener permanente mente actualizados los registros de los códigos de conducta aprobados por las mismas, y que dichos registros poseen la virtualidad de tener que estar interconectados entre sí, y, además, coordinados con el registro gestionado por el Comité Europeo de Protección de Datos.
Este registro podrá consultarse en cualquier momento ya que el mismo tienen que estar accesible para todos los ciudadanos por medios electrónicos. Es asimismo importante señalar, que mediante la correspondiente norma de carácter reglamentario se tiene todavía que desarrollar el contenido de este registro, así como las especialidades del procedimiento específico que permita la aprobación de los códigos de conducta en los términos previstos en el RGPD.
Finalmente, debe tenerse en cuenta, que es posible que un proyecto de código de conducta afecte o tal como señala literalmente el RGPD, guarde relación con actividades de tratamiento que se lleven a cabo en varios Estados miembros de la Unión Europea.
En tal caso, corresponde a la autoridad regulatoria o de control que sea competente 4 lo presentará por el procedimiento mencionado en el mecanismo de coherencia, en los términos previstos en el artículo 63, y concordantes del RGPD.
2. El órgano de supervisión y control en los Códigos de Conducta. A propósito de la nueva normativa establecida por la Agencia Española de Protección de Datos (AEPD) en el mes de febrero de 2020 para su regulación 5.
a). Introducción.
Tal como se ha indicado, en el mes de febrero de 2020, la Agencia Española de Protección de Datos dictó los llamados “Criterios de acreditación para los organismos de supervisión de códigos de conducta”, donde tal como se señala en su Introducción, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de dichos datos, y por la que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos, o RGPD), aplicable desde el 25 de mayo de 2018, introdujo una serie de obligaciones para los responsables y los encargados del tratamiento de datos personales como novedad con respecto al Reglamento de la Directiva 95/46/CE, como el principio de rendición de cuentas, que obliga no sólo a cumplir con el RGPD, sino también para poder demostrar su cumplimiento. Con el fin de contribuir a su correcta aplicación, el RGPD promueve el desarrollo de mecanismos de cumplimiento voluntario, como los códigos de conducta en su artículo 40, que pueden ser utilizados por los responsables y los encargados del tratamiento como elementos para demostrar que el RGPD se aplica de manera efectiva. El artículo 41 del RGPD estipula que el cumplimiento de un código de conducta podrá ser supervisado por un organismo que tenga un nivel adecuado de experiencia en relación con el objeto del código y esté acreditado a tal efecto por la autoridad de supervisión competente, y establece los requisitos generales a cumplir (artículo 41.2 del RGPD).
La Agencia Española de Protección de Datos (AEPD), antes de proceder a la acreditación de un organismo de supervisión, presentó el proyecto de requisitos para la acreditación de los organismos de supervisión al Consejo Europeo de Protección de Datos (en lo sucesivo CEPD) (artículo 41, apartado 3, del RGPD). A este respecto, el CEPD emitió su Dictamen 1/2020 sobre el proyecto de la Agencia Española de Protección de datos (AEPD) de requisitos de acreditación para un organismo de supervisión del código de conducta, de conformidad con el artículo 41 del RGPD. En dicho documento se establecen por parte de la autoridad de control española los criterios para poder aplicar para la acreditación de los organismos de supervisión de códigos de conducta. Tal como señala la introducción de dicho documento, la Agencia Española de Protección de Datos (AEPD) ha tenido en cuenta las disposiciones de los artículos 41 y 57 del RGPD, las Directrices 1/2019 del Comité Europeo de Protección de Datos (CEPD) sobre códigos de conducta y organismos de supervisión en virtud del RGPD (en lo sucesivo las Directrices), el Dictamen 1/2020 del CEPD sobre el proyecto de la Agencia Española de Protección de datos de los criterios de acreditación para los organismos de supervisión del código de conducta, de conformidad con el artículo 41 del RGPD, y los dictámenes pertinentes del Comité Europeo de Protección de Datos (CEPD).
Debe señalarse por su especial trascendencia que, el RGPD y las Directrices establecidas sobre la base de dicha nueva regulación, permiten un margen de flexibilidad amplio en la configuración y estructura de los organismos de supervisión de los códigos de conducta, que pueden ser tanto internos como externos a la organización o asociación que promueve el código, permitiéndoles proponer el más adecuado a las características del código de conducta, que, en cada caso, se pretenda promover.
Estas directrices deben ser puestas en conexión con las facultades que de manera habitual se suelen atribuir a dicho órgano de supervisión y control, y que abarcan toda la actividad que se atribuye al mismo. En este sentido, la importancia que ha adquirido dicho órgano con el RGPD, nada tiene que ver con el equivalente referido a los Códigos Tipos de la Ley Orgánica 15/1.999, de 13 de diciembre, de Protección de Datos de Carácter Personal, toda vez que la profesionalización de los mismos, y la carga de funciones y actividades que en el momento presente se les atribuye es completamente diferente. A título de ejemplo, meramente indicativo, un órgano de supervisión y control en la actualidad puede llevar a cabo la realización de los siguientes cometidos:
a). El fomento de la difusión y actualización del Código de Conducta, velar por su cumplimiento, dictar las instrucciones necesarias de interpretación y actualización del mismo y evaluar su eficacia, instando su modificación cuando sea conveniente, atendidas las novedades legales o los requerimientos de la Agencia Española de Protección de Datos.
b). La gestionar los procedimientos de adhesión y baja del Código, manteniendo actualizada la lista de las personas físicas y de las entidades que se encuentren adheridas al mismo.
c). La promoción de los ADR’s (sistemas alternativos de resolución de conflictos), a la hora de resolver las contingencias y los conflictos entre las personas físicas y las entidades adheridas en el ámbito de la protección de datos personales.
d). El hecho de poder evaluar el cumplimiento del Código de Conducta entre las personas físicas y las entidades adheridas, así como atender sus consultas, recabando la información necesaria entre las mismas a través de auditorías periódicas.
e). Llevar a cabo las acciones formativas con la colaboración de las personas físicas y las entidades adheridas para crear una cultura de cumplimiento corporativo activo de la normativa en protección de datos personales.
f). La posibilidad de favorecer la accesibilidad al Código de Conducta a las personas con capacidad diferente.
g). La formulación de la memoria anual y remitirla a la Agencia Española de Protección de Datos.
h). Atender las quejas y estudiar y resolver los expedientes sancionadores que se tramiten según lo establecido en el Código de Conducta.
i). Representar el código de conducta ante la Agencia Española de Protección de Datos.
j). La realización de cuantas otras atribuciones se determinen en el Código de Conducta, en favor del órgano de supervisión y control.
b). La aplicación práctica de las directrices de funcionamiento y acreditación de los órganos de supervisión y control de los Códigos de Conducta.
a). La composición del órgano de supervisión y control.
Debe partirse del hecho de que el funcionamiento del órgano de supervisión y control de un Código de Conducta se tiene que ajustar íntegramente a los criterios de acreditación para los organismos de supervisión de códigos de conducta establecido por la Agencia Española de Protección de Datos (AEPD), así como aquellos otros criterios que específicamente se vayan estableciendo en un futuro, con tal finalidad. La creación de un órgano de supervisión y control implica en primer término, la creación de dicho órgano el cual debe velar por la correcta aplicación del propio Código de Conducta, así como de las normas que lo sustentan en el ámbito de la protección de datos personales. Al hilo de ello, debe ser definida la estructura de dicho órgano de supervisión y control, en el sentido de determinar qué número de personas van a formar parte del mismo, y cuál debe ser la composición cualitativa del mismo
Las respuestas a estas cuestiones pueden establecerse con una cierta flexibilidad, en el sentido de que puede haber una persona proveniente de la entidad promotora de dicho Código de Conducta, representantes de las personas físicas o jurídicas que se hayan adherido al mismo, así como profesionales independientes d reconocido prestigio en el ámbito de la protección de datos. En base a ello, se recomienda que su número no exceda en total de 5 personas, a los efectos de garantizar si operatividad y eficacia, aunque probablemente lo más recomendable es que su número sea menor, con la posibilidad de otorgarle un voto de calidad a la persona que dirija dicho órgano rector. Complementariamente a ello, es importante proceder a determinar el tiempo de permanencia de estas personas en su cargo, sin que ello, por ejemplo, impida la reelección de las personas que hayan sido elegidas anteriormente, a los efectos de cumplimentar un nuevo plazo de permanencia en dicho órgano de supervisión y control.
b). Las llamadas “garantías de independencia”.
El planteamiento inicial es que el órgano de supervisión y control tiene que funcionar de manera independiente de la parte promotora del Código de Conducta, y de los adheridos al mismo. Por ello, la garantía de funcionamiento del mismo constituye una premisa fundamental en su reconocimiento, constitución y funcionamiento, exigiéndose en las directrices establecidas por la Agencia Española de Protección de Datos a la parte promotora de dicho Código de Conducta, la realización de una serie de actuaciones que garanticen de manera eficaz la independencia de dicho órgano rector, entre las que cabe destacar las que se citan seguidamente:
a). La elaboración de la correspondiente normativa del órgano de supervisión y control, incluida: (i) todo lo atinente a su estructura y composición; (ii) el procedimiento para designar a sus miembros; (iii) la duración de su mandato, que debe tener una duración suficiente para garantizar de una manera eficaz su independencia; y, (iv) la previsión relativa al nombramiento de miembros suplentes en el caso de que se produzca una situación de conflicto de interés.
Con relación a todas cuestiones recomendable que se proceda a establecer una normativa interna a instancia de la entidad promotora del Código, a los efectos de poder establecer una regulación pormenorizada sobre cada uno de estos aspectos. Esta regulación interna, como se verá a través de la plasmación práctica de estas directrices, tiene la virtualidad de posibilidad de modificación, sin que ello afecte al tenor literal sobre el que está constituido dicho Código de Conducta, lo que permite su adaptabilidad a las diversas circunstancias o vicisitudes que afecten al propio Código o al promotor del mismo o a las personas físicas o jurídicas adheridas al mismo.
b). Es importante tener en cuenta que dicho órgano de supervisión y control tiene que contar, en todo caso, con los recursos materiales y humanos suficientes para llevar a cabo su labor, a los efectos tanto del desarrollo de la misma, como con la finalidad de garantizar adecuadamente la independencia en su funcionamiento. La determinación de la aportación de dichos recursos, es importante tenerla prevista a los efectos de su contribución entre la parte promotora del Código, y las personas adheridas al mismo, determinando la participación que en la aportación de tales recursos van a tener unos y otros, debiendo fijar mediante el correspondiente convenio, acuerdo o norma vinculante los porcentajes de participación entre unos y otros.
c). De manera complementaria a lo anterior, en la determinación de las reglas de funcionamiento del órgano de supervisión y control se tienen que adoptar aquellas medidas de protección que se consideren suficientes a los efectos de poder evitar toda clase de interferencias en la actuación de dicho órgano rector, por parte tanto de la parte promotora de dicho Código, como en su caso, por las personas físicas o jurídicas adheridas al sistema que están siendo supervisados. Dicha garantía de independencia debe establecerse, asimismo, frente a cualquier otra entidad u organización que pueda interferir en el normal funcionamiento del órgano de control o en la aplicación del Código de Conducta.
d). Asimismo, debe garantizarse que los miembros integrantes en cada momento de órgano de supervisión y control se encuentren debidamente protegidos frente a la posibilidad de ser despedidos o sancionados, ya sea directa o indirectamente, a consecuencia del ejercicio de sus funciones de supervisión.
e). Es también recomendable, que en la regulación del órgano rector del Código de Conducta se establezca una política debidamente documentada y disponible para el público en general, en la que se contengan de manera pormenorizada todas las obligaciones del órgano de supervisión y control, en la que se incluyan cuestiones tales, como las que se indica seguidamente: (i) las normas que regulan su funcionamiento; (ii) los procedimientos que se establezcan en aras de salvaguardar real y efectivamente su independencia; (iii) las funciones que en tal sentido le han sido encomendadas; y, finalmente, (iv) las responsabilidades que se atribuyen tanto de manera individual como colectiva a los miembros integrantes de dicho órgano de control.
Además de los criterios establecidos anteriormente, el órgano de supervisión y control den un Código de Conducta debe estar sometido a una verificación adicional y específica de su independencia, a los efectos de poder acreditar de manera suficiente la aplicación de medidas complementarias que garantizan la efectividad de la misma en todo momento en el ejercicio de sus actividades de supervisión, mediante la adopción de las siguientes medidas dirigidas a evidenciar la verificación de la actuación a la que se ha hecho referencia:
a). La disposición de diferentes canales de información.
b). La separación de la gestión y el desempeño de las actividades.
c). la separación de la línea de reporte.
d). En este orden de cosas, las directrices aprobadas por la Agencia Española de Protección de Datos también vienen a exigir el uso por parte del órgano de supervisión y control de una denominación distinta al nombre utilizado por los promotores del Código de Conducta.
c). La financiación del Organismo de supervisión y control.
En lo relativo a la financiación del órgano de supervisión y control de un Código de Conducta es importante tener en consideración que la misma, en ningún supuesto, puede afectar a su independencia en el desarrollo de sus tareas de supervisión. Consecuentemente con ello, y a tales efectos, se prevé expresamente que por parte de este se lleve a cabo una descripción de cuáles son sus fuentes de financiación y cómo se financia de manera efectiva. Es evidente que en esta exigencia se aplica el principio de transparencia, que coadyuva necesariamente a la independencia y el control en el ejercicio de sus funciones.
Al mismo tiempo, hay que recalcar que el órgano de supervisión y control goza de plena autonomía para la gestión de su presupuesto, así como de los demás recursos económicos y de otra índole de que disponga. Para ello se hace preciso que por parte de dicho órgano se cuente con un presupuesto específico y completamente suficiente para el desempeño de sus funciones.
En este ámbito de la financiación debe plantearse la cuestión acerca de si el órgano de supervisión y control tienen la capacidad de establecer una tasa de obligatorio pago por parte de las personas vinculadas y adheridas al Código de Conducta. Las previsiones de la Agencia Española de Protección de Datos son en este sentido favorables a reconocer dicha facultad, la cual debe ser objeto del correspondiente desarrollo reglamentario interno que fije las proporciones, las cuantías de participación, y cuantas otras cuestiones sean necesarias con respecto a la implantación y aplicación de dicha tasa contributiva.
d.) El protocolo relativo a las funciones del órgano de supervisión y control, y el marco regulador de la toma de decisiones y los procedimientos de presentación de informes.
En lo que se refiere a la toma de decisiones y la presentación de informes, el Órgano de supervisión y control tiene que disponer del correspondiente protocolo para el establecimiento de las funciones que les son propias, así como para la toma de decisiones y la presentación de informes. Para ello es aconsejable que se establezca la correspondiente normativa interna donde se regulen de manera pormenorizada todas estas cuestiones.
e). Los procesos de subcontratación por parte del Órgano de supervisión y control.
En los procesos de subcontratación, el órgano de supervisión y control tiene que ejercer aquellas funciones que directa e inmediatamente le hayan sido encomendadas sobre la base de lo dispuesto en el Código de Conducta. Con independencia de ello, es preciso considerar que en el supuesto de que se en algún momento se procediera a la subcontratación de la totalidad o parte de los servicios que el mismo tienen que llevar a cabo, previamente existe la obligación de asegurarse que cualquier prestador de servicios que vaya a ser subcontratado cumpla en todo momento los criterios relativos a los requisitos de acreditación y que particular, hacen referencia a los siguientes condicionamientos que ha de reunir cualquier prestador servicios y que son los que se indican seguidamente: (i) la independencia. (ii) la ausencia de conflicto de intereses; (iii) y la demostración de que cuenta con los conocimientos especializados.
Consecuentemente con ello, y sobre la base de la responsabilidad que asume el órgano de supervisión y control en la toma de decisiones relativas a la subcontratación, por el mismo siempre se ha de reservar adicionalmente la facultad de especificar las tareas y funciones que serán objeto de la prestación de servicios que sean subcontratados, debiéndose recordar a tales efectos que, en todo caso, la subcontratación no elimina la responsabilidad que le atribuye tanto el RGPD, como la LOPDGDD.
f). Los conflictos de interés.
El Órgano de supervisión y control ha de velar porque en el ejercicio de sus funciones de supervisión no se produzcan situaciones que puedan dar lugar a la existencia de un supuesto donde exista un conflicto de interés en su actuación, y en la adopción de sus decisiones. En este sentido, con la periodicidad que en su caso se determine, se tiene que proceder a la evaluación de entre sus miembros sobre si existen o no cualquier clase de conflicto de interés que comprometa o pueda comprometer el ejercicio de sus funciones, a los efectos de garantizar la independencia y su imparcialidad en el ejercicio de sus actividades de supervisión. Asimismo, es importante considerar que el órgano de supervisión y control no puede ser objeto de medidas sancionadoras o represivas ni directas ni indirectas, en relación con el desempeño de sus funciones, y tampoco tiene que permitir que se ejerzan presiones comerciales, financieras o de otro tipo que comprometan o puedan comprometer dicha imparcialidad o/e independencia.
Consecuentemente con ello, tanto el Código de conducta como la actividad desarrollada por el órgano de supervisión y control ha de establecer mediante la correspondiente normativa interna, en la que se regulen y establezcan los procedimientos obligatorios que son aplicables a todos sus miembros de dicho órgano, para garantizar que no existencia de conflicto de intereses. A tales efectos y con dicha finalidad cabe considerar el establecimiento de las siguientes medidas:
(i) Aquellas medidas y procedimientos que permitan identificar los casos o las situaciones que puedan ocasionar un conflicto de interés, y que permitan al órgano de supervisión y control evitar la producción de los mismos, y, en su caso, gestionarlos y resolverlos de manera adecuada, sin que ello comprometa su gestión ni los valores y principios regulados en el Código de Conducta.
(ii) Aquellas medidas atinentes al hecho de que las personas que integren el órgano de supervisión y control que adopten decisiones deben asumir el compromiso que tiene que ser formalizado por escrito, o, en su caso, por medios electrónicos, o de cualquier otra manera, la cual le resulte vinculante, e informar de la existencia de los posibles conflictos de intereses, y a seguir los procedimientos establecidos con el fin de evitar tales conflictos, y en su caso proceder a su resolución inmediata.
(iii) Aquellas que garanticen la ausencia de instrucciones, directrices o sugerencias por parte de la entidad promotora del Código, de las personas adheridas al mismo, o de terceros en el desempeño de sus funciones que comprometan su independencia o su imparcialidad.
(iv) Del mismo modo, aquellas medidas que determinen la abstención de los miembros que compongan el órgano de supervisión responsables de tomar aquellas decisiones necesarias en el caso de que se produzca la existencia de algún conflicto de intereses.
(v) Que permitan y posibiliten la recusación de las personas responsables de la toma de decisiones en el caso de la existencia de dicho conflicto de interés, y la previsibilidad y la seguridad jurídica derivadas de dicha situación, de tal modo, que la misma quede completamente justificada, lejos de cualquier atisbo de arbitrariedad.
(vi) Y, finalmente la determinación de las reglas de sustitución de los miembros del órgano de supervisión y control, en el supuesto de que efectivamente se produzca la recusación de uno o varios de dichos miembros.
g). La experiencia profesional de los miembros del órgano de supervisión y control.
Los componentes del órgano de supervisión y control deben caracterizarse por tener una amplia formación y experiencia en el ámbito de la protección de datos personales, computándose, a estos efectos, su dedicación a tareas de asesoramiento, al ejercicio de la función de DPD/DPO, a la elaboración de publicaciones en la materia, la impartición de conferencias, la formación y el desarrollo de cualquier otra actividad vinculada a la protección de datos de carácter personal en su más amplio sentido, a los efectos de cualificar a dicha persona para el desempeño eficaz de las actividades que son propias de la supervisión y el control vinculadas a un Código de Conducta de manera efectiva.
A tales efectos, por ejemplo, las directrices de la Agencia Española de Protección de datos toman en consideración una serie de factores que han de tenerse en consideración a la hora de determinar que un profesional se encuentra cualificado para formar parte de determinado órgano de supervisión y control de un determinado Código de Conducta. Entre estas cuestiones a considerar, se deben tienen que ponderar las que se indican a continuación:
(i) El sector de actividad a la que se refiere específicamente el ámbito del Código de Conducta.
(ii) Su tamaño.
(iii) El volumen.
(iv) La naturaleza de los datos a tratar.
(v) Los riesgos de las actividades de tratamiento que se van a derivar de la aprobación de este.
(vi) Y, los diferentes intereses implicados derivados de dicha regulación.
La acreditación de la experiencia profesional de las personas que integren el órgano de control se tiene que acreditar mediante el cumplimiento de los requisitos de pericia, conocimientos y experiencia necesarios, entre otros medios y a título de ejemplo y orientación, se pueden determinar los que se citan a continuación:
(i) La información sobre la trayectoria profesional de las personas encargadas de la toma de decisiones en dicho órgano de control.
(ii) El hecho de disponer de un título universitario que aporte pruebas de conocimientos especializados en el derecho, en el sector del código de conducta y/o en la práctica en el ámbito de la protección de datos.
(iii) La tenencia de certificaciones de experiencia en el campo de la protección de datos y/o en el ámbito del código de conducta.
(iv) Un proceso documentado de evaluación inicial y de supervisión continua de todo el personal involucrado en el proceso de supervisión.
(v) La formación y el acceso a cursos de formación de los miembros del órgano de supervisión responsables de la toma de decisiones.
(vi) Los registros de personal actualizados, incluidos detalles de cualificación, formación, experiencia, etc.
(vii) La experiencia práctica en funciones de supervisión independientes de sistemas de autorregulación.
En todo caso, tanto la entidad promotora de un Código de Conducta como las personas físicas y jurídicas adheridas al mismo tienen la obligación de garantizar que los miembros del órgano de supervisión y control, y por ende, las personas encargadas de la toma de decisiones sean expertos en la protección de datos personales, y que, además, se encuentren familiarizados con la práctica y el tratamiento de datos en el sector de actividad al que se refiera dicho Código de Conducta, a fin de demostrar, en todo momento, que dichas personas cuentan con la experiencia suficiente, necesaria y exigible para integrar y formar parte del órgano de supervisión y control.
h). Los procedimientos y la estructura del órgano de supervisión y control.
El órgano de supervisión y control tiene que disponer de los procedimientos, estructuras y recursos adecuados para llevar a cabo los procesos derivados de la supervisión y el debido control derivado del Código de Conducta.
Este proceso de supervisión abarca la evaluación de la idoneidad de los responsables o encargados del tratamiento para: (i) aplicar dicho Código; (ii) proceder a verificar su cumplimiento; y, (iii) la realización de las correspondientes revisiones periódicas necesarias de las operaciones que se realicen.
En este sentido parece muy recomendable articular la correspondiente normativa interna, en el que se determine y concrete la estructura y los procedimientos adecuados con los que debe contar el órgano de supervisión y control para llevar a cabo el desarrollo de sus funciones, entre los que se encuentran los que se indican a continuación:
(i). El procedimiento para comprobar la idoneidad de los responsables y encargados del tratamiento que soliciten la adhesión al Código para ser capaces de asumir sus compromisos y obligaciones, y, en definitiva, poder cumplirlo de manera adecuada.
(ii). Los detalles de los procesos de evaluación del cumplimiento del Código de Conducta que se tienen que tener en cuenta, y que comprende, entre otros factores, los que se citan seguidamente:
– El ámbito sectorial de aplicación del código.
– El número y tamaño de los miembros.
– Los riesgos derivados del tratamiento de los datos.
– Las reclamaciones recibidas, y en el que se incluyan el tipo de evaluación a realizar, como:
– Las auditorías aleatorias.
– Las inspecciones periódicas.
– La presentación de informes. y
– La cumplimentación de cuestionarios.
Con independencia de los factores anteriormente indicados, existen otros que también ejercen su influencia a estos efectos, y qué, por tanto, deben ser especialmente considerados. Estos factores son los siguientes:
(i) El método y la definición de los requisitos para su realización, a la vista de las características y el objeto del Código de Conducta evaluado.
(ii) La periodicidad con la que se llevan a cabo.
(iii) La documentación de los resultados y sus consecuencias (v.gr. los informes que deben ser emitidos, y la determinación de las personas que son sus destinatarios).
Por último, en lo que atañe a estos procedimientos, es necesario el desarrollo de uno de ellos donde se determine la regulación de las facultades y las atribuciones que se establezcan a los efectos de poder: (i) investigar; (ii) identificar; y, (iii) poder administrar las situaciones de incumplimiento del Código de Conducta, así como el establecimiento y ulterior desarrollo de controles de carácter adicional para garantizar que se tomen las medidas adecuadas para solucionar los posible incumplimientos que se produzcan.
Por último, en lo que atañe a estos procedimientos, es necesario el desarrollo de uno de ellos donde se determine la regulación de las facultades y las atribuciones que se establezcan a los efectos de poder: (i) investigar; (ii) identificar; y, (iii) poder administrar las situaciones de incumplimiento del Código de Conducta, así como el establecimiento y ulterior desarrollo de controles de carácter adicional para garantizar que se tomen las medidas adecuadas para solucionar los posible incumplimientos que se produzcan.
h.2.) La estructura.
En lo referente a la estructura, debe partirse del hecho relativo a que el Órgano de supervisión y control será, en todo caso, el responsable de gestionar eficazmente toda la información creada o adquirida durante los procesos de supervisión y control del Código de Conducta. Por ello, las personas que se encuentren adscritas a un órgano de supervisión y control tienen la obligación de mantener la confidencialidad sobre el conjunto de toda la información adquirida u originada en el desempeño de sus funciones, a menos que dicho miembro esté legalmente obligado a divulgar dicha información por imperativo contractual o legal, o esté jurídicamente exento de mantener dicha confidencialidad.
Asimismo, debe recordarse que el órgano de supervisión y control es el responsable de garantizar y velar por el efecto cumplimiento de la obligación que deben cumplir aquellas personas autorizadas para el tratamiento de datos personales, que a su vez se hayan comprometido a respetar la confidencialidad de la información contenida en dichos tratamientos, o, que se encuentren sujetas a una obligación de confidencialidad de naturaleza u origen estatutario.
i). La gestión transparente de reclamaciones vinculadas al Código de Conducta
En lo que atañe a la obligación de llevar a cabo una gestión transparente de las reclamaciones por parte del órgano de supervisión y control, debe tenerse presente que el mismo es el encargado de establecer los procedimientos que sean necesarios para garantizar que la gestión realizada con relación a las mismas sea independiente, imparcial y transparente, y, para ello, debe disponer tanto de una estructura de funcionamiento que se considere adecuada, así como de los recursos de toda índole, que sean también suficientes para el desempeño de dicha función.
El órgano de supervisión y control deben tener a su disposición un procedimiento que ha de ser: (i) documentado; (ii) eficaz; (iii) imparcial; y, (iv) transparente para posibilitar la recepción, la evaluación, la supervisión, el registro y la resolución de las reclamaciones en un plazo que ha de ser razonable. Este procedimiento es aconsejable que se encuentre sustentado sobre la base de una normativa interna que desarrolle el contenido del Código de Conducta.
Asimismo, las directrices establecidas por la Agencia Española de Protección de Datos determinan que la información sobre el proceso de tramitación de reclamaciones tiene que ser en todo caso accesible para el público, y, además, se tiene que encontrar redactado en un lenguaje fácilmente entendible por los interesados. A tal efecto, los procedimientos con que cuente el órgano de supervisión y control tienen que ser transparentes y de fácil acceso para los interesados, y deben cumplir con la observancia de los principios y los requisitos, que se detallan a continuación
(i). Dichos principios y requisitos tienen que ser sencillos y de fácil accesibilidad, preferentemente a través de medios de naturaleza electrónicos.
(ii). Los mismos deberán contar con la suficiente trazabilidad, que permita a las partes interesadas conocer el estado de tramitación de las reclamaciones.
(iii). Asimismo, deberán contener un procedimiento contradictorio para salvaguarda de los derechos de las partes. Una vez recibida la reclamación, se tienen que remitir a la persona física o jurídica adherida los hechos alegados y las infracciones que presuntamente pudieran constituir, dándole un plazo razonable para formular las alegaciones correspondientes, que no excederá, en todo caso, del plazo de un mes.
(iv). Dicho procedimiento deberá contar siempre y especialmente con la celeridad suficiente, y el mismo debe resolverse en un plazo razonable que no exceda de tres meses, susceptible de ser prorrogado por el plazo de un mes, teniendo en cuenta diversos aspectos a considerar, tales como: (i) el tamaño de la entidad objeto de investigación; y, (ii) la dificultad de la investigación.
(v). La graduación de las medidas correctoras, incluida la suspensión o exclusión del Código de Conducta, tiene que permitir ajustar y hacer proporcionales dichas medidas a la gravedad del incumplimiento y, además, deben tener un carácter eminentemente disuasorio, de conformidad con la lista de medidas correctoras establecidas, a su vez en el propio Código de Conducta.
(vi). En todo caso, debe tenerse presente que es obligatoria la notificación a los todos los interesados, de las actuaciones y resoluciones adoptadas por el órgano de supervisión y control del Código de Conducta.
(vii). Al mismo tiempo, debe darse la suficiente publicidad a las resoluciones adoptadas por dicho órgano de control, sin perjuicio del respeto a los derechos de los intervinientes a la protección de datos personales, por lo que dicha publicidad siempre tiene que revestir la cualidad de ser anonimizada en los relativo a los interesados que intervengan.
(viii). Se tienen que publicar los datos estadísticos relativos a las actividades del órgano de supervisión y control a los efectos del mejor conocimiento de las actividades desarrolladas por el mismo. Dichos datos estadísticos se publicarán periódicamente, y, de acuerdo con lo establecido por la Agencia Española de Protección de datos en sus directrices, contendrán de manera específica la siguiente información:
a.(i) El resultado de las actividades de supervisión.
a.(ii) El número de reclamaciones recibidas.
a.(iii) El tipo de infracciones.
a.(iv) Y Finalmente, las medidas correctoras adoptadas.
(viii). Y finalmente, dentro de estos requisitos se establece la posibilidad de proceder a la presentación de reclamaciones ante el incumplimiento del Código de Conducta por parte de los responsables y encargados del tratamiento, cuyo ejercicio tendrá siempre un carácter gratuito.
Debe hacerse alusión también al hecho de que el órgano de supervisión y control está facultado para la llevanza y gestión de un registro de su actividad, el cual estará dotado del siguiente contenido:
(i). Las reclamaciones que se produzcan.
(ii). Las actuaciones realizadas y sus resultados
En todo caso, debe tenerse presente que dicho registro será accesible para la Agencia Española de Protección de Datos (AEPD).
j). La comunicación del órgano de supervisión y control con la Agencia Española de Protección de Datos (AEPD)
El órgano de supervisión y control tiene la obligación de informar anualmente a la Agencia Española de Protección de Datos (AEPD) de las actividades realizadas, que incluya tanto en lo referente a las medidas y diligencias realizadas para verificar la supervisión y el cumplimiento del Código de Conducta, de sus resultados, y de las reclamaciones recibidas y sus consecuencias. En el supuesto de que se produzca un cambio sustancial en la composición, en las condiciones de funcionamiento o actuación del órgano de supervisión y control que pudieran afectar a su independencia, a su “expertise” o pericia, o, incluso, generar conflictos de intereses entre o con sus miembros, dicha nueva situación se tiene que comunicar sin dilación a la Agencia Española de Protección de Datos, a fin de iniciar, si fuera necesario, un nuevo procedimiento de acreditación de dicho Código de Conducta.
A tales efectos, los cambios a los que se hace referencia por parte de la autoridad de control no tienen un carácter tasado o limitativo de los mismos, por lo que pueden afectar a cualquier aspecto relativo al Código de Conducta, y algunos de ellos podrían ser, a título de ejemplo, los que se indican seguidamente:
(i). Los relativos a la condición jurídica, comercial, de titularidad u organizativa.
(ii). Los que afecten a la estructura, la dirección y el personal competente.
(iii). Los referentes a los recursos y la dirección de la institución o del domicilio social.
(iv). A cualesquiera otras circunstancias que pudiera afectar a la capacidad del Órgano de supervisión y control para cumplir con los requisitos de acreditación.
El órgano de supervisión y control debe disponer, en cualquier caso, de un procedimiento para comunicar sin demora injustificada a la Agencia Española de Protección de Datos (AEPD), de aquellas decisiones relativas a los casos de incumplimiento del Código de Conducta que impliquen la suspensión temporal y la exclusión de la adhesión de un participe de dicho Código.
Este procedimiento, tal como se ha ido indicado a través de estas consideraciones responde a una normativa interna, que debe ser dictada en desarrollo de los preceptos contenidos en el Código de Conducta, a modo de complemento de este.
La comunicación que por parte del órgano de supervisión y control debe efectuarse a la Agencia de protección de datos, según las directrices establecidas por dicha autoridad de control, debe tener el siguiente contenido:
En los supuestos de que se produjera efectivamente la decisión relativa al levantamiento de la suspensión, el órgano de supervisión y control viene obligado a comunicar los criterios que respalden fáctica y jurídicamente dicha decisión.
k). Los mecanismos de revisión del Código de Conducta
En lo que afecta a los mecanismos de revisión del Código de Conducta el órgano de supervisión y control desempeña un papel clave en esta función. Para ello se recomienda que dicho órgano posea el correspondiente procedimiento debidamente documentado, donde se determinen los pasos a seguir con relación a la modificación o revisión del Código de Conducta. Las finalidades con la que debe establecerse este procedimiento de revisión modificación, son a juicio de la Agencia Española de Protección de Datos, los siguientes:
(i). La evaluación de la eficacia del código de conducta y, al mismo tiempo, poder garantizar adecuadamente que sigue resultando pertinente para sus miembros y que el mismo continua cumpliendo con la aplicación y la observancia del RGPD y demás normativa en el ámbito de la protección de datos personales.
(ii). En otro caso, debería procederse a la revisión y a la adaptación al mismo, de las conclusiones obtenidas como consecuencia de las evaluaciones llevadas a cabo por el órgano de supervisión y control de dicho Código.
(iii). Del mismo modo, el órgano de supervisión y control debe disponer de los mecanismos que permitan a la entidad promotora del Código de Conducta, poder conocer de manera efectiva la necesidad de proceder a su revisión, con la finalidad de poder garantizar que sigue siendo apropiado para contribuir a la correcta aplicación del RGPD y demás normativa vigente en el ámbito de la privacidad. Para ello, es preciso que el órgano de supervisión y control informe a la entidad promotora del Código de Conducta, y, asimismo le recomiende que, aquellos aspectos del mismo, necesitados de revisión, se revisen de conformidad con la evaluación obtenida.
En este caso, debe contarse con una normativa interna que, a estos efectos, sirva de desarrollo a lo ya establecido por el Código de Conducta.
l). Condición jurídica del órgano de supervisión y control
En este ámbito debe partirse de que el órgano de supervisión y control no es responsable de algún incumplimiento del RGPD cometido por la entidad promotora o las personas físicas o jurídicas adheridas al Código de Conducta. Dre acuerdo con ello, los miembros del órgano de supervisión y control sólo podrán ser sancionados por el incumplimiento de sus funciones de supervisión, o, por el hecho de no adoptar las medidas apropiadas, cuando se incumplan las normas del Código de Conducta.
Los miembros del órgano de supervisión deben siempre encontrarse suficientemente identificados, y al mismo tiempo, se tiene que facilitar una descripción de su condición jurídica, que incluya toda la información necesaria para determinar que por parte de los mismos se tiene la legitimación adecuada para el ejercicio de sus funciones. Ello incluye también la capacidad para asumir la responsabilidad en caso de incumplimiento de sus funciones y/o obligaciones, según lo dispuesto en el artículo 41, apartado 4, del RGPD, y, consiguientemente con ello, el tener que hacer frente a las multas administrativas a que se refiere el artículo 83, apartado 4, letra c), del RGPD.
En otro orden de cosas, debe indicarse que la sede del órgano de supervisión y control se tiene que encontrar localizada dentro o del territorio del Espacio Económico Europeo (EEE).
Asimismo, el órgano de supervisión y control tiene que disponer de la descripción de los recursos de los que disponga para ser considerado legalmente responsable de todas sus actividades de supervisión. Del mismo modo, a dicho órgano de supervisión le compete demostrar que dispone de los recursos suficientes para cumplir adecuadamente sus funciones de supervisión y control y tal como señala la Agencia Española de Protección de Datos, acreditar por ejemplo, la eficacia de las multas administrativas, etc..
Javier Puyol
Magistrado Excedente
Consultor TIC’S
