Entre las cuestiones que regula el Reglamento Europeo de Protección de datos (RGPD), encontramos en los arts. 40 a 44 los códigos de conducta y certificación, sin embargo, no nos encontramos ante figuras novedosas puesto que los códigos de conducta ya estaban regulados en el RD 1720/2007 bajo la denominación de códigos tipo.

En lo que respecta a los códigos de conducta, podemos destacar los siguientes aspectos:

• Conforme estipuló la Agencia Española de Protección de Datos (AEPD) son mecanismos a adoptar de forma voluntaria. El aliciente para adherirse a un código de conducta o certificación radica en la presunción de cumplimiento del RGPD mencionada explícitamente a lo largo de su articulado.
• Para conocer a quiénes van dirigidos dichos códigos, hemos de remitirnos a lo establecido por la AEPD en la 8ª Sesión Anual Abierta.
  • ¿Quién puede crearlos? Conforme se estipula en el art. 40.2 RGPD las asociaciones y otros organismos podrán elaborar códigos de conducta y también existe la posibilidad de que se adhieran a códigos de conducta ya existentes.
  • Ámbito de aplicación objetivo: en virtud de lo establecido en el art. 40 RGPD el objetivo es la contribución a la correcta aplicación del reglamento teniendo en consideración las características y necesidades de los distintos sectores de tratamiento.
  • Ámbito de aplicación territorial: por un lado, tenemos los códigos de ámbito nacional y, por otro lado, existen los códigos de conducta en los tratamientos de datos que se den en más de un Estado Miembro.
• En relación a cómo se regula la supervisión de los códigos de conducta en el RGPD, el art. 41 estipula que el encargado de tal labor será un organismo que haya sido suficientemente acreditado para tal fin, tras cumplir con una serie de requisitos, por la autoridad de control competente. Estos organismos deberán adoptar las medidas oportunas en caso de infracción del código por un responsable o encargado del tratamiento, incluida la suspensión o exclusión de éste, e informará de las medidas y de las razones de las mismas a la autoridad de control competente.

En lo relativo a los códigos de certificación hemos de destacar que, si bien dicho concepto es nuevo en el RGPD, ya existía de forma implícita en la LOPD como mecanismos de supervisión. Dichos códigos de certificación se encuentran recogidos en los arts. 42 y 43 RGPD cuya finalidad es demostrar el adecuado cumplimiento de lo dispuesto en el RGPD, por parte de los responsables y de los encargados del tratamiento.

El RGPD, en el art. 42.1 establece que “Los Estados Miembros, las autoridades de control, el Comité y la Comisión promoverán la creación de mecanismos de certificación en materia de protección de datos a fin de demostrar el cumplimiento de lo dispuesto en el RGPD (…) Estas certificaciones tendrán una validez de 3 años pasados los cuales podrá ser renovada en las mismas condiciones siempre y cuando se sigan cumpliendo los requisitos pertinentes para su expedición”.  No obstante, debemos tener claro que los códigos de certificación son un mecanismo voluntario, al igual que los códigos de conducta.

Por último, en cuanto a quiénes son los encargados de expedir dichas certificaciones, el art. 43 indica que, sin perjuicio de las funciones y poderes de la autoridad de control competente, los organismos de certificación, que tengan un nivel de pericia adecuada en materia de protección de datos expedirán y renovarán las certificaciones una vez informada la autoridad de control.

El papel del Delegado de protección de datos en la elaboración y supervisión de estos mecanismos será fundamental debido a sus conocimientos expertos en el derecho y la práctica de la protección de datos. Es más, los propios códigos y certificaciones deberían prever la existencia de un DPD a disposición de todas aquellas entidades y organizaciones que se hayan adherido al mismo.

El Equipo Govertis