CDIGOS DE CONDUCTA,

CERTIFICACIONES Y TRANSFERENCIAS
INTERNACIONALES

Julin Prieto Hergueta

Subdirector General del Registro
General de Proteccin de Datos
CDIGOS DE CONDUCTA
 CDIGOS DE CONDUCTA

Facilitan la correcta aplicacin del RGPD, teniendo en

cuenta las caractersticas especficas de los distintos
sectores y las necesidades especficas de PYMES y
micropymes

Aportan garantas adecuadas para las transferencias

internacionales de datos

Tienen carcter voluntario. Slo obligan a quienes se

comprometan a aplicar sus disposiciones

Los Estados, APDs, CEPD y la Comisin obligados a

impulsar su elaboracin
 CDIGOS DE CONDUCTA
MBITO DE APLICACIN
SUBJETIVO: Asociaciones y organismos representativos
de categoras de RESPONSABLES O ENCARGADOS del
tratamiento, incluidas las Administraciones Pblicas
Posibilidad adhesin responsables o encargados no
sujetos al RGPD para garantas T.I.D.
OBJETIVO: correcta aplicacin del RGPD en los distintos
mbitos sectoriales
TERRITORIAL:
Cdigos nacionales
Cdigos que afecten a tratamientos en varios
Estados UE
 CDIGOS DE CONDUCTA
CONTENIDO
Habr de especificar la aplicacin del RGPD, entre otra la relativa a:
- El tratamiento leal y transparente
- Los intereses legtimos de los responsables
- La recogida de datos personales
- La seudonimizacin de datos
- La informacin a facilitar al pblico y a los usuarios
- Los derechos de los interesados
- La informacin a nios y cmo obtener el consentimiento o tutela de
los padres o tutores
- La responsabilidad del responsable, PbD y por defecto, y medidas de
seguridad
- Las notificaciones de brechas de seguridad
- Las transferencias internacionales.
- Los procedimientos de resolucin de conflictos, sin perjuicio
actuaciones APD y Tribunales
- Los mecanismos de control del cumplimiento del Cdigo, sin
perjuicio competencias APD
 CDIGOS DE CONDUCTA

PROCEDIMIENTOS DE ELABORACIN Y ADOPCIN

Elaboracin por las asociaciones u organizaciones (promotores) que deben

consultar con todas las partes interesadas, incluidos los interesados cuando
sea posible y tener en cuenta sus consideraciones
CDIGOS DE MBITO EXCLUSIVAMENTE NACIONAL
La autoridad de proteccin de datos competente evaluar si es conforme
al RGPD y si ofrece garantas suficientes y lo aprobar
Publicidad y Registro del Cdigo por la APD
CDIGOS QUE AFECTAN A TRATAMIENTOS EN VARIOS ESTADOS UE
La APD competente, antes de su aprobacin, lo enviar al CEPD para:
a) dictamen sobre su adecuacin al RGPD (el art. 64.1 slo hace
referencia a este tipo de decisin en el mecanismo de coherencia)
y/o
b) dictamen sobre las garantas ofrecidas para las T.I. D.
- El CEPD enviar el dictamen favorable a la Comisin, que decidir sobre
si el cdigo tiene validez dentro de la UE y, en ese caso, le dar
publicidad,
- El CEPD llevar un registro de los cdigos y los pondr a disposicin
pblica
 CDIGOS DE CONDUCTA

SUPERVISIN

El control obligatorio de cumplimiento del cdigo

podr ser llevado a cabo por un organismo con el
nivel de pericia adecuado en relacin con el objeto
del cdigo y que haya sido ACREDITADO POR LA APD
COMPETENTE
Tomar medidas adecuadas en caso de infraccin del
cdigo (suspensin o expulsin del infractor del
cdigo)
Informar de las sanciones y de los motivos a la APD
competente
El incumplimiento de sus obligaciones implica
sancin de hasta 10 M.
No se aplica a los tratamientos pblicos
 CDIGOS DE CONDUCTA
ACREDITACIN DE LOS ORGANISMOS DE SUPERVISIN
Las APD competentes fijarn los criterios de acreditacin y los
sometern al CEPD para su dictamen a travs del mecanismo
de coherencia

Se podr acreditar a un organismo de supervisin si:

Demuestra independencia y pericia en el objeto del cdigo
Establece procedimientos para evaluar la idoneidad de los
responsables y encargados para aplicar el cdigo, supervisar
su cumplimiento y examinar peridicamente su aplicacin
Establece procedimientos y estructuras para tramitar
reclamaciones que sean transparentes para los interesados y
el pblico
Demuestra que no hay conflicto de intereses

La APD revocar la acreditacin si no se cumplen las

condiciones de acreditacin o si el organismo infringe el RGPD
 CDIGOS DE CONDUCTA

EFECTOS

Podr servir de elemento para demostrar el

cumplimiento de las obligaciones del responsable

El cumplimiento de los cdigos se tendr en cuenta a

efectos de evaluar el impacto en proteccin de datos
de las operaciones de tratamiento (PIAS)

Podr servir de elemento para demostrar el

cumplimiento de las obligaciones sobre medidas de
seguridad

Podr servir de elemento para demostrar que el

encargado adherido a un cdigo ofrece garantas
suficientes (encargado o subencargado)

Garantas suficientes para realizar T.I.D.

Se tendr en cuenta a la hora de sancionar

 CDIGOS DE CONDUCTA

Inscritos actualmente en el Registro General de

Proteccin de Datos
Cdigo Tipo de Fichero Histrico de Seguros del Automvil (UNESPA) 2000
Cdigo Tipo de Uni Catalana DHospitals (UCH) 2002
Cdigo Tipo de Comercio Electrnico y Publicidad Interactiva (AUTOCONTROL-AECE-IAB 2002
SPAIN)
Cdigo Tipo de Odontlogos y Estomatlogos de Espaa 2004
Cdigo Tipo Universidad de Castilla-La Mancha 2004
Cdigo Tipo de la Asociacin Catalana de Recursos Asistenciales (ACRA) 2004
Cdigo Tipo del Sector de la Intermediacin Inmobiliaria. Asociacin Empresarial de 2004
Gestin Inmobililaria (AEGI)
Cdigo Tipo Farmaindustria 2009
Cdigo Tipo del Fichero de Automviles de Prdida Total, Robo e Incendios (UNESPA) 2011
Cdigo Tipo para el tratamiento de datos de carcter personal para establecimientos 2011
sanitarios privados de la provincia de Sevilla (REAL E ILUSTRE COLEGIO DE
FARMACUTICOS DE SEVILLA)
 CDIGOS DE CONDUCTA

Cdigo Tipo de proteccin de datos personales del fichero ASNEF PROTECCIN (ASNEF 2015
PROTECCIN)
Cdigo Tipo del tratamiento de datos de carcter personal aplicable al tratamiento de 2015
datos de la Oficina de Farmacia (Colegio de Farmacuticos de Barcelona)

Cdigo Tipo para el tratamiento de datos de carcter personal (ASOCIACIN NACIONAL 2015
DE ENTIDADES DE GESTIN DE COBRO-ANGECO)
Cdigo Tipo de proteccin de datos para Organizaciones Sanitarias 2016

Inscritos en Registros Autonmicos de Proteccin de Datos e incluidos en el Registro General

de Proteccin de Datos

Cdigo Tipo para las entidades locales adheridas a EUDEL (Asociacin de Municipios 2009
Vascos-Euskadiko Udalen Elkartea)

ADAPTACIN: MODIFICACIN
CERTIFICACIONES, SELLOS Y MARCAS
 MECANISMOS DE CERTIFICACIN,
SELLOS Y MARCAS
Objeto:
Demostrar el cumplimiento del RGPD por responsables y
encargados y/o
Proporcionar garantas adecuadas para las T.I.D.
De manera que permitan evaluar con mayor rapidez el nivel
de proteccin de datos de productos y servicios

Se tendrn en cuanta las necesidades especficas de las PYMES

y micropymes

No limitar la responsabilidad de los responsables o

encargados en cuanto al cumplimiento del RGPD, con arreglo a
las competencias de las APD

Carcter voluntario y disponible de manera transparente

Los Estados, APDs, CEPD y la Comisin obligados a impulsar su

elaboracin, especialmente en el mbito de la UE
 MECANISMOS DE CERTIFICACIN,
SELLOS Y MARCAS
Expedicin de la certificacin por:
Un organismo de certificacin acreditado
La APD competente
CEPD

Criterios de certificacin han de ser aprobados por:

La APD competente
CEPD, que dar lugar una certificacin comn: Sello Europeo de
Proteccin de Datos

Los responsables y encargados facilitarn toda la informacin y acceso

a las actividades de tratamiento al organismo de certificacin

Validez por 3 aos, renovable en las mismas condiciones

La expedicin y renovacin de una certificacin por un organismo de

certificacin habr de comunicarse previamente a la APD, que podr
retirarla u ordenar que no se expida

Se retirar por el organismo de certificacin, y en su caso por la APD, si

no se cumplen los requisitos de la certificacin
 MECANISMOS DE CERTIFICACIN,
SELLOS Y MARCAS

ORGANISMOS DE CERTIFICACIN
Tendrn un nivel adecuado de pericia en proteccin de datos y
estar acreditados por
ORGANISMOS DE ACREDITACIN
La APD competente y/o
El organismo nacional de acreditacin (ENAC Reglamento
765/2008) con arreglo a la norma EN ISO/IEC 17065/2012
y los requisitos establecidos por la APD competente
El CEPD

Criterios de acreditacin aprobados por:

La APD competente
El CEPD

Cuando se trate de organismos nacionales de acreditacin, estos

criterios complementarn a los del Reglamento (CE) 765/2008 y
las normas tcnicas de los mtodos y procedimientos de los
organismos de certificacin
 MECANISMOS DE CERTIFICACIN,
SELLOS Y MARCAS

ACREDITACIN DE LOS ORGANISMOS DE CERTIFICACIN

Se acreditarn organismos de certificacin si:
Demuestran independencia y pericia en el objeto de la
certificacin
Se comprometen a respetar los criterios de certificacin
Establecen procedimientos para la expedicin, revisin
peridica y retirada de certificaciones, sellos y marcas
Establecen procedimientos y estructuras para tramitar
reclamaciones relativas a infracciones de la certificacin
por responsables/encargados, que sean transparentes
para los interesados y el pblico
Demuestran que no hay conflicto de intereses
La acreditacin es vlida por 5 aos mximo, renovable en
las mismas condiciones. La APD competente o el organismo
nacional las revocarn si no se cumplen las condiciones de
la acreditacin o si el organismo de certificacin incumple
el RGPD
 MECANISMOS DE CERTIFICACIN,
SELLOS Y MARCAS
ORGANISMOS DE CERTIFICACIN

Responsables de la correcta evaluacin de la

certificacin y de su retirada. No exime a los
responsables o encargados de responsabilidad por el
incumplimiento del RGPD

El CEPD dispondr de un registro pblico de los

certificados, sellos y marcas, los organismos
acreditados y responsables y encargados acreditados
(certificados) establecidos en terceros pases cuando
sirven de garantas para las T.I.D.

El incumplimiento de sus obligaciones es sancionable

con de hasta 10 M.
 MECANISMOS DE CERTIFICACIN,
SELLOS Y MARCAS

Las APD harn pblicos los criterios y requisitos de

acreditacin y de certificacin de forma fcilmente
accesible y los comunicarn al CEPD

La Comisin podr adoptar actos delegados para

especificar las condiciones a tener en cuenta en los
mecanismos de certificacin en materia de proteccin
de datos, previo dictamen del CEPD sobre los
requisitos de certificacin

La Comisin podr establecer normas tcnicas para

los certificados, sellos y marcas y mecanismos para
promoverlos y reconocerlos (actos de ejecucin)
 MECANISMOS DE CERTIFICACIN,
SELLOS Y MARCAS

EFECTOS

Podr servir de elemento para demostrar el cumplimiento

de las obligaciones del responsable

Elemento que acredite el cumplimiento de la privacidad

desde el diseo y por defecto

Podr servir de elemento para demostrar el cumplimiento

de las obligaciones sobre medidas de seguridad

Podr utilizarse como elemento para demostrar que los

encargados/subencargados ofrecen garantas suficientes

Garantas suficientes para realizar T.I. de datos

Se tendr en cuenta a la hora de sancionar

TRANSFERENCIAS INTERNACIONALES
 TRANSFERENCIAS INTERNACIONALES
DE DATOS
Pases

Territorios
Nivel Adecuado
Sectores

Organismos Internacionales
T.I.D. EN EL RGPD

Instrumento jurdico vinculante y exigible entre Autoridades

BCR
Clusulas tipo (Comisin)

Garantas Clusulas tipo (APD + Comisin)

adecuadas Cdigo de Conducta

Mecanismo de certificacin
Contrato Ad hoc

Acuerdos administrativos entre Autoridades

Consentimiento del interesado

Excepciones Contrato entre interesado y responsable

art. 49 ()

Inters legtimo del responsable o encargado

 TRANSFERENCIAS INTERNACIONALES
DE DATOS

TRANSFERENCIAS NO AUTORIZADAS: las

transferencias o comunicaciones solicitadas por
sentencia judicial o decisin de autoridades
administrativas slo sern reconocidas como
ejecutables si se basan en un acuerdo
internacional vigente entre el pas tercero y la
UE o un EM, sin perjuicio de las dems causas
que legitiman las transferencias
 TRANSFERENCIAS INTERNACIONALES
DE DATOS
NIVEL ADECUADO DE PROTECCIN
DECISIN EXCLUSIVA DE LA COMISIN EUROPEA ATENDIENDO AL
ESTADO DE DERECHO
Legislacin pertinente, general y sectorial: Seguridad pblica, defensa
y seguridad nacionales y penal, acceso autoridades a los datos (su
aplicacin)
Normas sobre proteccin de datos profesionales y medidas de
seguridad
Jurisprudencia
Derechos efectivos y exigibles (recursos administrativos y judiciales
efectivos)
APD INDEPENDIENTES
Garanticen cumplimiento normativa
Poder de ejecucin (sancionador)
Asistan, asesoren a los interesados y cooperen con APD de la UE y de
los EM
COMPROMISOS INTERNACIONALES ASUMIDOS
Participacin sistemas multilaterales o regionales sobre proteccin de
datos
 TRANSFERENCIAS INTERNACIONALES
DE DATOS

NIVEL ADECUADO DE PROTECCIN

La decisin establecer un mecanismo de revisin

peridica, al menos cada 4 aos
La Comisin debe consultar al CEPD
La Comisin supervisa y evala su aplicacin informando
al CEPD y al P.E.

LAS DECISIONES DE ADECUACIN ADOPTADAS POR LA

COMISIN EUROPEA SEGN LA DIRECTIVA 95/46
MANTENDRN SU VIGENCIA HASTA SU MODIFICACIN,
SUSTITUCIN O DEROGACIN
Suiza, Argentina, Guernsey, Man, Jersey, Islas Feroe,
Andorra, Israel, Uruguay y Nueva Zelanda
Canad (ley canadiense Personal Information and
Electronic Documents Act)
USA (SAFE HARBOUR) INVALIDADA TJUE. PRXIMO
PRIVACY SHIELD
 TRANSFERENCIAS INTERNACIONALES
DE DATOS
GARANTAS ADECUADAS
a) Instrumento jurdicamente vinculante y exigible entre autoridades y
organismos pblicos
b) BCR
c) Clusulas estndar adoptadas por la Comisin Europea
d) Clusulas estndar adoptadas por una APD y aprobadas por la
Comisin (el art. 64.1.d las incluye en el sistema de coherencia)
e) Cdigos de conducta, junto con compromisos vinculantes y exigibles
del responsable o encargado en el tercer pas, por va contractual o
por instrumento jurdicamente vinculante para aplicar las garantas,
incluidas las de los derechos de los interesados
f) Mecanismos de certificacin (igual que los cdigos de conducta)
g) Clusulas ad hoc entre el exportador e importador. Requiere
autorizacin de las APD que las someter al mecanismo de coherencia
h) Acuerdos administrativos entre autoridades y organismos pblicos
que incluyan derechos efectivos y exigibles para los interesados
(MoU). Requiere autorizacin APD y mecanismo de coherencia (el art.
64.1 no lo contempla)
Las decisiones de la Comisin sobre clusulas estndar adoptadas
continuarn en vigor hasta su modificacin, sustitucin o derogacin
 TRANSFERENCIAS INTERNACIONALES
DE DATOS
BCR
RECONOCIDAS POR PRIMERA VEZ EN LA NORMATIVA
DE PROTECCIN DE DATOS EUROPEA
SE CONFIGURAN COMO UNA DE LAS GARANTAS
APROPIADAS PARA PODER REALIZAR
TRANSFERENCIAS INTERNACIONALES DE DATOS SIN
NECESIDAD DE AUTORIZACIN ESPECFICA
NO DISTINGUE ENTRE BCR DE RESPONSABLES Y DE
ENCARGADOS
APROBACIN POR LA AUTORIDAD DE CONTROL
COMPETENTE POR EL MECANISMO DE COHERENCIA
REQUISITOS
Jurdicamente vinculantes: todos los miembros del
grupo incluidos empleados
Derechos a los afectados
Cumplan el contenido mnimo
 TRANSFERENCIAS INTERNACIONALES
DE DATOS
CONTENIDO MNIMO BCR
Estructura del Grupo y datos de contacto de todos sus miembros
Transferencias, datos, afectados, tratamientos, fines, destino
Carcter jurdicamente vinculante
Principios proteccin de datos (limitacin finalidad, conservacin,
calidad, PbD y por defecto, transferencias ulteriores)
Derechos afectados y medios para ejercerlos en los EM
Aceptacin responsabilidad por actuacin de miembros fuera UE
Forma de informar de las BCR a los interesados
Funciones DPO
Procedimientos de reclamacin
Mecanismos para garantizar la verificacin del cumplimiento
(auditoras y acciones correctivas)
Procedimiento para su modificacin y comunicacin
Mecanismos cooperacin e informacin a las APD
Formacin del personal en proteccin de datos
 TRANSFERENCIAS INTERNACIONALES
DE DATOS
EXCEPCIONES
Consentimiento del interesado, previa informacin sobre los
posibles riesgos
Ejecucin contrato entre interesado y responsable (medidas
precontractuales)
Celebracin o ejecucin contrato en inters del afectado
entre el responsable y un tercero
Motivos importantes de inters pblico (establecido por Ley
nacional o europea)
Ejercicio o defensa de reclamaciones
Inters vital del afectado o de terceros cuando el
interesado est incapacitado
Desde un registro pblico con arreglo al derecho de la
Unin o de los EM
Inters legtimo del responsable sobre el que no prevalezcan
los derechos y libertades del interesado, no repetitivas,
limitadas, evaluacin circunstancias y ofrecimiento garantas
apropiadas (se informar a las APD y al interesado)
 TRANSFERENCIAS INTERNACIONALES
DE DATOS

SIN NECESIDAD DE AUTORIZACIN ESPECFICA

A pases, territorios, sectores u organismos internacionales
declarados de nivel adecuado de proteccin
BCR
Clusulas tipo adoptadas por la Comisin
Clusulas tipo adoptadas por una APD y aprobadas por Comisin
Instrumento jurdicamente vinculante entre autoridades pblicas
Mecanismos de certificacin
Cdigos de conducta
Excepciones
NECESIDAD DE AUTORIZACIN POR LAS APD
Contratos ad hoc
Acuerdos administrativos entre autoridades pblicas

NOTIFICACIN AEPD Y AL INTERESADO

Intereses legtimos prevalentes del responsable

LAS AUTORIZACIONES OTORGADAS Y TRANSFERENCIAS A PASES DE

NIVEL ADECUADO REALIZADAS VIGENTES HASTA SU MODIFICACIN,
SUSTITUCIN O DEROGACIN
www.agpd.es