05TC4 – Responsable y Encargado del Tratamiento (Título V de la LO 3/2018 y Capítulo IV del RGPD)
05TC403 – Códigos de Conducta y Certificación (Artículos 40-43 del RGPD y Artículos 37-39 de la LO 3/2018)
Códigos de Conducta y Certificación
(Artículos 40-43 del RGPD y Artículos 37-39 de la LO 3/2018)
Fomento de Códigos de Conducta
La Agencia Española de Protección de Datos (AEPD), como autoridad de control, tiene entre sus funciones:
Alentar la elaboración de códigos de conducta.
Dictaminar y aprobar los códigos que proporcionen suficientes garantías en el tratamiento de datos.
Elaborar y publicar los requisitos para acreditar organismos de supervisión de estos códigos.
La Presidencia de la AEPD podrá:
Solicitar colaboración de dichos organismos de supervisión para:
Elaborar directrices generales o específicas.
Asegurar la adaptación plena al RGPD y la LO 3/2018.
Mecanismos de Certificación de la Protección de Datos y Sellos
Entre las funciones de la AEPD se encuentra:
Fomentar la creación de mecanismos de certificación, así como sellos y marcas de protección de datos.
Aprobar los criterios que deben cumplir dichos mecanismos.
Revisar periódicamente las certificaciones concedidas a responsables o encargados del tratamiento, si procede.
Además, la AEPD debe:
Elaborar y publicar requisitos para la acreditación de organismos de certificación.
Efectuar la acreditación de esos organismos.
Como poder correctivo, la AEPD puede:
Retirar una certificación ya emitida.
Ordenar al organismo de certificación que retire una certificación cuando no se cumplan los requisitos.
Impedir la emisión de una certificación si no se cumplen o han dejado de cumplirse los requisitos necesarios.
Normas Corporativas Vinculantes
La AEPD también tiene competencia para aprobar normas corporativas vinculantes, las cuales están:
Definidas en el artículo 4 del RGPD como: “Las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro, para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta.”