TRANSFERENCIA A UN TERCER PAÍS
Códigos de conducta según el RGPD
Se puede permitir la transferencia de datos personales a un tercer país, es decir, un país fuera del área de la UE / EEE, si el destinatario de los datos personales se ha adherido a un código de conducta aprobado. Lo mismo se aplica a las certificaciones aprobadas. Tenga en cuenta que debe implicar obligaciones que sean exigibles. Además, las obligaciones deben ser jurídicamente vinculantes para dar lugar a una transferencia autorizada. Esto también se aplica cuando el destinatario de los datos personales ha suscrito códigos de conducta o mecanismos de certificación aprobados.
Directrices del Comité Europeo de Protección de Datos
El Comité Europeo de Protección de Datos (CEPD) ha elaborado directrices para cuando las empresas transfieren datos personales a un tercer país y el destinatario se ha unido a uno aprobado:
- Código de conducta:Directrices 04/2021 sobre los códigos de conducta como herramientas para las transferencias
- Mecanismo de certificación:Directrices 07/2022 sobre la certificación como herramienta para las transferencias
Las directrices contienen, entre otras cosas, información sobre cómo es el proceso para obtener códigos de conducta aprobados y detalles de lo que implica, orientación, etc.
A continuación explicamos lo que significa un código de conducta bajo el RGPD.
Códigos de conducta en virtud del RGPD como salvaguardia adicional
Diferentes industrias pueden tener instrucciones específicas sobre cómo aplicar y cumplir con el RGPD, también conocido como el Reglamento General de Protección de Datos. Así pues, un código de conducta puede equipararse a un tipo de código normativo, que debe aplicarse voluntariamente en un determinado sector o industria. De esta manera, las empresas que se unan a él pueden obtener instrucciones prácticas sobre cómo cumplir con RGPD en la práctica. Tanto los controladores como los procesadores pueden adherirse a un código de conducta.
No es una autoridad de protección de datos o el European Data Protection Boar (EDPB) quien crea códigos de conducta. En cambio, es común que las asociaciones que representan a una industria en particular lo hagan, y crean el código de conducta. El uso del código de conducta beneficia tanto a las empresas más pequeñas como a las más grandes. En algunos casos, el código de conducta es internacional y en otros casos nacional.
Requisitos previos para un código de conducta
La organización que crea el código de conducta debe tener un estatuto jurídico adecuado. Además, el proyecto de código de conducta debe consistir en normas vinculantes y concretas sobre la aplicación del RGPD en la práctica. Estos son los requisitos previos básicos para un código de conducta bajo el RGPD.
El código de conducta debe ser aprobado por una autoridad de protección de datos
Antes de que un código de conducta desarrollado pueda comenzar a aplicarse, primero debe ser aprobado por una autoridad de protección de datos. Para ser aprobado, la autoridad de protección de datos debe decidir que el código de conducta contribuye al tratamiento efectivo y correcto de los datos personales y a la aplicación de las demás normas del RGPD. A continuación puede leer más sobre el proceso para solicitar la aprobación de un código de conducta.
Solicitud de código de conducta
El primer paso se refiere a la evaluación de la admisibilidad de la organización que solicita el código de conducta. Debe ser un agente, asociación u otro organismo que represente a categorías de responsables o encargados del tratamiento. Un requisito previo básico es que el solicitante del código de conducta debe tener un estatuto jurídico adecuado en relación con los agentes a los que se pretende aplicar el código de conducta.
En la segunda fase, la autoridad de protección de datos evalúa el proyecto de código de conducta. En particular, examinan si el proyecto cumple las condiciones establecidas en las instrucciones del CEPD. Si se cumplen las condiciones, se informa al solicitante de esto y se puede iniciar el siguiente paso en el proceso. Si no se cumplen las condiciones, también se informará al solicitante de ello y de los motivos de la decisión.
En la tercera fase, el código de conducta será evaluado por la autoridad de protección de datos. Examinan si cumple los requisitos para ser aprobado de acuerdo con las instrucciones del CEPD. A continuación, se informará al solicitante del código de conducta del resultado de la decisión de la autoridad de protección de datos en esta fase.
Revisión del proyecto de código de conducta
Si la autoridad de protección de datos no da su consentimiento, el solicitante tiene la oportunidad de revisar su proyecto sobre la base de las observaciones de la autoridad de protección de datos. Luego pueden presentar un borrador actualizado para un reexamen para su aprobación.
Registro y publicación de un código de conducta aprobado
Si la autoridad de protección de datos aprueba un código de conducta después de completar y completar el proceso de solicitud, se registrará en el registro de la autoridad de protección de datos y se publicará en su sitio web. Además, el código de conducta aprobado también se presenta al CEPD para su publicación.
Enmiendas a un código de conducta aprobado
En caso de cambios importantes en un código de conducta ya aprobado, deberá presentarse una solicitud de aprobación de los cambios a la autoridad de protección de datos. Un ejemplo de cambio sustancial es la adición de nuevas disposiciones al código de conducta. Cualquier cambio sustancial de este tipo debe ser aprobado primero por la autoridad de protección de datos para que surta efecto.
Sin embargo, es posible realizar cambios menores, sin la necesidad de dicha aprobación previa. Un requisito previo es que los cambios menores no repercutan en la aplicación del código de conducta.
MÁS INFORMACIÓN SOBRE LAS TRANSFERENCIAS A UN TERCER PAÍS
Mecanismos de certificación y certificación
Una certificación es una herramienta que puede utilizarse para contribuir a una sólida protección de datos. Los mecanismos de certificación y certificación son un tipo de salvaguardia adicional en virtud del RGPD. Hay algunos criterios específicos para que un operador sea certificado. Una vez que un actor está certificado, recibe un sello europeo de protección de datos. Un certificado significa que el tratamiento de datos personales cumple los criterios de un sistema de certificación. Para ser certificado y obtener un certificado, una solicitud de certificación debe presentarse a un organismo de certificación acreditado e independiente.