¿Qué es un CÓDIGO TIPO?

Alguna vez hemos oído hablar de que existen CÓDIGOS TIPO y que hay empresas que están adheridos a ellos y no sabemos muy bien que son, para entender de qué va hay que hacer referencia a la ley.

El artículo 32 de la LOPD dice:

  1. Mediante acuerdos sectoriales, convenios administrativos o decisiones de empresa, los responsables de tratamientos de titularidad pública y privada así como las organizaciones en que se agrupen, podrán formular códigos tipo que establezcan las condiciones de organización, régimen de funcionamiento, procedimientos aplicables, normas de seguridad del entorno, programas o equipos, obligaciones de los implicados en el tratamiento y uso de la información personal, así como las garantías, en su ámbito, para el ejercicio de los derechos de las personas con pleno respeto a los principios y disposiciones de la presente Ley y sus normas de desarrollo.
  2. Los citados códigos podrán contener o no reglas operacionales detalladas de cada sistema particular y estándares técnicos de aplicación. En el supuesto de que tales reglas o estándares no se incorporen directamente al código, las instrucciones u órdenes que los establecieran deberán respetar los principios fijados en aquél.
  3. Los códigos tipo tendrán el carácter de códigos deontológicos o de buena práctica profesional, debiendo ser depositados e inscritos en el Registro General de Protección de Datos y, cuando corresponda, en los creados a estos efectos por las Comunidades Autónomas, de acuerdo con el artículo 41. El Registro General de Protección de Datos podrá denegar la inscripción cuando considere que no se ajusta a las disposiciones legales y reglamentarias sobre la materia, debiendo, en este caso, el Director de la Agencia Española de Protección de Datos requerir a los solicitantes para que efectúen las correcciones oportunas.

Qué debe incluir un CÓDIGO TIPO

En relación con el contenido del código tipo, a continuación se relacionan los aspectos mínimos que deberá desarrollar el código tipo.
1. Introducción

  • Se desarrollará en una exposición de motivos, las razones que han conducido al desarrollo del código y se enumerarán los valores añadidos que aporta el cumplimiento del código.

2. Ámbito de aplicación

  • Será necesaria la presentación de la entidad que promueve el código tipo.
  • El código ofrecerá información clara y concisa a los afectados o titulares de los datos objeto del tratamiento.
  • Deberá singularizarse los ficheros objeto del código tipo, que permitirá la determinación clara y precisa de los afectados. Haciendo especial hincapié en el caso de contener datos especialmente protegidos, y/o tener prevista la comunicación de datos a terceros, tanto en el caso de cesiones como de transferencias internacionales de datos.

3. Principios específicos del sector que representa

  • El código tipo deberá incluir la aplicación de principios específicos en el sector que mejoren las previsiones legales.
  • Deberán acotarse los principios específicos del tratamiento de datos del sector, tales como la calidad de los datos o la legitimación para dichos tratamiento.

4. Definiciones específicas

  • Deberá incluir las definiciones que amplíen conceptos de la Ley, siempre en beneficio del afectado, y especialmente definiciones de carácter técnico del sector involucrado.

5. Condiciones de organización y procedimientos

  • Deberá singularizar los datos personales a tratar.
  • Identificará los posibles destinatarios de cesiones o transferencias internacionales, y las leyes o previsiones que las amparan en el sector.
  • Delimitará las fuentes de recogida de los datos.
  • Explicará la forma de recabar el consentimiento expreso y fehaciente de los afectados.
  • Incluirá las cláusulas informativas, que en cumplimiento del art. 5 de la LOPD, se introduzcan en los cuestionarios de recogida de los datos.
  • Incluirá los modelos para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
  • Podrá incluir un sello de garantía identificativo del código tipo, que hará referencia a la vinculación al código tipo.

6. Medidas de seguridad

  • Respecto a las medidas de seguridad, el código tipo NO es el documento de seguridad. Sí deberá indicar el nivel mínimo de medidas de seguridad que se van a aplicar, haciendo una enumeración de las mismas.

7. Comunicaciones y transferencias internacionales de datos

  • Deberán analizarse las diferentes situaciones que se puedan dar en el sector y el ámbito legal en el que se producen.

8. Procedimiento de autorregulación y control

  • Deberá aclararse que supone una vía opcional, que siempre se podrá acudir a la Agencia Española de Protección de Datos para presentar una reclamación ante el incumplimiento de la LOPD.

9. Régimen sancionador

  • Las sanciones de la LOPD competen a la Agencia Española de Protección de Datos.
  • Establecerá el régimen de sanciones por incumplimiento del código tipo.

10. Relación de adheridos

  • Contendrá la relación de adheridos, así como, el compromiso del titular del código de comunicar altas, bajas o modificaciones de asociados a la Agencia.

11. Marco normativo

  • Deberá establecer el marco normativo general y el específico del sector.

12. Conclusiones

  • Deberá contener un resumen de ventajas y/o garantías que ofrece el código a los titulares de los datos.
  • Modelos para el ejercicio de los derechos.
  • Resumen de obligaciones que deben cumplir los responsables de los ficheros.

Aspectos formales que debe cumplir la solicitud de un CÓDIGO TIPO

La solicitud de inscripción de un código tipo deberá ajustarse a los requisitos establecidos en los artículos 68 y 70 de la Ley 30/1992, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.

  • La solicitud de inscripción en el Registro General de Protección de Datos sólo podrá presentarla persona con representación y poder suficiente para ello, acreditado mediante documentación fehaciente, según lo dispuesto en el artículo 32 de la Ley 30/1992.
  • Para formular un código tipo será necesario que venga precedido de documentación suficiente que acredite que el mismo se presenta mediante un acuerdo sectorial, convenio administrativo o decisión de empresa.
  • Deberá acompañarse de copia de los estatutos que regulan el marco jurídico de las organizaciones que agrupan a los responsables de ficheros o tratamientos.
  • Deberá acreditarse el interés de los miembros de la asociación o del sector que representa en el desarrollo del código tipo.
  • El titular del código tipo deberá representar a un sector de actividad o a una asociación con entidad suficiente dentro del sector.
  • Deberá constar definido el procedimiento y normas que se apliquen para la adhesión al mismo de los responsables de ficheros o tratamientos.

El código tipo hará constar el compromiso, por otra parte ineludible, de sus adheridos de cumplir con los preceptos legales establecidos por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y las normas que la desarrollan.

Conclusiones

Un Código Tipo (CT) no puede ser realizado por cualquiera, debe existir algún ente que agrupe y obligue a un determinado colectivo a implementar y respetar el CT, esto es lo que hace difícil que determinados colectivos se pongan de acuerdo para redactar un CT. El que exista un CT para un determinado sector no quiere decir que sea de obligatorio cumplimiento para todas las empresas de ese sector, se podrán adherir al CT las empresas que deseen hacerlo, pero una vez inscritos sí que se debe cumplir en su totalidad. El disponer de un CT no implica que la protección de datos ya este realizada, solo indica que hay una serie de normas y requerimientos que ya están fijados y determinados, pero se debe realizar todo el proceso normal de implementación de un proyecto de LOPD (como se vio en el boletín anterior), solo que la mayoría de normas que se incluirán en el Documento de Seguridad serán las indicadas en el CT. Por todos estos motivos podemos ver que la implementación de los CT ha sido baja y solo existen en la actualidad nueve registrados en la AEPD.

Publicado en Consultas, LOPD

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*