Cómo demostrar el cumplimiento del artículo 40 del RGPD

RGPD Artículo 40 aborda explícitamente la necesidad de que las organizaciones redacten un código de conducta (o varios códigos de conducta) que sea exclusivo de su negocio y aplicable a las diversas funciones que contiene.

Los códigos de respaldo pueden involucrar escenarios como el uso de datos personales con fines de marketing o de atención médica.

RGPD Artículo 40 Texto Legal

Versión del RGPD de la UE

Códigos de Conducta

1. Los Estados miembros, las autoridades de control, la Junta y la Comisión fomentarán la elaboración de códigos de conducta destinados a contribuir a la correcta aplicación del presente Reglamento, teniendo en cuenta las características específicas de los distintos sectores de transformación y las necesidades específicas de las microempresas. , pequeñas y medianas empresas.
2. Las asociaciones y otros organismos que representen categorías de responsables o encargados del tratamiento podrán elaborar códigos de conducta, o modificarlos o ampliarlos, con el fin de especificar la aplicación del presente Reglamento, por ejemplo con respecto a:
• (a) procesamiento justo y transparente;
• (b) los intereses legítimos perseguidos por los responsables del tratamiento en contextos específicos;
• (c) la recopilación de datos personales;
• (d) la seudonimización de datos personales;
• (e) la información proporcionada al público y a los interesados;
• (f) el ejercicio de los derechos de los interesados;
• g) la información proporcionada a los niños y su protección, y la forma en que debe obtenerse el consentimiento de los titulares de la responsabilidad parental sobre los niños;
• h) las medidas y procedimientos a que se refieren los artículos 24 y 25 y las medidas para garantizar la seguridad del tratamiento a que se refiere el artículo 32;
• (i) la notificación de violaciones de datos personales a las autoridades de control y la comunicación de dichas violaciones de datos personales a los interesados;
• (j) la transferencia de datos personales a terceros países u organizaciones internacionales; o
• k) procedimientos extrajudiciales y otros procedimientos de resolución de conflictos entre responsables y interesados ​​en relación con el tratamiento, sin perjuicio de los derechos de los interesados ​​en virtud de los artículos 77 y 79.
3. Además de la adhesión por parte de los responsables o encargados del tratamiento sujetos al presente Reglamento, los responsables o encargados del tratamiento que no estén sujetos al presente artículo también podrán adherirse a los códigos de conducta aprobados de conformidad con el apartado 5 del presente artículo y que tengan validez general de conformidad con el apartado 9 del presente artículo. Reglamento con arreglo al artículo 3 a fin de proporcionar las garantías adecuadas en el marco de las transferencias de datos personales a terceros países u organizaciones internacionales en los términos a que se refiere el artículo 46, apartado 2, letra e). Dichos controladores o procesadores asumirán compromisos vinculantes y exigibles, a través de instrumentos contractuales u otros instrumentos legalmente vinculantes, para aplicar esas salvaguardias apropiadas, incluso con respecto a los derechos de los interesados.
4. El código de conducta a que se refiere el apartado 2 del presente artículo contendrá mecanismos que permitan al organismo a que se refiere el artículo 41, apartado 1, llevar a cabo el control obligatorio del cumplimiento de sus disposiciones por parte de los responsables o encargados del tratamiento que se comprometan a aplicarlo, sin perjuicio de las funciones y competencias de las autoridades de control competentes con arreglo a los artículos 55 o 56.
5. Las asociaciones y otros organismos mencionados en el apartado 2 del presente artículo que tengan la intención de preparar un código de conducta o modificar o ampliar un código existente presentarán el proyecto de código, la modificación o la ampliación a la autoridad de control que sea competente de conformidad con el artículo 55. La autoridad de control emitirá un dictamen sobre si el proyecto de código, modificación o ampliación se ajusta al presente Reglamento y aprobará dicho proyecto de código, modificación o ampliación si considera que ofrece garantías suficientes y adecuadas.
6. Cuando el proyecto de código, su modificación o ampliación se apruebe de conformidad con el apartado 5, y cuando el código de conducta en cuestión no esté relacionado con actividades de tratamiento en varios Estados miembros, la autoridad de control registrará y publicará el código.
7. Cuando un proyecto de código de conducta se refiera a actividades de tratamiento en varios Estados miembros, la autoridad de control competente con arreglo al artículo 55, antes de aprobar el proyecto de código, su modificación o su ampliación, lo presentará a la Junta mediante el procedimiento previsto en el artículo 63. que emitirá un dictamen sobre si el proyecto de código, modificación o ampliación se ajusta al presente Reglamento o, en la situación contemplada en el apartado 3 del presente artículo, proporciona las garantías adecuadas.
8. Cuando el dictamen mencionado en el apartado 7 confirme que el proyecto de código, modificación o ampliación se ajusta al presente Reglamento o, en la situación mencionada en el apartado 3, proporciona garantías adecuadas, la Junta presentará su dictamen a la Comisión.
9. La Comisión podrá, mediante actos de ejecución, decidir que el código de conducta aprobado, la modificación o la ampliación que se le presente de conformidad con el apartado 8 del presente artículo tenga validez general en la Unión. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen establecido en el artículo 93, apartado 2.
10. La Comisión garantizará una publicidad adecuada de los códigos aprobados que se haya decidido que tienen validez general de conformidad con el apartado 9.
11. La Junta recogerá en un registro todos los códigos de conducta, modificaciones y ampliaciones aprobados y los pondrá a disposición del público por los medios adecuados.

Versión del RGPD del Reino Unido

Códigos de Conducta

1. El Comisario fomentará la elaboración de códigos de conducta destinados a contribuir a la correcta aplicación del presente Reglamento, teniendo en cuenta las características específicas de los distintos sectores transformadores y las necesidades específicas de las micro, pequeñas y medianas empresas.
2. Las asociaciones y otros organismos que representen categorías de responsables o encargados del tratamiento podrán elaborar códigos de conducta, o modificarlos o ampliarlos, con el fin de especificar la aplicación del presente Reglamento, por ejemplo con respecto a:
• (a) procesamiento justo y transparente;
• (b) los intereses legítimos perseguidos por los responsables del tratamiento en contextos específicos;
• (c) la recopilación de datos personales;
• (d) la seudonimización de datos personales;
• (e) la información proporcionada al público y a los interesados;
• (f) el ejercicio de los derechos de los interesados;
• g) la información proporcionada a los niños y su protección, y la forma en que debe obtenerse el consentimiento de los titulares de la responsabilidad parental sobre los niños;
• h) las medidas y procedimientos a que se refieren los artículos 24 y 25 y las medidas para garantizar la seguridad del tratamiento a que se refiere el artículo 32;
• (i) la notificación de violaciones de datos personales al Comisionado y la comunicación de dichas violaciones de datos personales a los interesados;
• (j) la transferencia de datos personales a terceros países u organizaciones internacionales; o
• k) procedimientos extrajudiciales y otros procedimientos de resolución de conflictos entre responsables y interesados ​​en relación con el tratamiento, sin perjuicio de los derechos de los interesados ​​en virtud de los artículos 77 y 79.
3. Además de la adhesión por parte de los responsables o encargados del tratamiento sujetos al presente Reglamento, los responsables o encargados del tratamiento que no estén sujetos al presente artículo también podrán adherirse a los códigos de conducta aprobados de conformidad con el apartado 5 del presente artículo y que tengan validez general de conformidad con el apartado 9 del presente artículo. Reglamento con arreglo al artículo 3 a fin de proporcionar las garantías adecuadas en el marco de las transferencias de datos personales a terceros países u organizaciones internacionales en los términos a que se refiere el artículo 46, apartado 2, letra e). Dichos controladores o procesadores asumirán compromisos vinculantes y exigibles, a través de instrumentos contractuales u otros instrumentos legalmente vinculantes, para aplicar esas salvaguardias apropiadas, incluso con respecto a los derechos de los interesados.
4. El código de conducta a que se refiere el apartado 2 del presente artículo contendrá mecanismos que permitan al organismo a que se refiere el artículo 41, apartado 1, llevar a cabo el control obligatorio del cumplimiento de sus disposiciones por parte de los responsables o encargados del tratamiento que se comprometan a aplicarlo, sin perjuicio de las funciones y competencias del Comisario.
5. Las asociaciones y otros organismos mencionados en el apartado 2 de este artículo que tengan la intención de preparar un código de conducta o modificar o ampliar un código existente presentarán el proyecto de código, la enmienda o la ampliación al Comisionado. El Comisionado emitirá una opinión sobre si el proyecto de código, enmienda o ampliación cumple con el presente Reglamento y aprobará dicho proyecto de código, enmienda o ampliación si considera que ofrece garantías suficientes y apropiadas.
6. Cuando el proyecto de código, o la enmienda o ampliación se apruebe de conformidad con el párrafo 5, el Comisionado registrará y publicará el código.