Resumen directrices 04/2021 sobre códigos de conducta como instrumentos para TID


Manuel Castilleja Toscano     14/03/2022


El objetivo de estas directrices es especificar la aplicación del artículo 40.3 del GDPR relativo a los códigos de conducta como garantías adecuadas para las transferencias de datos personales a terceros países (TID) de conformidad con el artículo 46.2.e) del GDPR; complementan las Directrices EDPB 1/2019 sobre códigos de conducta y organismos de supervisión del GDPR que establecen el marco general para la adopción de códigos de conducta.

En ellas se indica que una vez aprobado por la Autoridad de Control (AC) competente y habiendo obtenido validez general en la UE por parte de la Comisión, se podrán adherir y utilizar un código de conducta Responsables (RT)/Encargados(ET) del tratamiento no sujetos al GDPR ubicados en terceros países con el fin de proporcionar garantías adecuadas a los datos transferidos. Dichos RT/ET están obligados a asumir compromisos vinculantes y exigibles, a través de instrumentos contractuales u otros instrumentos legalmente vinculantes, para aplicar las garantías apropiadas proporcionadas por el código, incluso con respecto a los derechos de los interesados, según lo exige el artículo 40.3.

Con el fin de establecer esos compromisos vinculantes, el importador de datos podría firmar un contrato en el tercer país con, el exportador de datos. Para ello, podría utilizar un contrato existente, si lo hubiera (por ejemplo, un acuerdo de servicio entre el exportador y el importador de datos o el contrato que se establecerá de conformidad con el artículo 28 del GDPR en el caso de ET importadores) en el que se podrían incluir los compromisos vinculantes y exigibles. Otra opción podría ser basarse en un contrato separado agregando al código destinado a las TID que luego tendrían que firmar, por ejemplo, los RT/ET en el tercer país y todos sus exportadores de datos.

Cuando el código de conducta se utilice para TID y TID posteriores de un ET a SubET, también se debe hacer una referencia al código de conducta y al instrumento que establece compromisos vinculantes y exigibles en el acuerdo del ET firmado con su RT, cuando sea posible.

El código incluirá una cláusula de jurisdicción en la que se señale que los interesados tendrán la posibilidad, en caso de infracción de las normas del código por parte de un miembro del código fuera del EEE, de presentar una reclamación, invocando su derecho de tercero beneficiario, incluida la compensación, contra esa entidad ante una AC del EEE y un tribunal del EEE de la residencia habitual del interesado.

Las Directrices proporcionan algunos ejemplos y recogen que los códigos destinados a las TID podrían, por ejemplo, ser elaborados por organismos que representen a un sector (p. Ej. una asociación/federación del sector bancario y financiero, sector de seguros), pero también podrían elaborarse para sectores separados que tengan una actividad de tratamiento común que comparta la mismas características y necesidades de tratamiento (p. ej. código de RRHH elaborado por asociación/federación de profesionales de RRHH, o código sobre datos de menores). Permitirán, en particular, que un RT o ET ubicado en un tercer país proporcione las garantías adecuadas para múltiples TID a un tercer país propias de un sector o actividad de tratamiento de datos. Además, las entidades que utilizan los códigos de conducta no necesitan estar dentro del mismo grupo para enmarcar sus TID (como es el caso de las BCR).

Los grupos de empresas que transfieren datos de entidades sujetas al GDPR a aquellas fuera del EEE también pueden usar un código de conducta como herramienta de TID cuando las entidades fuera del EEE se han adherido a ese código destinado a TID y han asumido compromisos vinculantes y exigibles relacionados a la transferencia. El código de conducta también presenta beneficios para abordar múltiples TID con una sola herramienta en comparación con soluciones (totalmente) contractuales como los SCC.

También señala que puede ser probable que los códigos destinados a las TID sean utilizados por entidades para enmarcar TID desde más de un Estado miembro y considerando que dichos códigos de conducta deben tener validez general de acuerdo con el artículo 40.9 del GDPR, como tales, estos calificarían como "códigos transnacionales" tal como se definen en las Directrices 1/2019.

Un código de conducta puede redactarse originalmente solo con el fin de especificar la aplicación del GDPR de conformidad con el artículo 40.2 o también como un código destinado para las TID de conformidad con el artículo 40.3.

Debe haber un organismo de supervisión como parte de un código destinado a las TID, acreditado por la AC competente de conformidad con el artículo 41. Su función será controlar que los RT/ET de terceros países que se han adherido a dicho código cumplen con las reglas establecidas en el código.

Se debe solicitar al EDPB que emita un dictamen sobre el proyecto de decisión de una AC con el fin de aprobar un código destinado a las TID o la modificación de un código de conducta para su uso también como herramienta para TID.

La Comisión podrá decidir, mediante la adopción de un acto de ejecución, que un código destinado a las TID y aprobado por una AC tenga validez general en la UE. Solo los códigos a los que se haya concedido validez general dentro de la UE podrán utilizarse para enmarcar las TID.

De igual forma las directrices recoge en el apartado 2 de su punto 6 una lista de verificación de los elementos que deben incluirse en un código de conducta destinado a las TID.

Directrices 04/2021 sobre Códigos de Conducta como instrumentos para TID

Versión 2.0

Adoptado el 22 de febrero de 2022

Traducción literal del texto original realizada por Privacy Driver, no válida jurídicamente.

14/03/2022

Historial de versiones

Versión 2.0

22 febrero 2022

Adopción de las Directrices tras consulta pública

Versión 1.0

7 julio 2021

Adopción de las Directrices para la consulta pública

RESUMEN EJECUTIVO

El Reglamento (UE) 2016/679 (en adelante GDPR) exige en su artículo 46 que los responsables/encargados del tratamiento establezcan las garantías adecuadas para las transferencias de datos personales a terceros países u organizaciones internacionales (en adelante TID). A tal fin, el GDPR diversifica las garantías adecuadas que pueden utilizar las organizaciones en virtud del artículo 46 para llevar a cabo TID mediante la introducción, entre otros, de códigos de conducta como un nuevo instrumento habilitante (artículos 40.3 y 46.2.e) GDPR). A este respecto, conforme a lo dispuesto en el artículo 40.3, una vez aprobado por la autoridad de control competente y habiendo obtenido validez general en la UE por parte de la Comisión, un código de conducta podrá ser utilizado por los responsables o encargados del tratamiento no sujetos al GDPR ubicado en terceros países, adhiriéndose a él con el fin de proporcionar las garantías adecuadas a los datos transferidos a dichos países. Dichos responsables o encargados del tratamiento están obligados a asumir compromisos vinculantes y exigibles, a través de instrumentos contractuales o legalmente vinculantes, para aplicar las garantías adecuadas proporcionadas por el código, incluso con respecto a los derechos de los interesados, según lo exige el artículo 40.3 GDPR. Estas directrices proporcionan elementos que deben abordarse en dichos compromisos.

También debe tenerse en cuenta que los responsables o encargados del tratamiento sujetos al GDPR (es decir, los exportadores de datos) pueden confiar en un código destinado a las TID al que se adhiere un importador de datos en un tercer país para cumplir con sus obligaciones en caso de TID de acuerdo con el GDPR sin necesidad de que dichos responsables o encargados del tratamiento se adhieran a dicho código.

En cuanto al contenido de un código destinado a las TID y con el fin de proporcionar garantías adecuadas en el sentido del artículo 46, debe abordar los principios, derechos y obligaciones esenciales que surgen del GDPR para los responsables o encargados del tratamiento, pero también las garantías que son específicas del contexto de las TID (como con respecto a la cuestión de las TID posteriores, conflicto de leyes en el tercer país). A la luz de las garantías proporcionadas por los instrumentos de TID existentes en virtud del artículo 46 del GDPR y para garantizar la coherencia en el nivel de protección, así como teniendo en cuenta la sentencia del TJUE Schrems II[1], las directrices proporcionan una lista de verificación de los elementos que debe cubrir un código de conducta destinado a las TID.

Un código de conducta puede redactarse originalmente solo con el fin de especificar la aplicación del GDPR de conformidad con el artículo 40.2 GDPR o también como un código destinado a las TID de conformidad con el artículo 40.3 GDPR. Como consecuencia, según el alcance y el contenido original del código, es posible que deba modificarse para cubrir todos los elementos mencionados anteriormente si se va a utilizar como un instrumento para las TID.

Estas directrices, que complementan las Directrices 1/2019 del EDPB sobre códigos de conducta y organismos de supervisión en virtud del GDPR, aclaran el papel de los diferentes actores implicados en la elaboración de un código que se utilizará como instrumento para las TID y el proceso de adopción con diagramas de flujo.

ÍNDICE

Resumen ejecutivo

2

1.

Objetivo de las directrices

4

2.

Códigos de conducta como instrumento para TID

4

3.

Contenido de un código de conducta como instrumento para TID

6

4.

Actores implicados en la elaboración de un código como herramienta para las TID y su papel

4.1. Titular del código

7

4.2. Organismo de supervisión

7

4.3. Autoridad de control

8

4.4. EDPB

8

4.5. Comisión

8

5.

Proceso de adopción de un código de conducta para TID

8

6.

Garantías que se ofrecen bajo el código

6.1. Compromisos vinculantes y exigibles a implementar

9

6.2. Lista de verificación de los elementos que deben incluirse en un código de conducta destinado a las TID

10

Anexo 1 - Adopción de código de conducta para TID - diagrama de flujo

a. Adopción de un código transnacional destinado a las TID

13

b. Modificaciones a un código transnacional para ser utilizado como código destinado a las TID

14

EL COMITÉ EUROPEO DE PROTECCIÓN DE DATOS

Vistos:

  • el artículo 70, apartado 1, letra e), del Reglamento (UE) 2016/679 (en adelante, “GDPR”);
  • el Acuerdo EEE y, en particular, su anexo XI y su Protocolo 37, modificado por la Decisión del Comité Mixto del EEE n.º 154/2018, de 6 de julio de 2018[2], vistos los artículos 12 y 22 de su Reglamento,

HA ADOPTADO LAS SIGUIENTES DIRECTRICES:

  1. OBJETIVO DE LAS DIRECTRICES
  1. El objetivo de estas directrices es especificar la aplicación del artículo 40.3 del GDPR relativo a los códigos de conducta como garantías adecuadas para las TID de conformidad con el artículo 46.2.e) del GDPR. También tienen como objetivo proporcionar orientación práctica, incluso sobre el contenido de dichos códigos de conducta, su proceso de adopción y los actores involucrados, así como los requisitos que deben cumplirse y las garantías que debe proporcionar un código de conducta para las TID.
  2. Estas directrices deben actuar además como una referencia clara para todas las AC, el Comité y ayudar a la Comisión Europea (en adelante, la "Comisión") a evaluar los códigos de manera coherente y agilizar los procedimientos involucrados en el proceso de evaluación. También deben proporcionar una mayor transparencia, asegurando que los titulares de códigos que tengan la intención de buscar su aprobación para ser utilizado como una herramienta para las TID ("código(s) previsto(s) para las TID" en adelante) sean plenamente conscientes del proceso y comprendan los requisitos formales y los umbrales apropiados necesarios para establecer dicho código de conducta.
  3. Las presentes directrices complementan las Directrices EDPB 1/2019 sobre códigos de conducta y organismos de supervisión del GDPR que establecen el marco general para la adopción de códigos de conducta (en adelante, Directrices 1/2019). Las consideraciones establecidas en las Directrices 1/2019, en particular con respecto a la admisibilidad, la adhesión y los criterios de aprobación, también son válidas en el contexto de la elaboración de códigos destinados a las TID.
  1. CÓDIGOS DE CONDUCTA COMO INSTRUMENTO PARA LAS TID
  1. El GDPR exige en su artículo 46 que los responsables/encargados del tratamiento (en adelante RT/ET) establezcan las garantías adecuadas para las TID.
  2. Con ese fin, el GDPR diversifica las garantías adecuadas que pueden utilizar las organizaciones en virtud del artículo 46 para enmarcar las TID al introducir, entre otros, códigos de conducta como un nuevo mecanismo de transferencia (artículos 40.3 y 46.2.e). En este sentido, tal y como prevé el artículo 40.3, una vez aprobado por la autoridad de control competente (en adelante, “AC competente”) y habiendo obtenido validez general en la UE por parte de la Comisión, también se podrán adherir y utilizar a un código de conducta RT/ET no sujetos al GDPR ubicados en terceros países con el fin de proporcionar garantías adecuadas a los datos transferidos a dichos terceros países. Dichos RT/ET están obligados a asumir compromisos vinculantes y exigibles, a través de instrumentos contractuales u otros instrumentos legalmente vinculantes, para aplicar las garantías apropiadas proporcionadas por el código, incluso con respecto a los derechos de los interesados, según lo exige el artículo 40.3.
  3. Los códigos de conducta pueden ser elaborados por asociaciones u otros organismos que representen categorías de RT/ET (titulares de códigos) como se especifica en el artículo 40.2. Como se indica en las Directrices 1/2019, una lista no exhaustiva de posibles titulares de códigos incluiría: asociaciones comerciales y representativas, organizaciones sectoriales, organizaciones académicas y grupos de interés. De acuerdo con las mismas Directrices, los códigos destinados a las TID podrían, por ejemplo, ser elaborados por organismos que representen a un sector (por ejemplo, una asociación/federación del sector bancario y financiero, sector de seguros), pero también podrían elaborarse para sectores separados que tengan una actividad de tratamiento común que comparta la mismas características y necesidades de tratamiento (p. ej. código de RRHH elaborado por asociación/federación de profesionales de RRHH, o código sobre datos de menores). Dichos códigos permitirían a los RT, ET en terceros países, que reciben datos bajo el código, enmarcar estas TID mientras abordan mejor las necesidades de tratamiento específicas de su sector o actividades de tratamiento comunes. Como tal, podrían servir como una herramienta más adaptada en comparación con otros mecanismos de TID que están disponibles en virtud del artículo 46. Los códigos de conducta que se utilizarán como herramienta para las TID permitirán, en particular, que un RT o ET ubicado en un tercer país proporcione las garantías adecuadas por múltiples TID a un tercer país propias de un sector o actividad de tratamiento de datos. Además, las entidades que utilizan los códigos de conducta no necesitan estar dentro del mismo grupo para enmarcar sus TID (como es el caso de las BCR).
  4. También debe tenerse en cuenta que los RT o ET sujetos al GDPR (es decir, el exportador de datos) pueden confiar en un código destinado a las TID al que se adhiere un importador de datos en un tercer país para cumplir con sus obligaciones en caso de TID de acuerdo con el GDPR sin la necesidad de que dichos RT o ET se adhieran a dicho código. Por tanto, un código destinado a las TID podría enmarcar TID de responsables/encargados que no se adhieran a dicho código de conducta a responsables/encargados de un tercer país que si se hayan adherido, siempre que exista un compromiso de cumplimiento de las obligaciones establecidas en el código de conducta al tratar los datos transferidos, incluyendo en un instrumento vinculante, en particular, con respecto a los derechos de los interesados. Esto significa que el importador de datos en el tercer país debe adherirse al código destinado a las TID, mientras que los exportadores de datos sujetos al GDPR no necesariamente deben adherirse a dicho código. Los grupos de empresas que transfieren datos de entidades sujetas al GDPR a aquellas fuera del EEE también pueden usar un código de conducta como herramienta de transferencia cuando las entidades fuera del EEE se han adherido a ese código destinado a TID y han asumido compromisos vinculantes y exigibles relacionados a la transferencia.

Ejemplo n° 1[3]:

La empresa XYZ tiene su sede en Italia y tiene filiales en Alemania, Países Bajos, España y Bélgica. Con el fin de gestionar las herramientas informáticas utilizadas por el grupo, la empresa XYZ utiliza los servicios de un proveedor de servicios en la nube con sede en un tercer país sin presencia en la UE. Los datos tratados ??como parte del uso de herramientas de TI implican TID de la Compañía XYZ y sus afiliados al proveedor de servicios en la nube, con el fin de almacenar datos. Dado que el proveedor de servicios en la nube del tercer país se ha adherido a un código de conducta que se utilizará como herramienta para las TID relacionadas con los servicios en la nube aprobados en virtud del artículo 40.5, los flujos de datos de la empresa XYZ y sus filiales al proveedor de servicios en la nube pueden ser enmarcados con el código de conducta al que se ha adherido el proveedor de servicios en la nube. En este caso, el uso de un código de conducta por parte del proveedor de servicios en la nube en lugar de otras herramientas de transferencia, como las BCR, parece más apropiado en la medida en que un código de conducta no requiere que el RT/ET que actúa como importador tenga presencia en el EEE, mientras que se requiere una presencia en el EEE para un grupo de empresas para usar las BCR. El código de conducta también presenta beneficios para abordar múltiples TID con una sola herramienta en comparación con soluciones (totalmente) contractuales como los SCC.

  1. Un código destinado a las TID también podría enmarcar las TID de los RT/ET sujetos al GDPR a los RT/ET del tercer país que se hayan adherido al mismo código de conducta para las TID, siempre que, en cualquier caso, como se explicó anteriormente, exista un compromiso de cumplimiento con las obligaciones del código de conducta, incluso con respecto a los derechos de los interesados, tal como están consagrados en el GDPR, incluyéndose en un instrumento vinculante.

Ejemplo n° 2:

Una asociación que representa categorías de RT/ET involucrados en el mismo tipo de actividades de investigación para el sector de la salud y que impliquen TID periódicas, los RT/ET del país desarrollan un código de conducta destinado a ser utilizado como una herramienta para TID. Los RT/ET pertinentes en el EEE se adhieren a este código de conducta que también es siendo adheridos por RT/ET de terceros países. Las TID RT/ET como parte de las actividades de investigación pueden enmarcarse en este código de conducta.
  1. En la medida en que sea más probable que los códigos destinados a las TID sean utilizados por entidades para enmarcar TID desde más de un Estado miembro y considerando que dichos códigos de conducta deben tener validez general de acuerdo con el artículo 40.9 del GDPR, como tales, estos calificarían como "códigos transnacionales" tal como se definen en las Directrices 1/2019[4].
  1. CONTENIDO DE UN CÓDIGO DE CONDUCTA COMO INSTRUMENTO PARA TID
  1. Como se ha indicado anteriormente, un código de conducta destinado a TID es una de las herramientas que pueden utilizar las organizaciones que realizan actividades particulares de tratamiento de datos, por ejemplo, dentro de un sector específico o una actividad de tratamiento común que comparte las mismas características y necesidades de tratamiento, para proporcionar garantías adecuadas para las TID de conformidad con el artículo 46.
  2. Además, las disposiciones del artículo 40.3, que se refieren al hecho de que los RT/ET no sujetos al GDPR en virtud del artículo 3 pueden adherirse a los códigos destinados a las TID, sugieren que estos códigos son, en parte, o en su conjunto, más específicamente diseñados para RT/ET de terceros países. Por tanto, según el EDPB, el objeto de un código destinado a las TID debe ser establecer también las reglas que deberá cumplir el RT/ET del tercer país (el importador de datos) para garantizar que los datos personales estén adecuadamente protegidos de acuerdo con los requisitos del Capítulo V del GDPR cuando sean tratados por dichos RT/ET del tercer país (es decir, importador de datos).
  3. Más específicamente en términos de contenido, con el fin de proporcionar garantías adecuadas en el sentido del artículo 46, es necesario abordar los siguientes elementos:
    • Principios esenciales, derechos y obligaciones derivados del GDPR para RT/ET; y
    • Garantías que son específicas del contexto de las TID (como con respecto a la emisión de TID posteriores, conflicto de leyes en el tercer país).
  4. En este sentido, vale la pena señalar que un código de conducta puede redactarse originalmente solo con el fin de especificar la aplicación del GDPR de conformidad con el artículo 40.2 ("código GDPR") o también como un código destinado para las TID de conformidad con el artículo 40.3. Como consecuencia, dependiendo del alcance y contenido original del código, puede ser necesario modificarlo para cubrir todos los elementos antes mencionados si se va a utilizar como un instrumento para las TID.

Ejemplo n° 3:

Asociación de organizaciones ABC que operan en el sector de marketing directo en la UE han adoptado un código de conducta que tiene como objetivo especificar la aplicación de la transparencia, principios y requisitos asociados al GDPR como parte de las actividades de tratamiento para tal sector. La Asociación desea utilizar este código de conducta como una herramienta para TID. En la medida en que el código de conducta se centra en el principio de transparencia, sería necesario modificarse para cubrir adicionalmente las garantías adecuadas que se requieren para una TID, todos los principios esenciales y principales requisitos derivados del GDPR (aparte de la transparencia), así como incluir garantías que son específicas al contexto de TID con el fin de obtener la aprobación de dicho código como un código destinado a las mismas.
  1. En cualquier caso, de acuerdo con las aclaraciones proporcionadas por el EDPB en sus Directrices 1/2019, todos los elementos que proporcionen las garantías adecuadas a las que se han hecho referencia anteriormente deberán establecerse en el código de manera que facilite su aplicación efectiva y especifique cómo se aplican en la práctica a la actividad o sector de tratamiento específico[5].
  2. En la sección 6 de las presentes directrices se proporciona y explica una lista de verificación de los elementos que deben incluirse en un código destinado a las TID para que pueda considerarse que proporciona las garantías adecuadas.
  1. ACTORES IMPLICADOS EN LA CONFIGURACIÓN DE UN CÓDIGO PARA LAS TID Y CUÁL ES SU PAPEL
    1. Titular del código
  1. El titular del código es la entidad, asociación/federación u otro organismo que elaborará un código de conducta destinado a las TID o modificará un "código GDPR" aprobado para usarlo como una herramienta para las TID y lo presentará a la AC competente para su aprobación[6].
    1. Organismo de supervisión
  2. Al igual que con cualquier código de conducta, será necesario identificar un organismo de supervisión como parte de un código destinado a las TID, acreditado por la AC competente de conformidad con el artículo 41. Su función será controlar que los RT/ET de terceros países que se han adherido a dicho código cumplen con las reglas establecidas en el código[7].
  3. Teniendo en cuenta que los códigos de conducta destinados a las TID también están dirigidos, o más específicamente, a los RT/ET de terceros países, debe asegurarse de que los organismos de supervisión sean capaces de supervisar efectivamente el código como se especifica en las Directrices 1/2019. Los organismos de supervisión que actúan en el marco de los códigos para las TID pueden estar ubicados dentro o fuera del EEE, siempre que tenga un establecimiento en el EEE. En este contexto, el establecimiento del organismo de supervisión en el EEE será aquel en el que esté la sede del mismo, o el lugar donde se tomen las decisiones finales relativas a las actividades de seguimiento, también se requiere que una entidad del EEE pueda controlar las entidades del organismo de supervisión fuera del EEE y demostrar plena responsabilidad con todas las decisiones y acciones (incluida su responsabilidad por cualquier incumplimiento).
  4. Además, un organismo de supervisión en el EEE podrá subcontratar sus actividades a una entidad externa fuera del EEE, que actúe en su nombre, siempre que dicha entidad mantenga la misma competencia y experiencia requerida por el código de conducta, así como los requisitos de acreditación, y que el organismo de supervisión del EEE pueda garantizar un control efectivo sobre los servicios prestados por la entidad contratante y conserve el poder de decisión sobre las actividades de supervisión. Para garantizar el cumplimiento de estos requisitos de acreditación cuando el organismo de supervisión subcontrate partes de sus tareas, este establecerá un contrato o cualquier otro acto jurídico vinculante de conformidad con la legislación de la Unión Europea para el subcontratista de tal manera que todas las tareas subcontratadas cumplirán los requisitos del GDPR. La subcontratación no da lugar a la delegación de responsabilidades: en todo caso, el organismo de seguimiento sigue siendo responsable de la supervisión del cumplimiento del código de conducta ante la autoridad de control. El organismo de supervisión garantizará que todos los subcontratistas cumplan los requisitos establecidos en este documento de requisitos de acreditación, en particular en lo que respecta a la independencia, la ausencia de conflicto de intereses y la experiencia. El organismo de supervisión incluye una cláusula específica en el contrato firmado con los subcontratistas para garantizar la confidencialidad de los datos personales que puedan, en su caso, revelarse al subcontratista durante las tareas de supervisión y establece las garantías adecuadas en caso de transferencia de dichos datos personales a sus subcontratistas.
    1. Autoridad de control
  5. De acuerdo con el artículo 40.5, la función de la AC competente será aprobar el proyecto de código de conducta destinado a las TID o modificarlo para utilizarlo como herramienta para las TID y acreditar al organismo de supervisión identificado como parte del código con respecto a los requisitos de acreditación adicionales relacionados con los códigos de conducta para las TID.
    1. EDPB
  6. De conformidad con los artículos 40.7 y 64.1.b), se solicitará al EDPB que emita un dictamen sobre el proyecto de decisión de una AC con el fin de aprobar un código destinado a las TID o la modificación de un código de conducta para su uso también como herramienta para TID[8].
    1. Comisión
  7. Según lo dispuesto en el artículo 40.9, la Comisión podrá decidir, mediante la adopción de un acto de ejecución, que un código destinado a las TID y aprobado por una AC tenga validez general en la UE. Solo los códigos a los que se haya concedido validez general dentro de la UE podrán utilizarse para enmarcar las TID.
  1. PROCESO DE ADOPCIÓN DE UN CÓDIGO DE CONDUCTA PARA TID
  1. De los artículos 40.5 y 40.9 resulta que, para ser adoptado, un código destinado a las TID primero debe ser aprobado por una AC competente en el EEE y luego reconocido por la Comisión como de validez general dentro de la UE mediante acto de ejecución.
  2. Como se mencionó en la sección 2 anterior, en la medida en que los códigos destinados a las TID sean susceptibles de ser utilizados por los RT/ET para enmarcar las TID desde más de un Estado miembro, se calificarían como “códigos transnacionales” y deberían seguir el procedimiento de aprobación de los códigos transnacionales, incluida la necesidad de un dictamen del EDPB, tal como se especifica en la sección 8 y el anexo 4 de las Directrices 1/2019[9]. En la práctica, pueden surgir diferentes escenarios cuando una asociación/federación u otro organismo tiene la intención de adoptar un código de conducta para las TID:
    • Un borrador de código está diseñado como un "código GDPR" y está destinado a ser utilizado como una herramienta para TID por parte de RT/ET de terceros países. Dicho proyecto de código primero tendría que ser aprobado por la AC competente de acuerdo con el procedimiento para los códigos transnacionales, incluido un dictamen del EDPB, y luego reconocido por la Comisión como de validez general dentro de la UE de conformidad con el artículo 40.9. Después de completar estos pasos, los RT/ET en un tercer país pueden adherirse al código y el código puede usarse para proporcionar las garantías adecuadas para las TID de datos a terceros países.
    • Un código de conducta se diseña y aprueba inicialmente como un “código GDPR”. Dicho código se amplía aún más con vistas a ser utilizado también como una herramienta para TID por parte de RT/ET de terceros países. La modificación del código relativo a las TID deberá someterse a la aprobación de la AC competente, que seguirá el procedimiento de los códigos transnacionales con dictamen del Consejo. El código modificado luego deberá ser reconocido por la Comisión como de validez general en la UE de conformidad con el artículo 40.9, después de lo cual los RT/ET en un tercer país podrán adherirse al mismo y utilizarlo para proporcionar garantías adecuadas para las TID.
  3. Un diagrama de flujo que figura en el anexo de las directrices detalla los pasos del procedimiento para adoptar un código de conducta destinado a la transferencia teniendo en cuenta los posibles escenarios anteriores.
  1. GARANTÍAS QUE SE OFRECEN BAJO EL CÓDIGO
    1. Compromisos vinculantes y exigibles a implementar
  1. El GDPR requiere en su artículo 40.3 que los RT y ET no sujetos al GDPR que se adhieran a un código destinado a las TID asuman compromisos vinculantes y exigibles, a través de instrumentos contractuales u otros instrumentos legalmente vinculantes, para aplicar las garantías apropiadas proporcionadas por el código. incluyendo, en particular, en lo que se refiere a los derechos de los interesados.
  2. Tal como especifica el GDPR, tales compromisos pueden asumirse mediante un contrato, que parece ser la solución más sencilla. También podrían utilizarse otros instrumentos, siempre que estos RT/ET que se adhieran al código puedan demostrar el carácter vinculante y exigible de esos otros medios.
  3. En cualquier caso, el instrumento debe tener carácter vinculante y exigible de conformidad con la legislación de la UE y también debe ser vinculante y exigible para los interesados como terceros beneficiarios.
  4. Un código de conducta como herramienta de TID puede tener miembros del Código ubicados en el EEE, así como miembros del Código ubicados fuera del EEE, una distinción entre ambos es la aplicación directa del GDPR a los primeros, pero no a los segundos (siempre que los segundos no estén contemplados en el artículo 3.2 del GDPR).
  5. En lo que respecta a los miembros del Código ubicados fuera del EEE, es necesario garantizar que su compromiso de adherirse a un "nivel específico de protección de datos" garantice que el nivel de protección de datos previsto en el GDPR no se vea socavado. Este es un requisito previo para su elegibilidad para participar en el código de conducta como herramienta de transferencia.
  6. Con este fin, el RT/ET (es decir, el importador de datos) podría firmar un contrato en el tercer país con, por ejemplo, la entidad que transfiere los datos bajo el código (es decir, el exportador de datos). En la práctica, podría utilizar un contrato existente, si lo hubiera (por ejemplo, un acuerdo de servicio entre el exportador y el importador de datos o el contrato que se establecerá de conformidad con el artículo 28 del GDPR en el caso de ET importadores) en el que se podrían incluir los compromisos vinculantes y exigibles. Otra opción podría ser basarse en un contrato separado agregando al código destinado a las TID que luego tendrían que firmar, por ejemplo, los RT/ET en el tercer país y todos sus exportadores de datos.
  7. Debería haber flexibilidad para elegir la opción más apropiada según la situación específica.
  8. Cuando el código de conducta se utilice para TID y TID posteriores de un ET a SubET, también se debe hacer una referencia al código de conducta y al instrumento que establece compromisos vinculantes y exigibles en el acuerdo del ET firmado con su RT, cuando sea posible.

Compromisos vinculantes y exigibles por parte del importador de datos (ejemplo)

  1. En general, el contrato u otro instrumento debe establecer que el RT/ET se compromete a cumplir con las reglas especificadas en el código destinado a las TID al tratar datos recibidos bajo el código. El contrato u otro instrumento también deberá prever mecanismos que permitan hacer cumplir dichos compromisos en caso de incumplimiento por parte del RT/ET, en particular con respecto a los derechos de los interesados cuyos datos se transferirán en virtud del código.
  2. Más concretamente, el contrato u otro instrumento debería abordar:
    • La existencia de un derecho de los interesados cuyos datos se transfieran en virtud del código a hacer cumplir las normas del código como terceros beneficiarios.
    • La cuestión de la responsabilidad en caso de incumplimiento de las normas del código por parte de un miembro del código fuera del EEE. El código incluirá una cláusula de jurisdicción en la que se señale que los interesados tendrán la posibilidad, en caso de infracción de las normas del código por parte de un miembro del código fuera del EEE, de presentar una reclamación, invocando su derecho de tercero beneficiario, incluida la compensación, contra esa entidad ante una AC del EEE y un tribunal del EEE de la residencia habitual del interesado. El miembro del código fuera del EEE aceptará la decisión del interesado de hacerlo. Los interesados también tendrán la posibilidad de presentar cualquier reclamación derivada o del respeto por el importador del código de conducta contra el exportador de datos ante la AC o el tribunal del establecimiento del exportador de datos o de la residencia habitual del interesado. Esta responsabilidad debe entenderse sin perjuicio de los mecanismos que se implementarán en virtud del código con el organismo de supervisión que también puede actuar contra los RT/ET de conformidad con el código mediante la imposición de medidas correctivas. El importador de datos y el exportador de datos también deben aceptar que el interesado pueda estar representado por un organismo, organización o asociación sin ánimo de lucro en las condiciones establecidas en el artículo 80.1 del GDPR.
    • La existencia de un derecho para que el exportador haga valer frente al miembro del código que actúe como importador las normas previstas en el código como tercero beneficiario.
    • La existencia de una obligación del importador de notificar al exportador y a la AC del exportador de datos cualquier infracción del código detectada por el mismo miembro del código que actúa como importador fuera del EEE y de cualquier medida correctiva tomada por el organismo de supervisión. en respuesta a esa violación.
    1. Lista de verificación de los elementos que deben incluirse en un código de conducta destinado a las TID
  2. A la luz de las garantías proporcionadas por las herramientas de TID existentes en virtud del artículo 46 del GDPR (como las normas corporativas vinculantes), y para garantizar la coherencia en el nivel de protección, así como teniendo en cuenta la sentencia del TJUE Schrems II[10], el EDPB opina que, para que se considere que proporciona las garantías adecuadas, los elementos que debe cubrir un código de conducta destinado a las TID deben incluir lo siguiente:
    • Una descripción de las TID que serán cubiertas por el código (naturaleza de los datos transferidos, categorías de interesados, países).
    • Una descripción de los principios de protección de datos que se deben cumplir en virtud del código (transparencia, licitud y lealtad, limitación del fin, minimización, conservación, confidencialidad e integridad, cumplimiento de las instrucciones del RT para los ET), incluidas las normas sobre el uso de ET o SubET y las normas sobre TID posteriores.
    • Medidas del principio de responsabilidad proactiva que deben adoptarse en virtud del código.
    • El establecimiento de un control apropiado a través de DPO u otro personal de privacidad a cargo del cumplimiento de las obligaciones de protección de datos que se derivan del código.
    • La existencia de un adecuado programa de capacitación sobre las obligaciones derivadas del código.
    • La existencia de una auditoría de protección de datos (ya sea por auditores internos o externos) u otro mecanismo interno para supervisar el cumplimiento del código, independientemente de la supervisión que debe realizar el organismo de supervisión como para cualquier código de conducta; mientras que el objetivo del programa de auditoría de protección de datos es garantizar y demostrar el cumplimiento del código, el objetivo de las auditorías realizadas por el organismo de supervisión es evaluar si el solicitante cumple los requisitos para adherirse al código, continúa cumpliendo una vez que es un miembro, y si son necesarias sanciones en caso de infracciones.
    • Medidas de transparencia, incluido el fácil acceso, con respecto al uso del código, en particular con respecto a los derechos de los terceros beneficiarios.
    • La disposición de los interesados de los derechos de acceso, rectificación, supresión, limitación, rectificación, supresión y limitación u oposición al tratamiento, derecho a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado, incluida la elaboración de perfiles como las previstas en los artículos 12, 13, 14, 15, 16, 17, 18, 19, 21 y 22 del GDPR.
    • La creación de derechos de terceros beneficiarios para los interesados para hacer cumplir las reglas del código como terceros beneficiarios (así como la posibilidad de presentar una queja ante la AC competente y ante los tribunales del EEE);
    • La existencia de un adecuado proceso de gestión de denuncias por infracciones a las normas de protección de datos mantenido por el organismo de supervisión que, si se considera adecuado, puede complementarse con un procedimiento interno al miembro del código para la gestión de denuncias.
    • Una garantía de que, en el momento de adherirse al código, el RT/ET del tercer país no tiene motivos para creer que las leyes aplicables al tratamiento de datos personales en el tercer país de transferencia le impidan cumplir con sus obligaciones en virtud del código e implementar cuando sea necesario, las medidas complementarias del exportador[11]para garantizar el nivel de protección requerido en virtud de la legislación del EEE[12]. Además, una descripción de los pasos a seguir (incluida la notificación al exportador en el EEE, de la implementación de medidas complementarias apropiadas) en caso de que, después de haberse adherido al código, el RT/ET del tercer país tenga conocimiento de cualquier circunstancia de la legislación del tercer país, que impida el cumplimiento por parte del miembro del código de los compromisos contraídos como parte del código y las medidas que deben tomarse en caso de solicitudes de acceso del gobierno de un tercer país.
    • Los mecanismos para hacer frente a los cambios en el código.
    • Las consecuencias de la retirada de un miembro del código.
    • Un compromiso para que el miembro del código y el organismo de supervisión cooperen con las AC del EEE.
    • Un compromiso por parte del miembro del código de aceptar estar sujeto a la jurisdicción de las AC del EEE en cualquier procedimiento destinado a garantizar el cumplimiento del código de conducta y los tribunales del EEE.
    • Los criterios de selección del organismo de supervisión para un código destinado a las TID, es decir, demostrar que el organismo de supervisión tiene el nivel de experiencia necesario para llevar a cabo su función de manera eficaz para dicho código destinado a las TID.
  3. En cualquier caso, cabe señalar que estos elementos constituyen garantías mínimas que pueden ser necesarias complementar con compromisos y medidas adicionales en función de la transferencia de que se trate en el marco del código de conducta.
  4. El EDPB evaluará el funcionamiento de estas directrices a la luz de la experiencia adquirida con su aplicación en la práctica y proporcionará más orientación para aclarar la aplicación de los elementos enumerados anteriormente.

ANEXO 1 - ADOPCIÓN DE CÓDIGO DE CONDUCTA PARA TID - DIAGRAMA DE FLUJO

  1. Adopción de un código transnacional destinado a las TID

  1. Modificaciones a un código transnacional para ser utilizado como código destinado a las TID

[1] Sentencia del Tribunal de Justicia Europeo de 16 de julio de 2020; Comisionado de Protección de Datos v Facebook Irlanda y Maximillian Schrems.

[2] Las referencias a los Estados miembros hechas a lo largo de este documento deben entenderse como referencias a los Estados miembros del EEE.

[3] El ejemplo se entiende sin perjuicio de las Recomendaciones 01/2020 del CEPD sobre medidas que complementan los instrumentos TID

[4] Los códigos transnacionales hacen referencia a un código que cubre las actividades de tratamiento en más de un Estado miembro. Véanse las Directrices 1/2019, Anexo 1 – Distinción entre códigos nacionales y transnacionales.

[5] Véanse las Directrices 1/2019, apartado 6.

[6] Para obtener más detalles sobre los requisitos relacionados con el titular del código, consulte la definición de código titular en el apartado 2 y el apartado 5.3 de las directrices 1/2019.

[7] Para obtener más detalles sobre la necesidad de establecer un organismo de control en virtud de un código de conducta, consulte las secciones 11 y 12 de las directrices 1/2019.

[8] Véase el Documento del EDPB sobre el procedimiento para el desarrollo de sesiones informales de “Códigos de Conducta” https://edpb.europa.eu/sites/default/files/files/file1/edpb_documentprocedurecodesconductsessio ns_en.pdf.

[9] Véanse las Directrices 1/2019, Anexo 1 – Distinción entre códigos nacionales y transnacionales.

[10] Sentencia del Tribunal de Justicia (Gran Sala) de 16 de julio de 2020; Comisionado de protección de datos contra Facebook Ireland Limited y Maximillian Schrems.

[11] El EDPB ha publicado una Recomendación sobre medidas que complementan las herramientas de transferencia para garantizar el cumplimiento del nivel de protección de datos personales de la UE que puede ayudar en la evaluación relacionada con el tercer país y para identificar las medidas complementarias adecuadas.

[12] Esto se basa en el entendimiento de que las leyes y prácticas que respeten la esencia de los derechos y libertades fundamentales y no excedan de lo necesario y proporcionado en una sociedad democrática para salvaguardar uno de los objetivos enumerados en el artículo 23, apartado 1, del GDPR, no están en contradicción con las garantías especificadas en el código de conducta destinado a las TID.