En donar major rellevància als codis de conducta, l'objectiu principal de l'RGPD és que serveixin com a eines perquè els responsables i els encarregats puguin demostrar el seu compliment.
Els codis de conducta són una forma d'autoregulació orientada a adoptar regles o estàndards específics que permetin harmonitzar els tractaments de dades fets per aquelles institucions, entitats o empreses que estan adherides al codi o que el promoguin, a facilitar l'exercici dels drets dels afectats i a afavorir el compliment de la normativa de protecció de dades, així com un instrument que pot ser utilitzat pels responsables i els encarregats per demostrar el compliment d'aquesta normativa.
En adoptar els codis de conducta, els responsables i els encarregats dels tractaments poden adequar les previsions normatives de protecció de dades a les característiques del sector en què operin i ampliar-les, i oferir transparència pel que fa a la seva actuació. Són instruments que aporten un valor afegit a la regulació.
L'RGPD assenyala els aspectes que, entre altres, haurien d'incloure aquests codis. Per fer-ho, segons el que assenyala l'article 40 de l'RGPD, les associacions i altres organismes representatius de categories de responsables o encarregats del tractament poden elaborar codis de conducta o modificar o ampliar els codis amb l’objecte d'especificar l'aplicació de l'RGPD, en relació amb:
- el tractament lleial i transparent;
- els interessos legítims perseguits pels responsables del tractament en contexts específics;
- la recollida de dades personals;
- la pseudonimització de dades personals;
- la informació proporcionada al públic i als interessats;
- l'exercici dels drets dels interessats;
- la informació proporcionada als infants i la protecció d'aquests infants, així com la manera d'obtenir el consentiment dels titulars de la pàtria potestat o tutela sobre l'infant;
- les mesures i els procediments per garantir la seguretat del tractament, així com la protecció de dades des del disseny i per defecte;
- la notificació de violacions de la seguretat de les dades personals a les autoritats de control i la comunicació d'aquestes violacions als interessats;
- la transferència de dades personals a tercers països i organitzacions internacionals, o
- els procediments extrajudicials i altres procediments de resolució de conflictes que permetin resoldre les controvèrsies entre els responsables del tractament i els interessats relatius al tractament, sens perjudici dels drets dels interessats.
L'RGPD preveu la possibilitat d'aprovar codis de conducta si tenen relació amb activitats de tractament en diversos estats membres o inclouen compromisos vinculants i exigibles per fer transferències internacionals de dades a través del mecanisme de coherència.
En definitiva, els codis de conducta són un instrument que no només permet adequar l'aplicació de l'RGPD a les característiques de cada sector, sinó que serveixen per demostrar-ne el compliment i, en el cas d'Espanya, tant l'AEPD com els potencials promotors dels codis disposen d'un bon punt de partida en l'experiència desenvolupada durant la vigència de la LOPD i, en especial, del seu reglament de desplegament.
Respecte als procediments d'elaboració i adopció, caldria distingir dos supòsits:
Codis d'àmbit exclusivament nacional:
Els codis de conducta han de ser aprovats per l'AEPD o, si escau, per l'autoritat autonòmica de protecció de dades competent, havent-ne avaluat prèviament la conformitat amb l'RGPD.
L'AEPD i les autoritats autonòmiques de protecció de dades han de dur un registre dels codis de conducta que han aprovat i dels que s'han aprovat de conformitat amb el mecanisme de coherència que s'estableix en l'article 63 de l'RGPD.
Codis que afecten tractaments en diversos estats de la UE:
L'AEPD i, si escau, les autoritats autonòmiques de protecció de dades han d'enviar el codi de conducta, abans que sigui aprovat, al Consell Europeu de Protecció de Dades perquè emeti el dictamen sobre la seva adequació a l'RGPD i/o sobre les garanties que ofereix per a les transferències internacionals de dades, i s'ha de suspendre el procediment fins que s'emeti l'informe.
Si el dictamen és favorable, el Comitè Europeu de Protecció de Dades l'ha de presentar a la Comissió, que decidirà si el codi té validesa dins la UE i, en aquest cas, li'n donarà publicitat.
El Comitè Europeu de Protecció de Dades ha de dur un registre dels codis de conducta que afecten tractaments en diversos estats de la UE i els ha de posar a disposició pública.
A Espanya, l'Agència Espanyola de Protecció de Dades o, si escau, l'autoritat autonòmica de protecció de dades competent són les que aproven els codis de conducta. L'Agència Espanyola de Protecció de Dades o, si escau, les autoritats autonòmiques de protecció de dades han de sotmetre els projectes de codi al mecanisme de coherència esmentat en l'article 63 de Reglament (UE) 2016/679, en els supòsits en què sigui procedent segons l'article 40.7.
D'altra banda, l'Agència Espanyola de Protecció de Dades i les autoritats autonòmiques de protecció de dades han de dur registres dels codis de conducta accessibles a través de mitjans electrònics que hagin aprovat, els quals han d'estar interconnectats i coordinats amb el registre gestionat pel Comitè Europeu de Protecció de Dades. El contingut del registre i les especialitats del procediment d'aprovació dels codis de conducta s'han d'establir per reial decret.