Des de l’entrada en vigor del Reglament general de protecció de dades (RGPD), hem afrontat el repte de materialitzar-ne els grans eixos: l’enfocament en el risc i el principi de responsabilitat proactiva.
L’exigència dels responsables del tractament d’analitzar el context per concretar com complir les obligacions establertes per la norma no ha estat, ni està sent, fàcil d'aplicar. Estàvem massa acostumats a complir la literalitat de la norma sense fixar-nos en les persones les dades de les quals tractàvem, sense valorar ni concretar els detalls de cada activitat del tractament. Detalls que, per contra, són moltes vegades els que permeten delimitar un compliment efectiu del dret a la protecció de dades i, en definitiva, de garantir-lo.
Els codis de conducta, regulats en l’article 40 del RGPD, no són un element nou en l’univers de la protecció de dades. La Directiva 95/46/CE ja s'hi referia; si bé és cert que no s’havien consolidat, tret d’alguns sectors molt concrets, com a eina per ajudar les organitzacions amb elements pràctics per a un compliment contextualitzat. En aquest sentit, el legislador europeu ha volgut donar impuls a aquest instrument en un moment en què les dades i la tecnologia són la base per a la innovació i el desenvolupament de la societat digital. El mateix Comitè Europeu de Protecció de Dades (CEPD), en les Directrius 1/2019 sobre codis de conducta i organismes de supervisió, indica que els codis de conducta donen l'oportunitat a sectors concrets de reflexionar sobre les activitats comunes de tractaments de dades i acordar normes de protecció de dades adaptades i pràctiques, que donin resposta a les necessitats del sector i compleixin els requisits del RGPD.
La idea que vull exposar és justament que el codi de conducta pot ser un element molt rellevant per portar a la pràctica les obligacions del RGPD, per fer-ho de manera que serveixi realment d'eina per demostrar la responsabilitat de retre comptes (accountability) de les entitats.
Així ho indica l'apartat tercer de l’article 24 del RGPD quan, en parlar de la responsabilitat dels responsables, estableix que “L'adhesió a codis de conducta aprovats d’acord amb l'article 40 o a un mecanisme de certificació aprovat d’acord amb l'article 42, es pot utilitzar com a element per demostrar que el responsable del tractament compleix les obligacions”.
I, en el mateix sentit, l’article 28.5, en referir-se als encarregats del tractament, assenyala que “l'adhesió de l'encarregat del tractament a un codi de conducta, aprovat d’acord amb l'article 40 o d’acord amb un mecanisme de certificació aprovat segons l'article 42, es pot utilitzar com a element per demostrar que hi ha les garanties suficients a què es refereixen els apartats 1 i 4 d’aquest article”.
El RGPD també els menciona expressament quan regula les mesures de seguretat (art. 32) i les avaluacions d’impacte sobre la protecció de dades (art. 35).
I això, quins efectes té? Que qualsevol codi serveix per demostrar-ne el compliment? Com a responsable o encarregat del tractament, pel mer fet d’adherir-me a un codi de conducta, ja n'estic demostrant el compliment? Considero que la resposta només pot ser negativa.
Un codi de conducta servirà per demostrar el compliment quan, a més de complir els requisits formals exigits pel RGPD i la normativa nacional aplicable, en compleixi l'“esperit”; és a dir, hagi identificat i analitzat el context i les circumstàncies que envolten els tractaments de dades als quals s'aplica, hagi delimitat els riscos, i la probabilitat i la gravetat, per als drets i les llibertats de la persona afectada, d’acord amb la naturalesa, l'abast, el context i les finalitats del tractament de dades. En aquest context, el considerant 77 del RGPD indica que es poden proporcionar directrius, mitjançant codis de conducta, per aplicar les mesures oportunes i per demostrar que el responsable o l'encarregat del tractament les compleix, especialment pel que fa a la identificació del risc relacionat amb el tractament; la seva avaluació en termes d'origen, naturalesa, probabilitat i gravetat, i la identificació de bones pràctiques per mitigar el risc.
Per tant, si tenim en compte que el RGPD els regula com una eina destinada a contribuir que s'apliqui correctament atenent a les característiques específiques dels diferents sectors de tractament, cal que les entitats públiques i privades quan promoguin i elaborin un codi de conducta (art. 38.2 de la LOPDGDD), ho facin des del coneixement pràctic del sector/àmbit al qual s’adrecen. Però, no només de les entitats (responsables i encarregats) que conformen aquests sectors i de les seves particularitats, també des de la perspectiva de les persones usuàries (aquelles de qui es tracten les dades personals). Són els titulars del codi qui hauran de demostrar que el codi conté garanties suficients i eficaces per mitigar el risc que neix del tractament i per respectar els drets i les llibertats de les persones afectades.
El CEPD diu expressament, en les directrius esmentades, que els codis poden representar una eina de rendició de comptes útil i eficaç, ja que detallen el conjunt de conductes adequades, lícites i ètiques en un sector. Òbviament, no es poden regular totes les situacions, ni totes les casuístiques. De fet, un codi tampoc no ha de servir per a això. Del que es tracta és d'aprofundir, d'anar més enllà de la norma, per identificar els tractaments i les circumstàncies que, en un sector concret, generen més conflictes, més dubtes, més riscos per al dret a la protecció de dades, i buscar les eines que puguin ajudar les organitzacions a resoldre-les de manera efectiva. En aquest context, consultar les parts interessades, incloent-hi les persones afectades, quan sigui possible, pot ajudar a definir més exactament quins han de ser l’abast i el detall del codi.
En definitiva, com indica el CEPD, un codi de conducta pot funcionar com un codi normatiu per a responsables i encarregats del tractament, fer operatius els principis de protecció de dades i aportar millores clares i específiques en el sector establint normes realistes i assequibles per a tothom que hi participa.
I, si ens referim als responsables i encarregats del tractament, quan els servirà un codi de conducta per demostrar compliment?
Doncs, quan portin a la realitat de la seva organització els elements regulats pel codi al qual estan adherits; és a dir, a integrar en la seva organització i en els seus processos les eines, els criteris i les directrius regulades en el codi.
Només vull recordar, per tancar aquest breu apunt, que els responsables del tractament responen de la idoneïtat dels encarregats del tractament i han de recórrer només als encarregats que ofereixin prou garanties, en particular pel que fa a coneixements especialitzats, fiabilitat i recursos, de cara a l'aplicació de mesures tècniques i organitzatives que compleixin els requisits del RGPD. A més, l'adhesió de l'encarregat a un codi de conducta pot servir d'element per demostrar que el responsable compleix les obligacions (art. 28.4 del RGPD).