Navegaci贸n
RGPD > Art铆culo聽40. C贸digos de conducta
Descargar PDF

Art铆culo聽40 RGPD. C贸digos de conducta

Article 40 GDPR. Codes of conduct

1. Los Estados miembros, las autoridades de control, el Comit茅 y la Comisi贸n promover谩n la elaboraci贸n de c贸digos de conducta destinados a contribuir a la correcta aplicaci贸n del presente Reglamento, teniendo en cuenta las caracter铆sticas espec铆ficas de los distintos sectores de tratamiento y las necesidades espec铆ficas de las microempresas y las peque帽as y medianas empresas.

1. The Member States, the supervisory authorities, the Board and the Commission shall encourage the drawing up of codes of conduct intended to contribute to the proper application of this Regulation, taking account of the specific features of the various processing sectors and the specific needs of micro, small and medium-sized enterprises.

2. Las asociaciones y otros organismos representativos de categor铆as de responsables o encargados del tratamiento podr谩n elaborar c贸digos de conducta o modificar o ampliar dichos c贸digos con objeto de especificar la aplicaci贸n del presente Reglamento, como en lo que respecta a:

2. Associations and other bodies representing categories of controllers or processors may prepare codes of conduct, or amend or extend such codes, for the purpose of specifying the application of this Regulation, such as with regard to:

Considerandos

(89) La Directiva 95/46/CE estableci贸 la obligaci贸n general de notificar el tratamiento de datos personales a las autoridades de control. Pese a implicar cargas administrativas y financieras, dicha obligaci贸n, sin embargo, no contribuy贸 en todos los casos a mejorar la protecci贸n de los datos personales. Por tanto, estas obligaciones generales de notificaci贸n indiscriminada deben eliminarse y sustituirse por procedimientos y mecanismos eficaces que se centren, en su lugar, en los tipos de operaciones de tratamiento que, por su naturaleza, alcance, contexto y fines, entra帽en probablemente un alto riesgo para los derechos y libertades de las personas f铆sicas. Estos tipos de operaciones de tratamiento pueden ser, en particular, las que implican el uso de nuevas tecnolog铆as, o son de una nueva clase y el responsable del tratamiento no ha realizado previamente una evaluaci贸n de impacto relativa a la protecci贸n de datos, o si resultan necesarias visto el tiempo transcurrido desde el tratamiento inicial.

(89) Directive 95/46/EC provided for a general obligation to notify the processing of personal data to the supervisory authorities. While that obligation produces administrative and financial burdens, it did not in all cases contribute to improving the protection of personal data. Such indiscriminate general notification obligations should therefore be abolished, and replaced by effective procedures and mechanisms which focus instead on those types of processing operations which are likely to result in a high risk to the rights and freedoms of natural persons by virtue of their nature, scope, context and purposes. Such types of processing operations may be those which in, particular, involve using new technologies, or are of a new kind and where no data protection impact assessment has been carried out before by the controller, or where they become necessary in the light of the time that has elapsed since the initial processing.

(90) En tales casos, el responsable debe llevar a cabo, antes del tratamiento, una evaluaci贸n de impacto relativa a la protecci贸n de datos con el fin de valorar la particular gravedad y probabilidad del alto riesgo, teniendo en cuenta la naturaleza, 谩mbito, contexto y fines del tratamiento y los or铆genes del riesgo. Dicha evaluaci贸n de impacto debe incluir, en particular, las medidas, garant铆as y mecanismos previstos para mitigar el riesgo, garantizar la protecci贸n de los datos personales y demostrar la conformidad con el presente Reglamento.

(90) In such cases, a data protection impact assessment should be carried out by the controller prior to the processing in order to assess the particular likelihood and severity of the high risk, taking into account the nature, scope, context and purposes of the processing and the sources of the risk. That impact assessment should include, in particular, the measures, safeguards and mechanisms envisaged for mitigating that risk, ensuring the protection of personal data and demonstrating compliance with this Regulation.

a) el tratamiento leal y transparente;

(a)聽fair and transparent processing;

Textos enlazados

b) los intereses leg铆timos perseguidos por los responsables del tratamiento en contextos espec铆ficos;

(b)聽the legitimate interests pursued by controllers in specific contexts;

c) la recogida de datos personales;

(c)聽the collection of personal data;

d) la seudonimizaci贸n de datos personales;

(d)聽the pseudonymisation of personal data;

e) la informaci贸n proporcionada al p煤blico y a los interesados;

(e)聽the information provided to the public and to data subjects;

f) el ejercicio de los derechos de los interesados;

(f)聽the exercise of the rights of data subjects;

g) la informaci贸n proporcionada a los ni帽os y la protecci贸n de estos, as铆 como la manera de obtener el consentimiento de los titulares de la patria potestad o tutela sobre el ni帽o;

(g)聽the information provided to, and the protection of, children, and the manner in which the consent of the holders of parental responsibility over children is to be obtained;

h) las medidas y procedimientos a que se refieren los art铆culos聽24 y聽25 y las medidas para garantizar la seguridad del tratamiento a que se refiere el art铆culo聽32;

(h)聽the measures and procedures referred to in Articles 24 and 25 and the measures to ensure security of processing referred to in Article 32;

Textos enlazados

i) la notificaci贸n de violaciones de la seguridad de los datos personales a las autoridades de control y la comunicaci贸n de dichas violaciones a los interesados;

(i)聽the notification of personal data breaches to supervisory authorities and the communication of such personal data breaches to data subjects;

j) la transferencia de datos personales a terceros pa铆ses u organizaciones internacionales,聽o

(j)聽the transfer of personal data to third countries or international organisations; or

k) los procedimientos extrajudiciales y otros procedimientos de resoluci贸n de conflictos que permitan resolver las controversias entre los responsables del tratamiento y los interesados relativas al tratamiento, sin perjuicio de los derechos de los interesados en virtud de los art铆culos聽77 y聽79.

(k)聽out-of-court proceedings and other dispute resolution procedures for resolving disputes between controllers and data subjects with regard to processing, without prejudice to the rights of data subjects pursuant to Articles 77 and 79.

Textos enlazados

3. Adem谩s de la adhesi贸n de los responsables o encargados del tratamiento a los que se aplica el presente Reglamento, los responsables o encargados a los que no se aplica el presente Reglamento en virtud del art铆culo聽3 podr谩n adherirse tambi茅n a c贸digos de conducta aprobados de conformidad con el apartado聽5 del presente art铆culo y que tengan validez general en virtud del apartado聽9 del presente art铆culo, a fin de ofrecer garant铆as adecuadas en el marco de las transferencias de datos personales a terceros pa铆ses u organizaciones internacionales a tenor del art铆culo聽46, apartado聽2, letra聽e). Dichos responsables o encargados deber谩n asumir compromisos vinculantes y exigibles, por v铆a contractual o mediante otros instrumentos jur铆dicamente vinculantes, para aplicar dichas garant铆as adecuadas, incluidas las relativas a los derechos de los interesados.

3. In addition to adherence by controllers or processors subject to this Regulation, codes of conduct approved pursuant to paragraph 5 of this Article and having general validity pursuant to paragraph 9 of this Article may also be adhered to by controllers or processors that are not subject to this Regulation pursuant to Article聽3 in order to provide appropriate safeguards within the framework of personal data transfers to third countries or international organisations under the terms referred to in point (e) of Article聽46(2). Such controllers or processors shall make binding and enforceable commitments, via contractual or other legally binding instruments, to apply those appropriate safeguards including with regard to the rights of data subjects.

Textos enlazados

4. El c贸digo de conducta a que se refiere el apartado聽2 del presente art铆culo contendr谩 mecanismos que permitan al organismo mencionado en el art铆culo聽41, apartado聽1, efectuar el control obligatorio del cumplimiento de sus disposiciones por los responsables o encargados de tratamiento que se comprometan a aplicarlo, sin perjuicio de las funciones y los poderes de las autoridades de control que sean competentes con arreglo al art铆culo聽51 o聽56.

4. A code of conduct referred to in paragraph 2 of this Article shall contain mechanisms which enable the body referred to in Article聽41(1) to carry out the mandatory monitoring of compliance with its provisions by the controllers or processors which undertake to apply it, without prejudice to the tasks and powers of supervisory authorities competent pursuant to Article聽55 or 56.

Textos enlazados

5. Las asociaciones y otros organismos mencionados en el apartado聽2 del presente art铆culo que proyecten elaborar un c贸digo de conducta o modificar o ampliar un c贸digo existente presentar谩n el proyecto de c贸digo o la modificaci贸n o ampliaci贸n a la autoridad de control que sea competente con arreglo al art铆culo聽55. La autoridad de control dictaminar谩 si el proyecto de c贸digo o la modificaci贸n o ampliaci贸n es conforme con el presente Reglamento y aprobar谩 dicho proyecto de c贸digo, modificaci贸n o ampliaci贸n si considera suficientes las garant铆as adecuadas ofrecidas.

5. Associations and other bodies referred to in paragraph 2 of this Article which intend to prepare a code of conduct or to amend or extend an existing code shall submit the draft code, amendment or extension to the supervisory authority which is competent pursuant to Article聽55. The supervisory authority shall provide an opinion on whether the draft code, amendment or extension complies with this Regulation and shall approve that draft code, amendment or extension if it finds that it provides sufficient appropriate safeguards.

6. Si el proyecto de c贸digo o la modificaci贸n o ampliaci贸n es aprobado de conformidad con el apartado聽5 y el c贸digo de conducta de que se trate no se refiere a actividades de tratamiento en varios Estados miembros, la autoridad de control registrar谩 y publicar谩 el c贸digo.

6. Where the draft code, or amendment or extension is approved in accordance with paragraph聽5, and where the code of conduct concerned does not relate to processing activities in several Member聽States, the supervisory authority shall register and publish the code.

7. Si un proyecto de c贸digo de conducta guarda relaci贸n con actividades de tratamiento en varios Estados miembros, la autoridad de control que sea competente en virtud del art铆culo聽55 lo presentar谩 por el procedimiento mencionado en el art铆culo聽63, antes de su aprobaci贸n o de la modificaci贸n o ampliaci贸n, al Comit茅, el cual dictaminar谩 si dicho proyecto, modificaci贸n o ampliaci贸n es conforme con el presente Reglamento o, en la situaci贸n indicada en el apartado聽3 del presente art铆culo, ofrece garant铆as adecuadas.

7. Where a draft code of conduct relates to processing activities in several Member聽States, the supervisory authority which is competent pursuant to Article 55 shall, before approving the draft code, amendment or extension, submit it in the procedure referred to in Article聽63 to the Board which shall provide an opinion on whether the draft code, amendment or extension complies with this Regulation or, in the situation referred to in paragraph聽3 of this Article, provides appropriate safeguards.

Textos enlazados

8. Si el dictamen a que se refiere el apartado聽7 confirma que el proyecto de c贸digo o la modificaci贸n o ampliaci贸n cumple lo dispuesto en el presente Reglamento o, en la situaci贸n indicada en el apartado聽3, ofrece garant铆as adecuadas, el Comit茅 presentar谩 su dictamen a la Comisi贸n.

8. Where the opinion referred to in paragraph 7 confirms that the draft code, amendment or extension complies with this Regulation, or, in the situation referred to in paragraph聽3, provides appropriate safeguards, the Board shall submit its opinion to the Commission.

9. La Comisi贸n podr谩, mediante actos de ejecuci贸n, decidir que el c贸digo de conducta o la modificaci贸n o ampliaci贸n aprobados y presentados con arreglo al apartado聽8 del presente art铆culo tengan validez general dentro de la Uni贸n. Dichos actos de ejecuci贸n se adoptar谩n con arreglo al procedimiento de examen a que se refiere el art铆culo聽93, apartado聽2.

9. The Commission may, by way of implementing acts, decide that the approved code of conduct, amendment or extension submitted to it pursuant to paragraph聽8 of this Article have general validity within the Union. Those implementing acts shall be adopted in accordance with the examination procedure set out in Article聽93(2).

Textos enlazados

10. La Comisi贸n dar谩 publicidad adecuada a los c贸digos aprobados cuya validez general haya sido decidida de conformidad con el apartado聽9.

10. The Commission shall ensure appropriate publicity for the approved codes which have been decided as having general validity in accordance with paragraph 9.

11. El Comit茅 archivar谩 en un registro todos los c贸digos de conducta, modificaciones y ampliaciones que se aprueben, y los pondr谩 a disposici贸n p煤blica por cualquier medio apropiado.

11. The Board shall collate all approved codes of conduct, amendments and extensions in a register and shall make them publicly available by way of appropriate means.

ISO 27701 Considerandos Ley de Directrices y caso Deja un comentario
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.

Here is the relevant paragraph to article 40 GDPR:

5.2.1 Understanding the organization and its context

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.


para acceder al texto completo

Considerandos

(98) Se debe incitar a las asociaciones u otros organismos que representen a categor铆as de responsables o encargados a que elaboren c贸digos de conducta, dentro de los l铆mites fijados por el presente Reglamento, con el fin de facilitar su aplicaci贸n efectiva, teniendo en cuenta las caracter铆sticas espec铆ficas del tratamiento llevado a cabo en determinados sectores y las necesidades espec铆ficas de las microempresas y las peque帽as y medianas empresas. Dichos c贸digos de conducta podr铆an en particular establecer las obligaciones de los responsables y encargados, teniendo en cuenta el riesgo probable para los derechos y libertades de las personas f铆sicas que se derive del tratamiento.

(98) Associations or other bodies representing categories of controllers or processors should be encouraged to draw up codes of conduct, within the limits of this Regulation, so as to facilitate the effective application of this Regulation, taking account of the specific characteristics of the processing carried out in certain sectors and the specific needs of micro, small and medium enterprises. In particular, such codes of conduct could calibrate the obligations of controllers and processors, taking into account the risk likely to result from the processing for the rights and freedoms of natural persons.

(99) Al elaborar un c贸digo de conducta, o al modificar o ampliar dicho c贸digo, las asociaciones y otros organismos que representan a categor铆as de responsables o encargados deben consultar a las partes interesadas, incluidos los interesados cuando sea posible, y tener en cuenta las consideraciones transmitidas y las opiniones manifestadas en respuesta a dichas consultas.

(99) When drawing up a code of conduct, or when amending or extending such a code, associations and other bodies representing categories of controllers or processors should consult relevant stakeholders, including data subjects where feasible, and have regard to submissions received and views expressed in response to such consultations.

Ley de Directrices y caso Deja un comentario
[js-disqus]