¿Qué es un código de conducta?

Un código de conducta es una figura recogida por el Reglamento General de Protección de Datos por la que se da la posibilidad a las organizaciones sectoriales de crear sus propios códigos de cumplimiento del RGPD adaptados específicamente a sus propias actividades. Se trata, en palabras de la propia Agencia Española de Protección de Datos de “buscar tipologías de tratamiento o problemas específicos que se puedan estandarizar o a los que se puedan dar unas soluciones comunes y promover desde el sector de actividad unos códigos de conducta específicos”.

El RGPD se refiere a los códigos de conducta en su Artículo 40 como códigos “destinados a contribuir a la correcta aplicación del presente Reglamento, teniendo en cuenta las características específicas de los distintos sectores de tratamiento y las necesidades específicas de las microempresas y las pequeñas y medianas empresas”.

¿En qué se diferencia de los antiguos códigos tipo?

La LOPD de 1999 definía de este modo los códigos tipo:

Mediante acuerdos sectoriales, convenios administrativos o decisiones de empresa, los responsables de tratamientos de titularidad pública y privada, así como las organizaciones en que se agrupen, podrán formular códigos tipo que establezcan las condiciones de organización, régimen de funcionamiento, procedimientos aplicables, normas de seguridad del entorno, programas o equipos, obligaciones de los implicados en el tratamiento y uso de la información personal, así como las garantías, en su ámbito, para el ejercicio de los derechos de las personas con pleno respeto a los principios y disposiciones de la presente Ley y sus normas de desarrollo.


Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

La antigua LOPD no obligaba a que los códigos tipo fuesen detallados, de hecho, lo especificaba en su texto de este modo: “Los citados códigos podrán contener o no reglas operacionales detalladas de cada sistema particular y estándares técnicos de aplicación. Sin embargo, los códigos tipo tendían a recoger en detalle todos los supuestos de tratamiento de cada sector y por lo tanto eran muy costosos de crear y mantener por parte de las organizaciones sectoriales.

El RGPD concede una gran flexibilidad a la hora de elaborar códigos tipo algo que D. Jesús Rubí Navarrete, Adjunto a la Dirección de la Agencia Española de Protección de Datos, comentó recientemente en un acto celebrado en la sede del Grupo PSN

Hay una diferencia importante respecto a la regulación anterior de los códigos tipo. Los códigos tipo, con el fin de que tuvieran un elevado valor añadido, se exigía que incorporasen el conjunto de actividades de tratamiento de un determinado sector de la A a la Z. El reglamento europeo y la ley de protección de datos dejan bien claro que hay una enorme flexibilidad y que se puede hacer un código de conducta limitado a ciertas actividades sectoriales o limitado a la garantía del ejercicio de ciertos derechos, limitado, en fin, a lo que se quiera.”


D. Jesús Rubí Navarrete

¿Cuáles son sus ventajas?

La principal ventaja de la creación de un código de conducta se especifica con claridad en el artículo 24 punto 3 del Reglamento General de protección de Datos que dice lo siguiente:

La adhesión a códigos de conducta aprobados a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrán ser utilizados como elementos para demostrar el cumplimiento de las obligaciones por parte del responsable del tratamiento.

Jesús Rubí profundizaba recientemente sobre esta idea con estas palabras:

Los códigos de conducta en el Reglamento General de Protección de Datos tienen una ventaja jurídica añadida que es que, cuando se han elaborado y se han supervisado por una autoridad de control, los adheridos al código tienen una presunción de que están cumpliendo con el RGPD en los términos en los que se prevea (en dicho código de conducta).


D. Jesús Rubí Navarrete

Otra ventaja de los códigos de conducta es su flexibilidad ya que, en palabras de Rubí “el reglamento europeo y la ley de protección de datos dejan bien claro que hay una enorme flexibilidad y que se puede hacer un código de conducta limitado a ciertas actividades sectoriales o limitado a la garantía del ejercicio de ciertos derechos, limitado, en fin, a lo que se quiera.” Además, el RGPD introduce flexibilidad también en cuanto a los tipos de organizaciones que pueden promover estos códigos tipo, ya que, según Rubí “puede ser sectorial, puede ser también una empresa, una administración, es decir, que existe la máxima flexibilidad para tratar de estimular los códigos de conducta.”

¿Cuál es la postura de la AEPD respecto a los códigos de conducta?

Dentro de los poderes de la AEPD, según el RGPD, está el de “alentar la elaboración de códigos de conducta” así como ” dictaminar y aprobar los códigos de conducta que den suficientes garantías.” Por lo tanto, la AEPD está animando activamente a que los distintos sectores elaboren sus propios códigos de conducta.

En su reciente intervención en una jornada sobre protección de datos, el adjunto a la dirección de la AEPD, Jesús Rubí aseguraba que “hay un interés grande por parte de la agencia (AEPD) en que se desarrollen los denominados códigos de conducta.