El principio de Accountability o de Responsabilidad Proactiva

El principio de “Accountability” o “Responsabilidad Proactiva” viene regulado en al art. 5.2 y 24 así como en el considerando 74 del RGPD.

Artículo 5: Principios relativos al tratamiento

2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva«).

Artículo 24: Responsabilidad del responsable del tratamiento

1. Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.
2. Cuando sean proporcionadas en relación con las actividades de tratamiento, entre las medidas mencionadas en el apartado 1 se incluirá la aplicación, por parte del responsable del tratamiento, de las oportunas políticas de protección de datos.
3. La adhesión a códigos de conducta aprobados a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrán ser utilizados como elementos para demostrar el cumplimiento de las obligaciones por parte del responsable del tratamiento.

A través de este principio de protección de datos, el responsable y encargado de tratamiento estarán obligados a demostrar que sus actividades de tratamiento de datos cumplen con los principios relativos al tratamiento de datos (art. 5.1 del RGPD). Para ello deberán implantar unas medidas técnicas y organizativas apropiadas a fin de demostrar que los tratamientos que realizan son conformes con el RGPD. Estas medidas deberán ser actualizadas y revisadas periódicamente a través de procedimientos internos o externos de auditoría, o con la adhesión a códigos de conducta o procesos de certificación.

El principio de “Accountability” o de “Responsabilidad Proactiva” es un principio  ya introducido en 1980 por la OECD en el Códigos de Conducta o Guías de Protección de la Privacidad y flujo transfronterizo de datos personales y en el año 2010 por el Grupo de Trabajo del artículo 29 a través de la opinión 3/2010 sobre el principio de la Responsabilidad Proactiva o “Principio de Accountability”. En este informe el GT 29 presentó una propuesta concreta para introducir el principio de “Responsabilidad Proactiva” en la normativa de protección de datos, de tal forma que los responsables del tratamiento pongan en marcha procedimientos y medidas eficaces para garantizar el cumplimiento de los principios y obligaciones establecidos en la Directiva, y poder así demostrar ante las autoridades el cumplimiento de la misma.

Estas recomendaciones establecidas por el GT 29 fueron llevadas a la práctica por la Autoridad de Control Francesa el CNIL, la cual aprueba en enero de 2015, una norma de cumplimiento en materia de protección de datos. Dicha norma define las reglas y las mejores prácticas que debe implantar y desarrollar una organización para garantizar una gestión respetuosa con los principios de protección de datos de datos. La norma se divide en 25 apartados o requisitos relativos entre otras cuestiones, a la existencia de políticas de privacidad internas y externas, el nombramiento de un responsable de protección de datos, la gestión de las incidencias y siniestros etc. De esta manera la Autoridad de Control Francesa (CNIL) introduce en la normativa de protección de datos francesa el principio de “Responsabilidad Proactiva”, de tal forma que aquellas organizaciones que demuestren que cumplen con dicha norma de cumplimiento obtendrán un «sello de cumplimiento del principio de Responsabilidad proactiva» emitido por la Autoridad de Control Francesa (CNIL) garantizando el cumplimiento de la normativa francesa de protección de datos.

Nos encontramos, por tanto, con un principio que establece para los responsables y encargados una obligación “proactiva y sistemática” del cumplimiento de la normativa de protección de datos a través de la implantación de medidas técnicas y organizativas apropiadas, las cuales deberán incluir la protección de datos desde el diseño y por defecto en aquellas áreas de la organización donde sean necesarias. El objetivo final de la implantación de dichas políticas o medidas de protección de datos o programas de gestión interna de la privacidad no es otro que garantizar que las actividades de tratamiento realizadas por el responsable cumplen con lo establecido en RGPD.

Es conveniente aclarar que las medidas técnicas y organizativas que señala el principio de Responsabilidad Proactiva, no deben de asimilarse o confundirse con a las medidas técnicas y organizativas de seguridad que marca nuestro RLOPD, ya que las mismas, como veremos más adelante, constituirían un apartado de dichas medidas, políticas o procesos en materia de protección de datos que es necesario implantar por los responsables y encargados.

Existe un cambio importante en cuanto al enfoque con respecto a la Directiva 95/46/CE, ya que si bien con la Directiva se buscaba evitar la infracción de los derechos de los interesados como obligación principal con el RGPD se busca la anticipación a la infracción o lesión de derechos. Se busca el cumplimiento con antelación para evitar así la lesión o infracción del derecho o libertad del interesado. Por tanto, es un cambio de enfoque con consecuencias reales, ya que el hecho de la falta de adopción de alguna de las medidas u obligaciones establecidas por el RGPD puede originar la imposición de una sanción al responsable o encargado de tratamiento sin que previamente exista una lesión de los derechos y libertades del afectado o interesado.

Las medidas a las que hace referencia el RGPD se podrían resumir en las siguientes:

• Registro de Actividades.
• Medidas de Protección de Datos desde el Diseño.
• Medidas de Protección de Datos por Defecto.
• Medidas de Seguridad Adecuadas.
• Evaluaciones de Impacto.
• Autorización previa o Consultas previas con la Autoridad de Control.
• Delegado de Protección de Datos.
• Notificación de Violación de Seguridad.

Nos encontramos con un principio fundamental en la normativa de protección de datos (incluido dentro de los principios fundamentales de tratamiento del art. 5 del RGPD) que no es otro que la obligación de los responsables y encargados de implantar un sistema interno de cumplimiento en materia de protección de datos. Sistema que estará integrado por distintas políticas o procesos internos de privacidad que deberán ser actualizados y auditados periódicamente de manera que permitan demostrar el cumplimiento del RGPD.

En comparación con nuestra normativa de protección de datos, podemos por tanto comprobar que si bien durante años lo servicios de Auditoría Bienal, y por tanto el cumplimiento de las medidas técnicas y organizativas de seguridad, se constituían como los servicios o las obligaciones que marcaban el cumplimiento de una organización en materia de protección de datos, con el RGPD se produce un giro importante de 180º en la forma de gestionar dicho cumplimiento normativo, pasando a tener una mayor relevancia la adecuación jurídica o el cumplimiento normativo de protección de datos, siendo el cumplimiento técnico o en materia de seguridad uno de los elementos a tener en cuenta en el sistema empresarial de cumplimiento de protección de datos. Vemos por tanto que sistema de cumplimiento normativo de protección de datos va a tener muchas similitudes en cuanto a los procedimientos y procesos con sistemas de cumplimiento normativo ya existentes en nuestra normativa, como pueden ser los sistemas de cumplimiento normativo en materia de Prevención de Blanqueo de Capitales y Responsabilidad Penal Corporativa.

CONCLUSIONES

• El sistema interno de cumplimiento de la normativa de protección de datos, deberá incluir diversas políticas o procesos internos de protección de datos o privacidad que deberán ser actualizados y auditados periódicamente.
• El principio de Accountability o Responsabilidad Proactiva establece una obligación proactiva y sistemática del cumplimiento de la normativa de protección de datos, a través de la implantación de medidas técnicas y organizativas apropiadas.

1.1 Enfoque de aproximación al riesgo

El enfoque de aproximación al Riesgo se recoge en el art. 24 y en los considerandos 75 a 77 del RGPD.

Para el cumplimiento del principio de “Responsabilidad Proactiva” el responsable y encargado de tratamiento deberán previamente realizar un análisis y estudio del cumplimiento en materia de protección de datos basado en el riesgo. Es decir, deberán analizar qué medidas de protección de datos son necesarias implantar para garantizar el cumplimiento del RGPD, en función de naturaleza, alcance, contexto y finalidades del tratamiento de datos que realicen, así como de los riesgos o probabilidades de intromisión en los Derechos y libertades de los interesados.

De esta manera cuanto más probable y grave sea el riesgo del tratamiento, más medidas de protección de datos serán necesarias implantar para contrarrestarlos (nuevamente conviene aclarar que no se trata únicamente de medidas de seguridad técnica). Según el considerando 75:

“Los riesgos para los derechos y libertades de las personas físicas, de gravedad y probabilidad variable, pueden deberse a tratamientos de datos que pudiera provocar daños y perjuicios físicos, materiales o inmateriales.”

Con el objeto de poder tener una idea aproximada de lo que debe de ser considerado como riesgo, el considerando 75 del RGPD enumera aquellos tratamientos de datos que pueden ser considerados de riesgo para los derechos y libertades de los interesados:

• Tratamiento que puede dar lugar problemas de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo;
• Tratamiento que pueda privar a los interesados de sus derechos y libertades o impedirles ejercer el control sobre sus datos personales;
• Tratamiento de datos personales sensibles que revelen origen étnico o racial, las opiniones políticas, la religión o creencias filosóficas, la militancia en sindicatos y el tratamiento de datos genéticos, datos relativos a la salud o datos sobre la vida sexual, o las condenas e infracciones penales o medidas de seguridad conexas;
• Tratamiento en la elaboración de perfiles, en particular el análisis o la predicción de aspectos referidos al rendimiento en el trabajo, situación económica, salud, preferencias o intereses personales, fiabilidad o comportamiento, situación o movimientos, con el fin de crear o utilizar perfiles personales;
• Tratamiento de datos personales de personas físicas vulnerables, en particular de niños;
• Tratamiento que implica una gran cantidad de datos personales y que afecta a un gran número de interesados.

Por otro lado, y según el considerando 76, dicho riesgo deberá ponderarse en algunos casos y evaluarse de forma objetiva en otros para determinar si existe un «riesgo» o un «riesgo alto«.

Por último, dado que el RGPD puede introducir situaciones de indeterminación en cuanto al riesgo a considerar en el tratamiento de datos, el considerando 77 establece que podrá proporcionarse más orientación sobre la identificación y evaluación de los riesgos del tratamiento de datos, y sobre la identificación de enfoques de mejores prácticas para mitigar esos riesgos, a través de  códigos de conducta, certificaciones y directrices aprobadas por Comité el Grupo de Trabajo del artículo 29, o  incluso por el propio Delegado de Protección de Datos de la Organización.

Por tanto, podemos comprobar que a diferencia de nuestra actual normativa el enfoque de aproximación al riesgo supone que las medidas y políticas de protección de datos a implantar no serán aplicables por igual por todos los responsables y encargados, si no que se adoptarán en función del riesgo que se produzca en el tratamiento de datos para los derechos y libertades de los afectados.  En este sentido, el enfoque de aproximación al riesgo en la implantación de medidas podrá jugar en un doble sentido:

• Adopción de medidas. Se aplicarán determinadas medidas en función de si se produce un alto riesgo para los derechos y libertades de los interesados.
• Ponderación dentro de la propia medida. En otros casos el riesgo funcionará como un factor de ponderación en la propia medida que deba ser implantada, estableciendo determinadas acciones específicas en función del riesgo existente.

El enfoque basado en el riesgo se configura como un factor clave dentro del proceso de adecuación o cumplimiento de la normativa de protección de datos, ya que todo responsable o encargado deberán previamente analizar el nivel de riesgo en el que se encuentra respecto de los tratamientos de datos que realice o asuma.

CONCLUSIONES

• Los responsables de tratamiento deben de aplicar las medidas de protección de datos en función del enfoque de aproximación al riesgo atendiendo a la naturaleza, alcance, contexto y finalidades del tratamiento de datos, así como de los riesgos o probabilidades de intromisión en los Derechos y libertades.
• Los tratamientos que pueden ser considerados de riesgo son: aquellos que produzcan perjuicios económicos o sociales, priven del control de los datos a los interesados, traten datos sensibles, elaboren perfiles de comportamiento, afecten a personas vulnerables (niños), e impliquen una gran cantidad de datos o afecten a un gran número de interesados.
• El enfoque de aproximación al riesgo supone que las medidas y políticas de protección de datos a implantar no serán aplicables por igual por todos los responsables y encargados.