¿Has oído hablar del principio de Accountability o Responsabilidad proactiva?

La idea de redactar este post ha surgido por las frecuentes consultas que me realizan sobre la implementación del RGPD en la empresa. Y, sobre todo, por la preocupación sobre cómo demostrar que estoy cumpliendo lo que dice esta normativa.

El principio de accountability o responsabilidad proactiva será un nuevo concepto fundamental a comprender por parte de las empresas y organizaciones, para la correcta aplicación a este entorno del nuevo Reglamento General de Protección de Datos.

¿Qué es el principio de Accountability?

Uno de los cambios más importantes que prevé el nuevo RGPD es el principio que exige que una organización cumpla con el conjunto de obligaciones establecidas en el Reglamento y que esté en disposición de demostrar este cumplimiento. Y esto, ¿qué significa?

El responsable del tratamiento debe aplicar medidas técnicas y organizativas apropiadas para poder garantizar y demostrar que el tratamiento que realiza es conforme con el RGPD, teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos para los derechos y libertades de las personas físicas.

Esta exigencia de Responsabilidad proactiva supone nuestra mayoría de edad en lo relativo a la protección de datos personales. Si nuestra vigente Ley Orgánica 15/1999, de 13 de diciembre de 1999, de Protección de Datos de Carácter Personal (LOPD), nos llevaban de la mano al indicarnos los requisitos y obligaciones detalladas en el tratamiento de la información personal, el nuevo Reglamento deja más en nuestras manos el decidir qué medidas implantamos, pero, eso sí, debiendo justificar nuestra elección y, ante todo, acreditar documentalmente su cumplimiento.

Del cumplimiento a la prueba del cumplimiento

El nuevo Reglamento General de Protección de Datos (RGPD), de obligado cumplimiento a partir del próximo 25 de mayo, ha transformado la legislación en materia de privacidad. Si hasta el momento bastaba con aplicar los protocolos y exigencias estipuladas en la LOPD, ahora se establece la necesidad de demostrar que la entidad cumple con la normativa.

Como dos ejemplos de ello, podemos poner la obligación de inscripción de ficheros y las medidas de seguridad:

  • Actualmente, la vigente LOPD dispone la necesidad de notificar a la Agencia Española de Protección de Datos todos aquéllos ficheros con datos de carácter personal que existan en nuestra organización. Por contra, el nuevo Reglamento nos exime de dicha obligación. Pero, eso sí, nos obliga a llevar internamente un “Registro de actividades de tratamiento” que deberemos poner a disposición de la Autoridad de Control por si nos fuere requerido.
  • En cuanto a las medidas de seguridad, el Titulo VIII de nuestro vigente Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento desarrollo de la Ley Orgánica 15/1999, de 13 de junio de Protección de Datos de carácter personal, regula tres niveles diferenciados, el básico, medio y el alto, en función del tipo de datos tratados y con medidas muy concretas para cada uno de estos niveles. El nuevo Reglamento, por su parte, nos dispensa de tal clasificación y medidas concretas, dejando, una vez más, en nuestras manos la fijación de las medidas concretas de seguridad que aplicamos sobre los datos. Pero debiendo, eso sí, justificar su pertinencia y probar su aplicación efectiva para cumplir los objetivos obligatorios de integridad y confidencialidad de la información personal.

Obligaciones del Responsable del tratamiento

nuevas obligaciones del responsable de tratamiento en el rgpd Accountability

Con el nuevo RGPD el responsable del tratamiento pasa de una posición pasiva a otra activa que le obliga a demostrar que cumple con las obligaciones y requisitos exigidos en esta normativa. Entre las nuevas obligaciones están:

Llevar un registro de las actividades de tratamiento

  • Cuando tenga más de 250 empleados
  • En caso de que el tratamiento pueda entrañar un riesgo para los derechos y libertades de los interesados y no sea ocasional
  • Si trata categorías especiales de datos
  • Si se tratan datos relativos a condenas o delitos penales

Realizar una Evaluación de Impacto en la Protección de Datos personales

Cuando el tratamiento, por su naturaleza, alcance, contexto o fines, pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas (en especial si se utilizan nuevas tecnologías).

Incrementar la transparencia

De forma que se comunique a los interesados la información que les afecte de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, además de hacerlo de forma expresa, precisa e inequívoca como requería la LOPD.

Aplicar los principios de Privacidad desde el diseño y por defecto

Analizar con carácter previo al desarrollo de cualquier proyecto que implique un tratamiento de datos personales, las medidas organizativas y técnicas adecuadas para integrar en dicho tratamiento las garantías que permitan aplicar de forma efectiva los principios del RGPD (Privacidad desde el diseño) y adoptar las medidas que garanticen que solo se tratan los datos necesarios (Privacidad por defecto).

Designar un Delegado de Protección de Datos

  • En caso de que el tratamiento lo realice un organismo o entidad pública
  • Cuando las actividades principales consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala
  • Si las actividades consisten en el tratamiento a gran escala de categorías especiales de datos personales o de datos relativos a condenas e infracciones penales.

Notificar las violaciones de seguridad de los datos que se produzcan a la autoridad competente

En España la Agencia Española de Protección de Datos (AEPD), a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados.

Preguntas frecuentes

¿Cómo cumplir el principio de Responsabilidad proactiva?

La manera de cómo cumplir este principio es documentar los tratamientos de datos personales que realizas y establecer las áreas de riesgo. Este sería el primer paso y supone realizar un inventario de todas las actividades de tratamiento que se efectúan en tu empresa.

Todas las actividades de tratamientos de datos deben ser revisadas y registradas identificando “cuándo, por qué y quién” realizando un análisis de riesgo en cada tratamiento. También están incluidos los datos de empleados.

Algunos ejemplos de las preguntas que deberíamos hacernos son:

  • ¿De qué informo al recoger los datos?
  • ¿Dónde, cuándo y por qué realizo el tratamiento de los datos?
  • ¿Tengo apoyo jurídico para tratarlos?
  • ¿Me estoy adaptando a los principios del tratamiento de datos?
  • ¿Qué datos se anonimizan?
  • ¿Durante cuánto tiempo almaceno estos datos?
  • ¿Realizo transferencias internacionales?
  • ¿Solicito el consentimiento únicamente para mi empresa o también para terceros?
  • ¿He inspeccionado y registrado los procesos de seguridad?

¿Cómo puede probar el responsable que el encargado cumple con la normativa?

El responsable del tratamiento deberá pedir al encargado que le justifique el cumplimiento de las medidas de seguridad necesarias en el acceso y tratamiento de los datos personales por cuenta del Responsable.

La forma más rápida establecida por el Reglamento es que ese encargado se haya adherido a códigos de conducta o que tenga un certificado de cumplimiento de protección de datos expedido por la autoridad de control competente y/o por organismo de certificación acreditado. Es importante en este punto evaluar la facilidad o en su caso dificultad de la obtención de dichos certificados por parte de la pequeñas y medianas empresas.

Es importante acreditar que el encargado adopta las medidas técnicas y organizativas antes citadas. La descripción detallada de las medidas se especificará en el contrato con el encargado o bien se fijarán de acuerdo con un código de conducta, sello, certificación u otro estándar donde queden reflejadas las medidas, las cuales a la fecha están pendientes de aprobación.

Para ello, el responsable deberá realizar en todo caso una valoración del riesgo del tratamiento de datos personales para los derechos y libertades de las personas de conformidad con el servicio prestado por el encargado.

Espero que estas líneas hayan servido para ofrecerte algunas ideas y enfoques prácticos sobre cómo cumplir con este nuevo principio de accountability o responsabilidad proactiva.

Hasta aquí este post, para finalizar, me gustaría que me dejaras un comentario y que me digas qué te ha parecido y, de todo lo que has leído, qué parte vas a implementar la primera.

¿Necesitas cumplir el RGPD?

Accountability en el RGPD: un nuevo principio que va a dar que hablar
4.7 (94.55%) 11 votos