¿Qué es Accountability y cómo se aplica en el RGPD?

¿Has oído hablar del principio de Accountability o Responsabilidad proactiva? En este artículo te explicamos qué es, cómo ponerlo en práctica en la empresa y cómo se relaciona con la normativa de protección de datos.

¿Qué es Accountability?

El principio de accountability se refiere a los valores, actitudes y responsabilidades que desarrolla una persona en un entorno laboral. Su forma de trabajar, su predisposición a mejorar, a cumplir las normas de la empresa o a ayudar a los demás.

Por tanto, accountability hace referencia a una forma de trabajar óptima dentro de una empresa.

Este término también se suele emplear de una forma más global. Es decir, no para referirse a una persona, sino a toda una organización.

Para que una empresa sea accountable, todos los miembros de la organización deben tener claros cuáles son los objetivos, empezando por los directivos de mayor rango.

Para cumplir con el principio de accountability todo los empleados de la empresa trabajan para completar con éxito tareas y proyectos por un fin común, sin que nadie tenga que recordárselo. Lo hacen por su propio sentido de la responsabilidad.

Por tanto, el accountability es un valor intrínseco a cada trabajador y al global de la empresa, unos valores que se educan e instalan dentro de su cultura organizacional, y que contribuyen a la que la empresa funcione mejor y sea más responsable.

Factores clave del accountability

El concepto de accountability es fundamental para que las empresas sean eficientes y rentables. Sin embargo, para ello es necesario tener en cuenta tres factores clave.

Responsabilidad

Cada miembro de la empresa es responsable de los éxitos y fracasos dentro de la organización, tanto en los proyectos individuales como grupales. El principio de responsabilidad se basa en el hecho de que todos los trabaja

dores son importantes dentro de la empresa y tienen su influencia a la hora de alcanzar los objetivos marcados.

Una empresa responsable estará formada por empleados y directivos responsables, que se preocupan por alcanzar las metas marcadas y rinden cuentas sobre su rendimiento, tanto si es positivo como negativo. Además, se ha de tener en cuenta la responsabilidad social de la empresa con su entorno.

Proactividad

Cada miembro de la organización ha de saber cuál es su papel y debe poner en marcha las acciones necesarias para cumplir con sus objetivos.

No se trata solo de hacer lo justo para cumplir de forma básica con las tareas. La proactividad se basa en proponer mejoras, ayudar a los demás si lo necesitan, presentarse voluntario a proyectos, etc. En definitiva, ser una parte activa de la empresa, no un trabajador que se limita a recibir órdenes y cumplirlas de forma automática.

Compromiso

El último factor clave en el accountability es el compromiso. Cada persona ha de identificarse con los valores y metas de la entidad, y luchar por conseguirlos. Todos reman en una misma dirección. Al entrar en la empresa, trabajadores y directivos adquieren un compromiso común, el de llevar la empresa a conseguir sus objetivos.

El compromiso se puede entender a un nivel personal, esto es, que cada trabajador cumpla con sus tareas con el máximo de calidad y en los plazos establecidos. Pero también se entiende de forma más general, como el sentimiento de pertenencia a la organización y la preocupación por todo lo que ocurre dentro de ella.

¿Cómo aplicar el accountability en la empresa?

Para alcanzar el accountability en la empresa es necesario establecer una cultura empresarial y una forma de trabajar basada en una serie de pilares.

Personas con liderazgo

Hay una gran diferencia entre ser un jefe y ser un líder. Un jefe no tiene por qué ser un líder, y un líder no tiene por qué ser un jefe. Las personas que son líderes se caracterizan por su carisma, por la capacidad de contagiar su optimismo y sus ambiciones a los demás. Son capaces de alcanzar objetivos que parecían lejanos, gracias al trabajo, la perseverancia y la influencia que ejerce sobre quienes están a su alrededor.

Responsabilizarse de los errores

Saber cuándo y en qué se ha fallado es imprescindible para poder mejorar. Si un trabajador o un directivo no se responsabiliza de sus errores, lo más probable es que vuelva a cometerlos. Además, quien echa la culpa a otro o no reconoce prácticas o actitudes erróneas, no puede cumplir con los principios de responsabilidad y compromiso, que son básicos para el accountability.

Hablar con resultados

No importa cuánto se te llene la boca diciendo que puedes hacer esto o lo otro. Lo que importa no es lo que dices, sino lo que haces. Tus resultados deben hablar por ti. Los miembros de la empresa deben mostrar de lo que son capaces con hechos, con realidades tangibles para la empresa.

Buscar soluciones

Los problemas no desaparecen cuando se mira a otro lado. Siguen ahí aunque ahora no los veas, y en algún momento aparecerán y serán todavía más grandes que antes, cuando tendrías que haberlos resuelto.

Una de las características de las personas proactivas es que no se quedan bloqueadas cuando algo no sale bien. Un trabajador o una empresa que cumpla con el principio de accountability siempre va a buscar soluciones a los problemas que se le presentan.

Evaluar el rendimiento

Ya que son los hechos quienes deben hablar sobre los trabajadores, es fundamental realizar un seguimiento de los resultados obtenidos por cada persona, área o por la empresa en total.

Evaluar el rendimiento es básico para saber si la empresa está alcanzando sus metas, o si hay que establecer unos objetivos más realistas.

Identificar pautas apropiadas

Cuando se demuestra que algo funciona dentro de la empresa, hay que hacer que todos tomen ejemplo. Todos dentro de la empresa han de saber cuál es la forma correcta de hacer cada tarea.

Estas pautas no se refieren estrictamente a los procesos o procedimientos de trabajo. También se han de aplicar al global de la empresa. Por ejemplo, a la forma de relacionarnos con los compañeros o los códigos de conducta dentro de la empresa.

Accountability y RGPD

Uno de los cambios más importantes que introduce el RGPD es el principio que exige que una organización cumpla con el conjunto de obligaciones establecidas en el Reglamento y que esté en disposición de demostrar este cumplimiento. Y esto, ¿qué significa?

El responsable del tratamiento debe aplicar medidas técnicas y organizativas apropiadas para poder garantizar y demostrar que el tratamiento que realiza es conforme con el RGPD, teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos para los derechos y libertades de las personas físicas.

Esta exigencia de Responsabilidad proactiva supone nuestra mayoría de edad en lo relativo a la protección de datos personales. Si nuestra vigente Ley Orgánica 15/1999, de 13 de diciembre de 1999, de Protección de Datos de Carácter Personal (LOPD), nos llevaban de la mano al indicarnos los requisitos y obligaciones detalladas en el tratamiento de la información personal, el nuevo Reglamento deja más en nuestras manos el decidir qué medidas implantamos, pero, eso sí, debiendo justificar nuestra elección y, ante todo, acreditar documentalmente su cumplimiento.

Como dos ejemplos de ello, podemos poner la obligación de inscripción de ficheros y las medidas de seguridad:

Actualmente, la vigente LOPD dispone la necesidad de notificar a la Agencia Española de Protección de Datos todos aquéllos ficheros con datos de carácter personal que existan en nuestra organización. Por contra, el nuevo Reglamento nos exime de dicha obligación. Pero, eso sí, nos obliga a llevar internamente un “Registro de actividades de tratamiento” que deberemos poner a disposición de la Autoridad de Control por si nos fuere requerido.
En cuanto a las medidas de seguridad, el Titulo VIII de nuestro vigente Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento desarrollo de la Ley Orgánica 15/1999, de 13 de junio de Protección de Datos de carácter personal, regula tres niveles diferenciados, el básico, medio y el alto, en función del tipo de datos tratados y con medidas muy concretas para cada uno de estos niveles. El nuevo Reglamento, por su parte, nos dispensa de tal clasificación y medidas concretas, dejando, una vez más, en nuestras manos la fijación de las medidas concretas de seguridad que aplicamos sobre los datos. Pero debiendo, eso sí, justificar su pertinencia y probar su aplicación efectiva para cumplir los objetivos obligatorios de integridad y confidencialidad de la información personal.

Obligaciones del Responsable del tratamiento

nuevas obligaciones del responsable de tratamiento en el rgpd Accountability

Con el nuevo RGPD el responsable del tratamiento pasa de una posición pasiva a otra activa que le obliga a demostrar que cumple con las obligaciones y requisitos exigidos en esta normativa. Entre las nuevas obligaciones están:

Llevar un registro de las actividades de tratamiento

Cuando tenga más de 250 empleados
En caso de que el tratamiento pueda entrañar un riesgo para los derechos y libertades de los interesados y no sea ocasional
Si trata categorías especiales de datos
Si se tratan datos relativos a condenas o delitos penales

Realizar una Evaluación de Impacto en la Protección de Datos personales

Cuando el tratamiento, por su naturaleza, alcance, contexto o fines, pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas (en especial si se utilizan nuevas tecnologías).

Incrementar la transparencia

De forma que se comunique a los interesados la información que les afecte de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, además de hacerlo de forma expresa, precisa e inequívoca como requería la LOPD.

Aplicar los principios de Privacidad desde el diseño y por defecto

Analizar con carácter previo al desarrollo de cualquier proyecto que implique un tratamiento de datos personales, las medidas organizativas y técnicas adecuadas para integrar en dicho tratamiento las garantías que permitan aplicar de forma efectiva los principios del RGPD (Privacidad desde el diseño) y adoptar las medidas que garanticen que solo se tratan los datos necesarios (Privacidad por defecto).

Designar un Delegado de Protección de Datos

En caso de que el tratamiento lo realice un organismo o entidad pública
Cuando las actividades principales consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala
Si las actividades consisten en el tratamiento a gran escala de categorías especiales de datos personales o de datos relativos a condenas e infracciones penales.

Notificar las violaciones de seguridad de los datos que se produzcan a la autoridad competente

En España la Agencia Española de Protección de Datos (AEPD), a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados.

Preguntas frecuentes

¿Cómo cumplir el principio de Responsabilidad proactiva?

La manera de cómo cumplir este principio es documentar los tratamientos de datos personales que realizas y establecer las áreas de riesgo. Este sería el primer paso y supone realizar un inventario de todas las actividades de tratamiento que se efectúan en tu empresa.

Todas las actividades de tratamientos de datos deben ser revisadas y registradas identificando “cuándo, por qué y quién” realizando un análisis de riesgo en cada tratamiento. También están incluidos los datos de empleados.

Algunos ejemplos de las preguntas que deberíamos hacernos son:

¿De qué informo al recoger los datos?
¿Dónde, cuándo y por qué realizo el tratamiento de los datos?
¿Tengo apoyo jurídico para tratarlos?
¿Me estoy adaptando a los principios del tratamiento de datos?
¿Qué datos se anonimizan?
¿Durante cuánto tiempo almaceno estos datos?
¿Realizo transferencias internacionales?
¿Solicito el consentimiento únicamente para mi empresa o también para terceros?
¿He inspeccionado y registrado los procesos de seguridad?

¿Cómo puede probar el responsable que el encargado cumple con la normativa?

El responsable del tratamiento deberá pedir al encargado que le justifique el cumplimiento de las medidas de seguridad necesarias en el acceso y tratamiento de los datos personales por cuenta del Responsable.

La forma más rápida establecida por el Reglamento es que ese encargado se haya adherido a códigos de conducta o que tenga un certificado de cumplimiento de protección de datos expedido por la autoridad de control competente y/o por organismo de certificación acreditado. Es importante en este punto evaluar la facilidad o en su caso dificultad de la obtención de dichos certificados por parte de la pequeñas y medianas empresas.

Es importante acreditar que el encargado adopta las medidas técnicas y organizativas antes citadas. La descripción detallada de las medidas se especificará en el El contrato de tratamiento de datos o bien se fijarán de acuerdo con un código de conducta, sello, certificación u otro estándar donde queden reflejadas las medidas, las cuales a la fecha están pendientes de aprobación.

Para ello, el responsable deberá realizar en todo caso una valoración del riesgo del tratamiento de datos personales para los derechos y libertades de las personas de conformidad con el servicio prestado por el encargado.

Espero que estas líneas hayan servido para ofrecerte algunas ideas y enfoques prácticos sobre cómo cumplir con este nuevo principio de accountability o responsabilidad proactiva.

Hasta aquí este post, para finalizar, me gustaría que me dejaras un comentario y que me digas qué te ha parecido y, de todo lo que has leído, qué parte vas a implementar la primera.

¿Necesitas cumplir el RGPD?

Solicita varios presupuestos

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.