Firmas

El principio de la accountability y la proteccion de datos

Javier Puyol
El principio de la accountability y la proteccion de datos
Javier Puyol es abogado y socio de ECIXGroup.
11/1/2015 13:11
|
Actualizado: 23/2/2016 11:43
|

Al hablar de rendición de cuenta, muchos tienen ciertos atisbos de lo que se trata. Sin embargo, hay un concepto asociado a la rendición de cuentas, el “accountability”, que se utiliza como sinónimo de responsabilidad, de dar cuenta, responder por, dar cumplimiento, básicamente a nivel de gestión pública. En rigor no existe un consenso sobre qué es la rendición de cuentas o “accountability”: es aún un concepto en construcción. Tanto en lo público como en lo privado, ha surgido la necesidad de transparentar acciones y decisiones, de dar cuenta a la sociedad de políticas de administración, gobierno y funciones; de informar y ser transparentes. Es por esto que la rendición de cuenta surge como una herramienta para lograr tales fines tal se señala desde el Congreso de Chile.

Hay expertos como Alnoor Ebrahim que define el concepto de rendición de cuentas como “la responsabilidad de responder por un desempeño particular ante las expectativas de distintas audiencias, partes interesadas”. Simon Zadek, lo define como el proceso de “lograr que sean responsables quienes tienen poder sobre las vidas de la gente y finalmente de una voz o canal de expresión de la gente sobre temas que repercuten en sus propias vidas”, mientras David Bonbright dice que “la rendición de cuentas es una parte esencial del proceso de democratización, del proceso de crear frenos y contrapesos que aseguren que el menos privilegiado y con menos poder puede retar y reconfigurar las dinámicas del poder social”. En política y en las democracias representativas, la rendición de cuentas asegura la legitimidad del poder público, por lo mismo en algunos países es parte de la agenda del debate público.

En Gran Bretaña, por ejemplo, la rendición de cuentas desde 1995 es un principio de la vida pública: «Los titulares de cargos públicos son responsables de sus decisiones y acciones al público y deben someterse a cualquier control adecuado de su oficina«. Más desarrollo de este principio en  «Standars in Public Life: Firs Report of the Committee on Standars in Public Life» (1995).

La “accountability” es el  reconocimiento, asunción de responsabilidad y actitud transparente sobre los impactos de las políticas, decisiones, acciones, productos y desempeño asociado a una organización. Esto obliga a las organizaciones a implicar a  los grupos de interés para identificar, comprender y responder a los temas y preocupaciones referentes a la sostenibilidad. Asimismo, obliga a  informar, explicar y dar respuesta a los grupos de interés acerca de las decisiones, las acciones y el desempeño. Incluye el modo en el que una organización gobierna, formula su estrategia y gestiona su desempeño.  La premisa básica es que una organización responsable tomará medidas para: 

a). Establecer una estrategia basada en un entendimiento exhaustivo y equilibrado y que responda a los temas relevantes y a los asuntos y preocupaciones de los grupos de interés;

b). Establecer objetivos y normas para poder gestionar y evaluar su estrategia y el desempeño relacionado, y

c). Divulgar información creíble sobre su estrategia, objetivos, normas y desempeño a aquellos que basan sus acciones y decisiones en esta información.

En materia de protección este principio alude, tal como señala la Agencia Española de protección de Datos a la responsabilidad de las compañías, principalmente multinacionales que operan a escala global, en la implantación de medidas, en el seno de sus organizaciones, de garantía y cumplimiento de los principios y obligaciones en materia de protección de datos, así como el establecimiento de mecanismos internos y externos para evaluar su fiabilidad y demostrar su efectividad cuando se solicite por las autoridades de control. Este principio tiene una gran relevancia tanto en entornos públicos como privados, particularmente en el contexto actual, marcado por el empleo intensivo de nuevas tecnologías y, fundamentalmente, de los servicios de Internet.

Nuñez ha indicado que en la práctica, y desde el punto de vista de la privacidad, la “accountability“ tendría dos grandes vertientes: por un lado, la implementación de una cultura de respeto a este derecho fundamental en el seno de la organización, acompañada del establecimiento de todo tipo de garantías para preservar los principios y obligaciones que del mismo se derivan; por el otro, el compromiso de ser transparente en las actuaciones diarias, generando mecanismos que permitan calibrar y controlar hasta qué punto las garantías anteriores funcionan correctamente, y poniéndolos a disposición de las autoridades en caso de que éstas así lo requieran. La cuestión según este autor, es: ¿podría un modelo como ese, basado en un mero compromiso ético, aplicarse en la Europa continental? ¿Y en España, por ser más concretos?

La respuesta se halla, quizás, en una frase atribuida a Abraham Lincoln: una ley sin régimen sancionador es simplemente un buen consejo. Pero, ¿por qué no hacer convivir ciertos aspectos de la “accountability” con la legislación tradicional? Lo cierto es que son varios los países europeos que incluyen, en su normativa nacional, beneficios para aquellas empresas que demuestren un serio compromiso con el cumplimiento de la legislación. Sin ir más lejos, y desde la reforma de la LOPD de 2011, España es uno de ellos (si bien con consecuencias prácticas poco destacables): a la hora de graduar las sanciones, párrafos como el 45.4.i) o el 45.5.d) permiten rebajar la cuantía de las multas basándose en conceptos como la “diligencia exigible” o el “reconocimiento espontáneo de culpabilidad”. Dos ejemplos de conductas típicamente encuadrables en el concepto de “accountability”. También los Estándares Internacionales de Privacidad aprobados en la Conferencia Internacional de Madrid (2009) abordan esta materia, dedicando su artículo más extenso (el 22º) a invitar a los legisladores a incentivar este tipo de prácticas. De hecho, proponen incluso una serie de medidas a título enunciativo, entre las que se incluyen la privacy by design, la formación al personal o la designación de “oficiales de privacidad”. Algunas de estas prácticas han sido incluidas en el proyecto de Reglamento que actualmente se discute en Bruselas. Sin embargo, el enfoque planteado por el legislador europeo es bien diferente al modelo “ético” o “incentivador” que hemos visto hasta ahora: antes al contrario, centra sus planteamientos desde una perspectiva coercitiva, englobando estas medidas bajo una etiqueta bien distinta: “responsibility”.

En este sentido, debe indicarse que el artículo 22 de la Resolución legislativa del Parlamento Europeo, de 12 de marzo de 2014, sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos) (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD), se establece un principio de rendición de cuentas en los siguientes términos:

  1. El responsable del tratamiento adoptará políticas adecuadas e implementará medidas técnicas y organizativas apropiadas y verificables para asegurar y poder demostrar de forma transparente que el tratamiento de datos personales se lleve a cabo de conformidad con el presente Reglamento, teniendo en cuenta las técnicas existentes, la naturaleza del tratamiento de los datos personales, el contexto, el alcance y los fines del tratamiento, los riesgos para los derechos y libertades de los interesados, y el tipo de organización, y ello tanto en el momento de determinar los medios del tratamiento como en el momento del tratamiento propiamente dicho.

1 bis. Habida cuenta de las técnicas existentes y de los costes asociados a su  implementación, el responsable del tratamiento tomará todas las medidas razonables para aplicar políticas y procedimientos de control del cumplimiento que respeten sistemáticamente las decisiones autónomas de los interesados.  Estas políticas de control del cumplimiento se revisarán al menos cada dos años y se actualizarán cuando sea necesario”.

Casado indica que las consecuencias fundamentales de la introducción de este precepto llevará consigo, que se concreten en el hecho de que se introduce una responsabilidad general de la empresa por cualquier tratamiento de datos que realice directamente, o bien, a través de un tercero. En este caso, las empresas tendrán que cumplir la norma, y también ser capaces de demostrar que han cumplido; extremo que, a su vez, deberá ser verificado por auditores externos. Se introduce así, por tanto, el principio de «accountability« o de rendición de cuentas, muy extendido en el mundo anglosajón y que poco a poco empieza a hacerse hueco en nuestro país. Y González-Calero ha señalado que el responsable del tratamiento en concreto deberá ser capaz de documentar conforme a lo previsto en el Reglamento, implementar las medidas de seguridad previstas en el mismo, y en su caso, la realización de la evaluación de impacto, la autorización o consulta previa a la autoridad de control o el nombramiento del delegado de protección de datos. También deberá poder demostrar la idoneidad y eficacia de las medidas reflejadas anteriormente.

Planteado el principio, a ningún experto en la materia se le escapa el vuelco radical que sufrirán los caducos modelos de negocio de consultoría y auditoría en protección de datos, de aprobarse la Propuesta de Reglamento General en los términos previstos. Hasta la fecha y mientras no exista un nuevo marco normativo, el margen de decisión es mínimo puesto que las obligaciones están tasadas (inscripción, documento de seguridad implementado, información, consentimiento, auditorías…). Cuando este principio opere, claro está que determinados aspectos de cumplimiento normativo estarán igualmente reglados y se sabrá de antemano en qué casos es obligatorio realizar una evaluación de impacto, nombrar un delegado de protección de datos o solicitar una autorización previa a la autoridad de control. Igualmente quedará claro en qué términos hay que informar y obtener el consentimiento del afectado, qué derechos les asisten o cuales son las consecuencias del incumplimiento del Reglamento.

El desarrollo de nuevas tecnologías y la persistente globalización de la economía y la sociedad han llevado a una proliferación de la información personal que se recoge, clasifica, transfiere o conserva. Consiguientemente los riesgos para dichos datos se multiplican. 

Consecuencia de todo lo anterior, el Grupo de Trabajo del Artículo 29 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, considera que a las medidas comunes de responsabilidad, entre las que se puede materialmente concretar este principio de la “accountability”, pueden ser, entre otras, las que se citan a continuación: 

a). El   establecimiento de procedimientos internos previos a la creación de nuevas operaciones de tratamiento de datos personales (revisión interna, evaluación, etc.);

b). El   establecimiento de políticas escritas y vinculantes de protección de datos que se tengan en cuenta y se valoren en nuevas operaciones de tratamiento de datos (p.ej., cumplimiento de los criterios de calidad de datos, notificación, principios de seguridad, acceso, etc.) que deben ponerse a disposición de las personas interesadas; 

c). La cartografía de procedimientos que garanticen la identificación correcta de todas las operaciones de tratamiento de datos y el mantenimiento de un inventario de operaciones de tratamiento de datos; 

d). El  nombramiento de un funcionario de protección de datos y otras personas responsables de la protección de datos; 

e). La  oferta adecuada de protección de datos y formación a los miembros del personal; esto debe incluir a los procesadores (o responsables del proceso) de datos personales (como los directores de recursos humanos) pero también a los administradores de tecnologías de la información, conceptores y directores de unidades comerciales; deben asignarse recursos suficientes para la gestión de la privacidad, etc…; establecimiento de procedimientos de gestión del acceso y de las demandas de corrección y eliminación de datos con transparencia para las personas interesadas;

f), El  establecimiento de un mecanismo interno de tratamiento de quejas;

g). El establecimiento de procedimientos internos de gestión y notificación eficaces de fallos de seguridad; 

h). La realización de evaluaciones de impacto sobre la privacidad en circunstancias específicas;

i). La  aplicación y supervisión de procedimientos de verificación que garanticen que las medidas no sean solo nominales sino que se apliquen y funcionen en la práctica (auditorías internas o externas, etc.).  

El citado Grupo de Trabajo del artículo 29 en sus opiniones está convencido de que el aumento no solo de los riesgos sino del valor de los datos personales en sí abundan en la necesidad de reforzar el papel y la responsabilidad de los responsables del tratamiento de datos. Un marco normativo que atienda a esta nueva realidad debe incluir las herramientas necesarias para incitar a los responsables del tratamiento a aplicar en la práctica medidas adecuadas y eficaces que cumplan los objetivos de los principios de protección de datos. Procedimientos para garantizar la identificación de todas las operaciones de tratamiento de datos, para tratar las solicitudes de acceso, para la asignación de recursos, incluida la designación de las personas responsables de la organización del cumplimiento de las normas de protección de datos, son ejemplos de dichas medidas. 

Para estimular en la práctica la protección de datos, ha sugerido el exigir que los responsables del tratamiento de datos  tanto públicos como privados, que apliquen medidas adecuadas y eficaces para garantizar el cumplimiento de los principios y obligaciones de la Directiva de protección de datos, demostrándolo ante las autoridades que se lo soliciten. Estas medidas deben fomentar la observancia de los principios y obligaciones de protección de datos a la vez que minimizan los riesgos de acceso no autorizado, abuso, pérdida, etc. La obligación de demostrar la implantación de las medidas necesarias, si así se solicita, sería una herramienta útil para las autoridades de protección de datos en sus funciones ejecutivas. Las medidas a adoptar deberían poder modularse de modo que el tipo de medidas responda a los riesgos que representen el tratamiento de datos y la naturaleza de los mismos.   

En esta noticia se habla de:

Otras Columnas por Javier Puyol:
Últimas Firmas