Confilegal
Confilegal
Menú
Portada / Firmas
Firmas

¿En qué consiste el llamado principio de «responsabilidad demostrada»?

¿En qué consiste el llamado principio de «responsabilidad demostrada»?
Javier Puyol es el socio director de Puyol Abogados, una boutique legal especializada en el mundo de las nuevas tecnologías y el cumplimiento normativo. Confilegal.
12/2/2017 05:58
|
Actualizado: 10/4/2023 17:49
|

En esta noticia se habla de:

En un contexto general, responsabilidad demostrada puede definirse como: “una obligación o disposición a responder por las acciones propias” y “la obligación de un individuo o de una organización de rendir cuentas sobre sus actividades, aceptar responsabilidad sobre ellas y divulgar los resultados de manera transparente”[i].

Fue la Organización para la Cooperación y el Desarrollo Económicos (OCDE) la que, en el año 1.980, quien estableció este principio, según el cual una entidad que recogía tratamiento de datos personales debe ser responsable del cumplimiento efectivo de las medidas que implemente los principios de privacidad y de protección de datos.

En 2009, el Center for Information Policy Leadership, un «think-tank» (comité o centro generador de nuevas ideas) global sobre protección de datos personales y seguridad de la información, lanzó un Proyecto de Responsabilidad (accountability) con el propósito de definir los elementos esenciales de la Responsabilidad Demostrada y considerar cómo podría funcionar en la práctica una aproximación en este sentido a la protección de la información personal. Esta iniciativa se encuentra ahora en su quinta fase y se enfoca en el elemento de riesgo.

En 2010, el Grupo de Trabajo del Artículo 29 en la Unión Europea emitió una opinión sobre el principio de Responsabilidad Demostrada.

En ella, hizo una propuesta concreta para que se añadiera este principio al marco legal existente para que los responsables del tratamiento “implementaran medidas apropiadas y efectivas para asegurar que los principios y las obligaciones establecidas en la Directiva fueran cumplidas y que eso se demostrara a las Autoridades a solicitud de estas”. Adicionalmente, describe la responsabilidad demostrada como “mostrar cómo se ejerce la responsabilidad y hacer esto verificable”.

Desde 2.013, este principio ha sufrido una revisión en el sentido, de que los responsables del tratamiento deben contar con un programa integral de gestión de datos personales, y de manera simultánea, estar preparados adecuadamente para demostrar de la autoridad a implementación efectiva de sus medidas dentro del seno de la organización, y ello conlleva, además, el cumplimiento de la normativa vigente sobre protección de datos de carácter personal.

Esto produce como contrapartida, que el regulador en la materia, antes de imponer una sanción, deba velar expresamente por la existencia de medidas y políticas adecuadas, que garanticen de manera idónea los tratamientos que se lleven a efecto, y el reconocimiento expreso que debe hacer el mismo con relación a tales organizaciones que estén en capacidad de demostrar que una eventual incidencia en el tratamiento de la información de un titular, se corresponde con una situación aislada o específica, no generalizable dentro de un programa integral de gestión de datos personales.

Con la aprobación del Reglamento General de Protección de Datos de la Unión Europea, el concepto ahora incluye también todo aquello que las autoridades de protección de datos esperan de las organizaciones responsables y, cada vez más, las leyes de protección de datos están incluyendo el término como un elemento de cumplimiento normativo.

En este sentido, es muy interesante y expresiva la Guía de la Superintendencia para la Industria y el Comercio de Colombia, en la que se recogen las pautas a seguir para la implementación del “principio de la accountability”[ii].

Principio de responsabilidad demostrada

Dicho principio, también llamado de “responsabilidad demostrada”, se caracteriza porque en el mismo se enfatiza el rol del responsable del tratamiento, como el operador jurídico llamado a implementar medidas dentro de la organización que le permitan dar el debido cumplimiento a los principios establecidos en el régimen jurídico de la protección de datos de carácter personal.

Hoy en día, este principio de “responsabilidad demostrada” se basa en el enfoque del reconocimiento y del compromiso de las organizaciones, a los efectos de incrementar los estándares de protección para procurar y garantizar a los ciudadanos un tratamiento adecuado de sus datos personales.

En este orden de cosas, dichas medidas a adoptar deben tener en cuenta diversos factores, que son los propios y característicos de cada organización, entre los que se encuentran: su tamaño y naturaleza jurídica, la naturaleza de los datos tratados, el tipo de tratamiento al que se somete la información, y los riesgos que impliquen para los titulares la obtención y posterior uso o tratamiento de sus datos.

El principio de responsabilidad demostrada exige que las organizaciones establezcan políticas internas, que sean efectivas, en orden a garantizar diferentes aspectos entre los que cabe señalar, los que se citan a continuación: (i) que la organización exista una estructura administrativa proporcional a la estructura del responsable para implementarlas; (ii) que se adopte mecanismos internos para poner en práctica las políticas que incluyan herramientas de implementación, entrenamiento y programas de educación y formación que abarque el conjunto de la organización; y (iii) la adopción de procesos para la atención de reclamaciones y cualquier consulta que puede llevar a cabo los titulares de los datos, que sean objeto de tratamiento.

Este planteamiento es consecuencia de un modelo que privilegia la gestión del riesgo, y al mismo tiempo, la asignación de responsabilidades generalmente atribuidas siempre al responsable del tratamiento, y que produce no sólo evidentes en beneficios para la organización, sino que dicha actividad se traduce en una mayor protección seguridad jurídica para los individuos.

Por ello puede afirmarse que la verificación de la implementación de un programa que involucre los elementos esenciales de este principio de responsabilidad demostrada, tiene como finalidad generar una situación de beneficio mutuo tanto entre las organizaciones, como para el propio regulador, el cual sin abdicar de sus facultades de investigación, tendrá otros elementos y factores adicionales de evaluación de la actuación de la organización, precisamente, a consecuencia de la implementación de tales políticas, y su cumplimiento de manera efectiva.

Consecuentemente con ello, la aplicación de dichas políticas de “responsabilidad demostrada” debe responder a una serie de pautas que son: (i) los ciclos internos de gestión de datos de la organización en la aplicación de un programa integral de gestión de datos de esta naturaleza; y, (ii) la de generar resultados medibles que le permitan acreditar ese grado de diligencia especial en el respeto al régimen jurídico existente materia de protección de datos de carácter personal.

El Sistema Integral de Gestión de Datos Personales consiste básicamente, al hilo de lo ya expuesto, en un programa corporativo basado en controles, que responde al tamaño y estructura de la organización, destinado al cumplimiento, implementación y consolidación del régimen de protección de datos.

Entendiéndose, en este caso, por “controles” como la etapa dentro del sistema de gestión en el que se verifica si los resultados de la implementación se ajustan a las obligaciones del régimen de protección de datos personales y políticas para el tratamiento de la información personal. En tanto la organización cumpla con todos los controles, se acercará a cumplir con el principio de responsabilidad demostrada. De lo contrario, tendrá que tomar las medidas necesarias que la conduzcan a satisfacer este principio[iii].

Para implementar efectivamente un programa integral de gestión de datos de carácter personal, no es un requisito suficiente el hecho de demostrar la adopción de las políticas y procedimientos tendentes a cumplir las normas sobre protección de datos de carácter personal, ya que un programa basado en este estándar debe buscar la implementación de estas políticas y procedimientos, para lo cual como primera medida se requiere contar con el compromiso de los sujetos obligados, derivado de una cultura de respeto a la protección de los datos personales que recoge ó trata.

En este sentido, la organización, teniendo a su tamaño y estructura, así como al tipo de información personal a la que realiza el tratamiento, debe comprometer recursos económicos y de personal una vez que decía emprender el camino hace la implementación de un programa integral de gestión de datos personales

En consecuencia, lo que se pretende es que las organizaciones sean capaces de demostrar que un fallo en el tratamiento de los datos personales, corresponde a una situación aislada dentro del Programa de Integral de Gestión de Datos Personales, el cual en todo caso deberá ser el resultado de una debida diligencia al interior de la organización que permita generar resultados medibles[iv].

Plan de supervisión y revisión anual

En lo que se refiere a la sostenibilidad del Sistema Integral de Gestión de Datos Personales, dicho sistema exige una evaluación y revisión continúa de los controles que lo integran, con el fin de determinar la pertinencia y eficacia del plan de gestión.

En consecuencia, el Oficial de Protección de Datos Personales será la persona encargada al interior de la organización de desarrollar un plan de supervisión y revisión anual que tome en cuenta las siguientes etapas:

a). Fase de diagnóstico: En ella deberá evaluarse en qué estado de cumplimiento se encuentra la organización, acudiéndose, entre otras, a: (i) elaboración de auditorías internas; (ii) debilidades identificadas en la atención de consultas y reclamaciones y; (iii) Revisión de las tendencias y obligaciones legales que surjan con ocasión a la protección de datos personales.

b). Fase de adecuación: Consiste en determinar las acciones a implementar por la organización, en aras de hacer más efectivo el Sistema Integral de Gestión de Datos Personales.

c). Fase de implementación: Previa aprobación de la alta dirección de la organización, efectuar los cambios que resulten pertinentes en los componentes del Sistema Integral de Gestión de Datos Personales, junto con acciones de capacitación al personal.

d). Fase de revisión: La guía para la implementación del principio de responsabilidad demostrada exige que la revisión del Sistema Integral de Gestión de Datos Personales sea anual, sin embargo, nada impide que, en razón a la debida diligencia, la compañía efectué revisiones periódicas de las acciones implementadas.

El Sistema Integral de Gestión de Datos personales exige la realización continua y permanente de tareas y labores de supervisión y evaluación, de las cuales dependerá el éxito del mismo al interior de la organización.

Para ello se debe establecer como contenido de un Programa de Gestión Integral en materia de protección de datos de carácter personal, las siguientes pautas o items:

a). El compromiso de la Organización: se deben destinar recursos económicos y de personal para implementar dicho Programa.

  1. Desde la Alta Dirección: el apoyo y compromiso de la alta dirección es fundamental, para lo cual se deberá designar un área responsable, así como destinar recursos suficientes que permitan diseñar e implementar el Programa.
  2. Oficial de Protección de Datos Personales: es quien debe velar por la implementación efectiva de las políticas y procedimientos, así como implementar las mejores prácticas; además de administrar el Programa como tal.
  3. Presentación de informes: establecer mecanismos de información internos para reportar el seguimiento y ejecución del Programa, así como implementar planes de auditoría interna que permitan hacer seguimiento a su cumplimiento.

b). Los controles del Programa: una vez adelantado el proceso de debida diligencia al interior de la organización, se deben desarrollar controles que le permitan al Oficial de Protección de Datos Personales desarrollar el Programa:

c). Los procedimientos Operacionales: procedimientos administrativos para para manejar adecuadamente los riesgos inherentes al Tratamiento de Datos Personales.

d). El inventario de Bases de Datos con información personal: conocer que datos se almacenan, como se utilizan y si realmente los necesitan, teniendo en cuenta la finalidad.

e). Las políticas: generar políticas internas que deben estar documentadas, sobre la recolección, almacenamiento, uso, circulación y supresión de datos personales.

f). Los sistemas de administración de riesgos asociados al tratamiento: atendiendo al tipo de organización, se deberán establecer sistemas que permita identificar, medir, controlar y monitorear todos los hechos que pongan en riesgo el cumplimiento de las normas sobre protección de datos.

g). Los requisitos de formación y educación: de todos los empleados y una capacitación especializada para aquellos funcionarios que manejen datos personales.

h). Los protocolos de repuesta en el manejo de violaciones e incidentes: componente de gestión que permita identificar vulnerabilidades y enfocar recursos en las medidas de mitigación. Así mismo, se deberá contar con mecanismos que permitan rendir informes internos y reportar los incidentes a los Titulares y al regulador.

i). La gestión de los Encargados del tratamiento en las transmisiones internacionales de datos de datos: disposiciones que incluyan que los Encargados cumplan con la normatividad colombiana.

j). La comunicación Externa: desarrollar un procedimiento para informar a los Titulares sus derechos.

 

[i] Cfr.: “Estudio sobre Responsabilidad Demostrada (Accountability)”, tomado de la definición de accountability en http://www.businessdictionary.com/definition/accountability.html

[ii] Cfr.: Superintendencia de Industria y Comercio. Gobierno de Colombia. “Guía para la implementación del Principio de Responsabilidad Demostrada (Accountability)” 28 de mayo de 2.015.

[iii] Cfr.: DELOITTE. “Guía para la implementación del principio de responsabilidad demostrada en el tratamiento de datos personales La nueva reglamentación de la SIC”. Boletín Sector Público. 2 de junio de 2.015.

[iv] Cfr.: Uh Abogados. “La protección de datos personales y el principio de la responsabilidad demostrada – Guía de Implementación SIC”. Octubre de 2.015.

 

Otras Columnas por Javier Puyol Montero:
Opinión | Los ciberataques también son posibles contra los teléfonos móviles
Opinión | Neurotecnología: ¿Estamos listos para el próximo gran desafío ético y legal?
Opinión | Ciberseguridad e Inteligencia Artificial: vinculaciones
Opinión | La Inteligencia Artificial y la función de juzgar
La estrategia española de transformación digital y el «Sandbox» sobre la Inteligencia Artificial
Tiempo de recuperación tras un ciberataque
Últimas Firmas
  • Opinión | Circunstancias atenuantes: disminuir la pena por resarcir los daños
    Opinión | Circunstancias atenuantes: disminuir la pena por resarcir los daños
  • Opinión | Turno de oficio en 2024: ¿Por qué seguimos en huelga?
    Opinión | Turno de oficio en 2024: ¿Por qué seguimos en huelga?
  • Opinión | ¿Cumple el fichaje de Broncano con la Ley de Contratos del Sector Público?
    Opinión | ¿Cumple el fichaje de Broncano con la Ley de Contratos del Sector Público?
  • Opinión | Atentados suicidas: ¿Los autores materiales son pretendidos mártires o víctimas de chantajes?
    Opinión | Atentados suicidas: ¿Los autores materiales son pretendidos mártires o víctimas de chantajes?
  • Opinión | Huelga del turno de oficio: más legal, imposible
    Opinión | Huelga del turno de oficio: más legal, imposible