Portada / Firmas
Firmas

El principio de responsabilidad proactiva

Javier Puyol es el socio director de Puyol Abogados, una boutique legal especializada en el mundo de las nuevas tecnologías y el cumplimiento normativo. Confilegal.
26/2/2018 06:10
|
Actualizado: 01/6/2023 11:40
|

Tras la aprobación del Reglamento europeo de protección de datos, aquellas empresas tratan datos por sí mismos y/o que contratan servicios de terceros, deben extremar su diligencia.

Esta máxima diligencia se aplicará tanto en el tratamiento propio de los datos personales que realice en el normal desarrollo de su actividad como en la elección del proveedor adecuado que accede y/o trata datos de carácter personal por razón de la prestación de un servicio al responsable del tratamiento.

El Reglamento europeo fija el principio de la responsabilidad proactiva del responsable del tratamiento de los datos personales, en la elección de los proveedores con los que trabaja debiendo asegurarse que aquellos cumplen con la normativa europea de protección de datos en relación a la implantación de medidas técnicas y organizativas apropiadas, para garantizar un nivel adecuado de protección en consonancia al riesgo que suponga el tratamiento de los datos personales.

Ya no basta con cumplir un artículo u otro de la normativa, sino que se tiene que poder demostrar que el tratamiento de los datos de carácter personal es acorde con las disposiciones del Reglamento y además se ha de estar en disposición de acreditarlo ante cualquier requerimiento del organismo competente.

A tales efectos debe tenerse presente el contenido del apartado 21 del artículo 5º con relación a los principios relativos al tratamiento, y, el artículo 24 del nuevo Reglamento General, en lo que atañe a responsabilidad de la figura del responsable del tratamiento.

Medidas técnicas y organizativas

De acuerdo con el mismo, y tal como se establece en el Reglamento General, el mismo se configura sobre la base de la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.

El principio de “accountability” o de “Responsabilidad Proactiva” es un principio  ya introducido en 1980 por la OECD en el Códigos de Conducta o Guías de Protección de la Privacidad y flujo transfronterizo de datos personales y en el año 2010 por el Grupo de Trabajo del artículo 29 a través de la opinión 3/2010 sobre el principio de la Responsabilidad Proactiva o “Principio de Accountability”. En este informe el Grupo de Trabajo del artículo 29 presentó una propuesta concreta para introducir el principio de “Responsabilidad Proactiva” en la normativa de protección de datos, de tal forma que los responsables del tratamiento pongan en marcha procedimientos y medidas eficaces para garantizar el cumplimiento de los principios y obligaciones establecidos en la Directiva, y poder así demostrar ante las autoridades el cumplimiento de la misma.

Estas recomendaciones establecidas por el Grupo de Trabajo del artículo 29 fueron llevadas a la práctica por la Autoridad de Control Francesa el CNIL, la cual aprueba en enero de 2015, una norma de cumplimiento en materia de protección de datos.

Dicha norma define las reglas y las mejores prácticas que debe implantar y desarrollar una organización para garantizar una gestión respetuosa con los principios de protección de datos de datos. La norma se divide en 25 apartados o requisitos relativos entre otras cuestiones, a la existencia de políticas de privacidad internas y externas, el nombramiento de un responsable de protección de datos, la gestión de las incidencias y siniestros etc.

De esta manera la Autoridad de Control Francesa (CNIL) introduce en la normativa de protección de datos francesa el principio de “Responsabilidad Proactiva”, de tal forma que aquellas organizaciones que demuestren que cumplen con dicha norma de cumplimiento obtendrán un “sello de cumplimiento del principio de Responsabilidad proactiva” emitido por la Autoridad de Control Francesa (CNIL) garantizando el cumplimiento de la normativa francesa de protección de datos.

Nos encontramos, por tanto, con un principio que establece para los responsables y encargados una obligación “proactiva y sistemática” del cumplimiento de la normativa de protección de datos a través de la implantación de medidas técnicas y organizativas apropiadas, las cuales deberán incluir la protección de datos desde el diseño y por defecto en aquellas áreas de la organización donde sean necesarias.

¿Cuál es el objetivo final?

El objetivo final de la implantación de dichas políticas o medidas de protección de datos o programas de gestión interna de la privacidad no es otro que garantizar que las actividades de tratamiento realizadas por el responsable cumplen con lo establecido en Reglamento General de Protección[i].

En términos prácticos, este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo[ii].

Al hablar de rendición de cuenta, muchos tienen ciertos atisbos de lo que se trata.

Sin embargo, hay un concepto asociado a la rendición de cuentas, el “accountability”, que se utiliza como sinónimo de responsabilidad, de dar cuenta, responder por, dar cumplimiento, básicamente a nivel de gestión pública. En rigor no existe un consenso sobre qué es la rendición de cuentas o “accountability”: es aún un concepto en construcción. Tanto en lo público como en lo privado, ha surgido la necesidad de transparentar acciones y decisiones, de dar cuenta a la sociedad de políticas de administración, gobierno y funciones; de informar y ser transparentes.

Es por esto que la rendición de cuenta surge como una herramienta para lograr tales fines tal se señala desde el Congreso de Chile.

Hay expertos como Alnoor Ebrahim[iii] que define el concepto de rendición de cuentas como “la responsabilidad de responder por un desempeño particular ante las expectativas de distintas audiencias, partes interesadas”.

Simon Zadek[iv], lo define como el proceso de “lograr que sean responsables quienes tienen poder sobre las vidas de la gente y finalmente de una voz o canal de expresión de la gente sobre temas que repercuten en sus propias vidas”, mientras David Bonbright dice que “la rendición de cuentas es una parte esencial del proceso de democratización, del proceso de crear frenos y contrapesos que aseguren que el menos privilegiado y con menos poder puede retar y reconfigurar las dinámicas del poder social”.

En política y en las democracias representativas, la rendición de cuentas asegura la legitimidad del poder público, por lo mismo en algunos países es parte de la agenda del debate público.

En Gran Bretaña, por ejemplo, la rendición de cuentas desde 1995 es un principio de la vida pública: «Los titulares de cargos públicos son responsables de sus decisiones y acciones al público y deben someterse a cualquier control adecuado de su oficina», tal y como se desarrolló de este principio en la Obra  “Standards in Public Life: First Report of the Committee on Standards in Public Life” (1995).

La “accountability” constituye, en definitiva, el reconocimiento, la asunción de responsabilidad y el mantenimiento de una actitud transparente en todo lo relativo a las políticas, las decisiones, las acciones, los productos y el desempeño asociado a una organización en lo referente a la protección de datos de carácter personal.

Esto obliga a las organizaciones a implicar a los grupos de interés para identificar, comprender y responder a los temas y preocupaciones referentes a la sostenibilidad en el ejercicio de sus funciones y actividades económicas y de toda índole.

Asimismo, obliga a informar, explicar y dar respuesta a los grupos de interés acerca de las decisiones, las acciones y el desempeño en lo que respecta a esta materia. Del mismo modo, incluye, por ejemplo, el modo en el que una organización gobierna, formula su estrategia y gestiona su desempeño en el ámbito de la privacidad. La premisa básica es que una organización responsable tomará medidas para:

a). Establecer una estrategia basada en un entendimiento exhaustivo y equilibrado y que responda a los temas relevantes y a los asuntos y preocupaciones de los grupos de interés;

b). Determinar los objetivos y las normas para poder gestionar y evaluar adecuadamente la estrategia, así como el desempeño relacionado con el mismo; y,

c). Divulgar la información creíble sobre su estrategia, objetivos, normas y desempeño, a aquellos que basan sus acciones y decisiones sobre el contenido de esta información.

En materia de protección de datos este principio alude, tal como señala la Agencia Española de Protección de Datos a la responsabilidad de las compañías, principalmente multinacionales que operan a escala global, en la implantación de medidas, en el seno de sus organizaciones, de garantía y cumplimiento de los principios y obligaciones en materia de protección de datos, así como el establecimiento de mecanismos internos y externos para evaluar su fiabilidad y demostrar su efectividad cuando se solicite por las autoridades de control.

Este principio tiene una gran relevancia tanto en entornos públicos como privados, particularmente en el contexto actual, marcado por el empleo intensivo de nuevas tecnologías y, fundamentalmente, de los servicios de Internet.

Nuñez[v] ha indicado que en la práctica, y desde el punto de vista de la privacidad, la “accountability“ tendría dos grandes vertientes: por un lado, la implementación de una cultura de respeto a este derecho fundamental en el seno de la organización, acompañada del establecimiento de todo tipo de garantías para preservar los principios y obligaciones que del mismo se derivan; por el otro, el compromiso de ser transparente en las actuaciones diarias, generando mecanismos que permitan calibrar y controlar hasta qué punto las garantías anteriores funcionan correctamente, y poniéndolos a disposición de las autoridades en caso de que éstas así lo requieran.

La cuestión según este autor, es: ¿podría un modelo como ese, basado en un mero compromiso ético, aplicarse en la Europa continental?

¿Y en España, por ser más concretos?

La respuesta se halla, quizás, en una frase atribuida a Abraham Lincoln: una ley sin régimen sancionador es simplemente un buen consejo.

Pero, ¿por qué no hacer convivir ciertos aspectos de la “accountability” con la legislación tradicional?

Lo cierto es que son varios los países europeos que incluyen, en su normativa nacional, beneficios para aquellas empresas que demuestren un serio compromiso con el cumplimiento de la legislación.

Sin ir más lejos, y desde la reforma llevada a cabo en la LOPD en el año 2011, España es uno de ellos (si bien con consecuencias prácticas poco destacables): a la hora de graduar las sanciones, párrafos como el 45.4.i) o el 45.5.d) permiten rebajar la cuantía de las multas basándose en conceptos como la “diligencia exigible” o el “reconocimiento espontáneo de culpabilidad”.

Y hoy en día, sin lugar a dudas, debe traerse a colación lo afirmado en el número 2º del artículo 83, del Reglamento General de Protección de Datos, donde recogiendo estos criterios que posibilitan la modulación de dichas multas, como sanción de naturaleza administrativa, se señala al efecto lo siguiente:

“Las multas administrativas se impondrán, en función de las circunstancias de cada caso individual, a título adicional o sustitutivo de las medidas contempladas en el artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:

a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;

b) la intencionalidad o negligencia en la infracción;

c) cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados;

d) el grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de los artículos 25 y 32;

e) toda infracción anterior cometida por el responsable o el encargado del tratamiento;

f) el grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción;

g) las categorías de los datos de carácter personal afectados por la infracción;

h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida;

i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas previamente contra el responsable o el encargado de que se trate en relación con el mismo asunto, el cumplimiento de dichas medidas;

j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de certificación aprobados con arreglo al artículo 42, y;

k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción”.

Todos ellos, constituyen claros ejemplos de conductas típicamente encuadrables en el concepto de “accountability” o de la responsabilidad pro activa del responsable del tratamiento.

Finalmente debe indicarse que la “accountability” exige no sólo el cumplimiento de la legalidad vigente, sino la capacidad de acreditación de dicho cumplimiento, lo que supone la contrapartida lógica, de la concesión de una mayor libertad a los responsables y encargados de tratamiento, sobre la base de una mayor capacidad de autoorganización.

[i] En este sentido DPO & it law, Cfr.: “El principio de accountability o de responsabilidad proactiva”. 1 de junio de 2017.

[ii] Cfr.: Gesprodat. “LOPD:importancia de la responsabilidad proactiva en el Reglamento General de Protección de Datos”. 19 de junio de 2017.

 

[iii] Cfr.: EBRAHIM, Alnoor.” The Many Faces of Nonprofit Accountability”. 2.010.

[iv] Cfr.: Pagove’s. “Accountabily, el Antagonista de la Corrupción”. 10 de febrero de 2010.

[v] Cfr.: NUÑEZ, José Leandro. “La accountability, ¿herramienta sancionadora? Asociación Profesional Española de Privacidad (APEP). 28 de enero de 2014.

 
Otras Columnas por Javier Puyol Montero:
Opinión | Los ciberataques también son posibles contra los teléfonos móviles
Opinión | Neurotecnología: ¿Estamos listos para el próximo gran desafío ético y legal?
Opinión | Ciberseguridad e Inteligencia Artificial: vinculaciones
Opinión | La Inteligencia Artificial y la función de juzgar