Firmas

«Compliance» y protección de datos: Dos caras de la misma moneda

«Compliance» y protección de datos: Dos caras de la misma moneda
Javier Puyol es socio director de Puyol Abogados & Partners. Foto: Carlos Berbell/Confilegal.
27/2/2020 06:30
|
Actualizado: 19/4/2021 10:13
|

El «Corporate Compliance» se puede definir como aquel conjunto de procedimientos y de buenas prácticas adoptados por las compañías, organizaciones, y demás personas jurídicas, a los efectos de poder identificar y clasificar los riesgos operativos y los de carácter legal a los que se enfrentan, y, así poder establecer mecanismos internos de prevención, gestión, control y reacción frente a los mismos.

El carácter preventivo del «Compliance» está especialmente indicado para mitigar los riesgos de incumplimiento, ya sea correspondan estos o sean debidos a las siguientes fuentes de riesgo:

a). Obligaciones fundamentales derivadas de las imposiciones legales en diferentes materias como la protección de datos.

b). Prevención de blanqueo de capitales.

c). Lucha contra el fraude.

d). Prevención de la corrupción.

e). Y cualesquiera otros incumplimientos que genere responsabilidad penal, del acuerdo con el Estatuto penal de las personas jurídicas, responsabilidad administrativa, o cualquier otro tipo de responsabilidad o consecuencias como consecuencia de la actuación de la persona jurídica, o de su falta de prevención.

Consecuentemente con ello, el mundo del Compliance está íntimamente vinculado con la protección de datos personales.

En este aspecto, no sólo ha influido una regulación proyectada en el tiempo, sino que tanto el RGPD como la Ley Orgánica 3/2018, de 5 de diciembre de Protección de Datos Personales, y garantía de los derechos digitales, ha introducido un importante cambio de mentalidad en su normativa, ya que hemos pasado de una proyección de la misma principalmente reactiva, ante cualquier clase de conflicto o de contingencia, a una de naturaleza preventiva, e incluso, de carácter defensivo, máxime si se tienen en cuenta la cuantificación económica que en este momento el ordenamiento jurídico permite imponer.

CAMBIO DE MENTALIDAD

Pero este cambio de mentalidad no se materializa exclusivamente en estos factores, sino que el mismo se proyecta sobre otras cuestiones a considerar.

De conformidad a los artículos 24 y 32 del Reglamento Europeo de Protección de datos (RGPD), el responsable del tratamiento, en este caso la empresa o la organización, tiene la obligación de garantizar la seguridad de los datos de carácter personal que haya recabado, aplicando en cada momento las medidas necesarias para evitar cualquier daño (“responsabilidad proactiva” o “accountability”) y respondiendo por todos daños que sufran esos datos (Obligación de resultado). En definitiva, para cumplir con las obligaciones impuestas en materia de protección de datos, es necesario dotar a esos datos de unas medidas de seguridad adecuadas (Ciberseguridad), y crear un procedimiento o protocolo que permita minimizar el riesgo, genere una cultura de cumplimiento y dote a la organización de un sistema de alertas e incidencias (Compliance)[i].

Un ejemplo más que evidente de ello lo encontramos de la Accountability, como sinónimo de la llamada “rendición de cuentas”, como sinónimo de responsabilidad, de responder o de dar cumplimiento. Tanto en lo público como en lo privado, ha surgido la necesidad de hacer transparente la gestión, y poder acreditar cumplidamente las acciones y decisiones que se adoptan, en este caso en el ámbito de la protección de datos personales.

Hay expertos como el muy citado Alnoor Ebrahim que define el concepto de rendición de cuentas como “la responsabilidad de responder por un desempeño particular ante las expectativas de distintas audiencias, partes interesadas” o Simon Zadek, lo define como el proceso de “lograr que sean responsables quienes tienen poder sobre las vidas de la gente y finalmente de una voz o canal de expresión de la gente sobre temas que repercuten en sus propias vidas”, mientras David Bonbright dice que “la rendición de cuentas es una parte esencial del proceso de democratización, del proceso de crear frenos y contrapesos que aseguren que el menos privilegiado y con menos poder puede retar y reconfigurar las dinámicas del poder social”.

Por tanto, se puede afirmar que en su origen la “accountability” es el reconocimiento, la asunción de responsabilidad y el desempeño de actitud transparente sobre los impactos de las políticas, decisiones, acciones, productos y desempeño asociado a una organización.

Esto obliga a las organizaciones a implicar a los grupos de interés para identificar, comprender y responder a los temas y preocupaciones referentes a la sostenibilidad. Asimismo, obliga a informar, explicar y dar respuesta a los grupos de interés acerca de las decisiones, las acciones y el desempeño.

Incluye el modo en el que una organización gobierna, formula su estrategia y gestiona su desempeño.

La premisa básica es que una organización responsable tomará medidas para:

a). Establecer una estrategia basada en un entendimiento exhaustivo y equilibrado y que responda a los temas relevantes y a los asuntos y preocupaciones de los grupos de interés.

b). Establecer objetivos y normas para poder gestionar y evaluar su estrategia y el desempeño relacionado.

c). Y, divulgar información creíble sobre su estrategia, objetivos, normas y desempeño a aquellos que basan sus acciones y decisiones en esta información.

RESPONSABILIDAD DE EMPRESAS MULTINACIONALES

En materia de protección con la mención de este principio se alude, tal como señala la Agencia Española de Protección de Datos a la responsabilidad de las compañías, principalmente multinacionales que operan a escala global, en la implantación de medidas, en el seno de sus organizaciones, de garantía y cumplimiento de los principios y obligaciones en materia de protección de datos, así como el establecimiento de mecanismos internos y externos para evaluar su fiabilidad y demostrar su efectividad cuando se solicite por las autoridades de control.

este principio tiene una gran relevancia tanto en entornos públicos como privados, particularmente en el contexto actual, marcado por el empleo intensivo de nuevas tecnologías y, fundamentalmente, de los servicios de Internet.

Pero este principio tiene que proyectarse de manera necesaria en la actuación de todo responsable de tratamiento, y en la interpretación del alcance y la eficacia de sus decisiones.

En definitiva, la “accountability” viene a exigir, básicamente, en conexión con los principios que sustentan el «Corporate Compliance», el posicionamiento de todas las organizaciones en una mentalidad proactiva en el cumplimiento de la legalidad vigente en general, y especialmente en el ámbito de la protección de datos personales.

Por ello, si partimos de una regulación basada en principios y criterios rectores de la actividad de los operadores jurídicos en el ámbito de la privacidad, es evidente, que el precio de la libertad que ahora se concede para la realización de los tratamientos de datos personales tiene su contrapartida en la toma de decisiones de manera correcta, y al mismo tiempo, en la justificación y la acreditación de las decisiones que se adopten por parte de todo responsable de tratamiento, constituyendo, por tanto, una obligación ineludible y de obligado cumplimiento para el mismo, y en definitiva, una garantía de protección de los derechos y las libertades fundamentales vinculados a la protección de datos de carácter personal, y que deben ser protegidos mediante dicho derecho.

Esta nueva mentalidad proactiva derivada de la protección de datos personales, y la necesidad de adoptar medidas preventivas en garantía del respeto de la legalidad y de los derechos de los ciudadanos, es especialmente preocupante en el ámbito de la privacidad generado por el uso de las nuevas tecnologías emergentes, en materia, que, por su novedad, o incluso por su propia configuración, no tienen una regulación específica en la materia.

Ejemplos de ello es relativamente fácil encontrarlos en materia como «Big Data», «Blockchain», Internet de las cosas, o incluso la propia IA.

Estas materias es difícil encontrar regulaciones públicas, pero lo es más con relación a las normativas privadas de las empresas, más guiadas por aspectos éticos o de cultura corporativa interna, que, por una normativa pública, que tal como ha quedado indicado no existe.

En este punto, es necesario recordar que el concepto de la “accountability” tiene una lenta penetración en nuestro sistema jurídico, si bien, puede interpretarse que un primer paso en este camino se produjo mediante la Ley 2/2011, de 4 de marzo, de Economía Sostenible, al introducir una modificación en el texto normativo en el apartado 3º, letra i), del artículo 45 de le Ley Orgánica 15/1.999, donde al valorar los elementos de moderación de las infracciones en materia de protección de datos,  se señala:

“i) La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor”.

Este concepto de responsabilidad general es evidente que no queda concretado, pero el alcance de la obligación de implementación de procedimientos que se consideren adecuados, hay que interpretar desde el punto de vista legal, para la recogida y el tratamiento de los datos, como causa de aminoración de la responsabilidad que el responsable pueda incurrir.

Ello nos conduce a reflexionar sobre los procedimientos adoptados por las organizaciones para identificar y clasificar los riesgos, operativos y legales a los que se enfrentan, y consecuentemente con ello, establecer mecanismos internos de prevención, gestión, control y reacción frente a las contingencias que se puedan derivar de los tratamientos llevados a cabo sobre los datos personales que sean objeto de los mismos.

DOS GRANDES VERTIENTES DE LA RENDICIÓN DE CUENTAS

Así, por ejemplo, Núñez ha indicado que, en la práctica, y desde el punto de vista de la privacidad, la “accountability “tendría dos grandes vertientes:

a). Por un lado, la implementación de una cultura de respeto a este derecho fundamental en el seno de la organización, acompañada del establecimiento de todo tipo de garantías para preservar los principios y obligaciones que del mismo se derivan.

b). Y por otro, el compromiso de ser transparente en las actuaciones diarias, generando mecanismos que permitan calibrar y controlar hasta qué punto las garantías anteriores funcionan correctamente, y poniéndolos a disposición de las autoridades en caso de que éstas así lo requieran.

Aplicados estos criterios a las indicadas tecnologías emergentes, y más allá de los criterios éticos que puedan sustentarse al efecto se hace necesario vincular dichos desarrollo tecnológicos al ámbito del Compliance, estableciendo medidas comunes de responsabilidad, ya preconizadas por las autoridad de control europea en el ámbito de la protección de datos personales, y que se pueden concretar en el establecimiento de las siguientes medidas preventivas cohonestadas con la eficacia que ahora impone la “accountability” para todas las organizaciones.

Si el Compliance se caracteriza por su directa conexión con una adecuada política de gestión de riesgos. Se pasa de una identificación de los mismos al establecimiento de los diferentes instrumentos que resulten necesarios para reaccionar frente a ellos según su graduación.

El modelo de protección de datos y de su privacidad exige una gestión de riesgos inherente a los tratamientos.

No sólo deben llevarse a cabo los correspondientes análisis de riesgos, sino también las respectivas evaluaciones de impacto, para valorar la particular gravedad y probabilidad del alto riesgo.

Y teniendo en cuenta:

a). La naturaleza, ámbito, contexto y fines del tratamiento.

b). Los orígenes del riesgo.

c). Y, la gestión de cualquier incidente de seguridad[ii].

El análisis de riesgo, y la necesidad de proceder a prevenir y evitar la producción del mismo, vinculado a la protección de datos personales, pasa necesariamente por la implementación de un conjunto de medidas por parte del responsable del tratamiento.

Dichas medidas, entre otras, pueden ser las siguientes:

a). El establecimiento de procedimientos internos previos a la creación de nuevas operaciones de tratamiento de datos personales (revisión interna, evaluación, etc.), donde se garantice la integridad de los datos personales, y la menor intrusividad posible en los derechos y las libertades de los ciudadanos afectados;

b). El establecimiento de políticas escritas y vinculantes de protección de datos que se tengan en cuenta y se valoren en nuevas operaciones de tratamiento de datos (p.ej., cumplimiento de los criterios de calidad de datos, notificación, principios de seguridad, acceso, etc.) que deben ponerse a disposición de las personas interesadas, especialmente, teniendo presente la ausencia de una regulación pública específica sobre el uso de dichas nuevas tecnologías, viéndose dicho responsable a suplir con la existencia de las mismas dichas garantías que deben presidir la realización de los tratamientos que se lleven a cabo.

c). La cartografía de procedimientos que evidencien su trazabilidad y que garanticen de manera adecuada la identificación correcta de todas y cada una de las operaciones de tratamiento de datos, y el mantenimiento de un inventario de operaciones de tratamiento de datos llevadas a cabo, de tal modo, que, a requerimiento de cualquier autoridad de control, se puedan evidenciar y justificar el alcance, contenido y demás circunstancias concurrentes de los tratamientos que se hayan efectuado.

d). El nombramiento de un DPD/dPO, y, en su caso, de otras personas responsables de los tratamientos derivados de la protección de datos personales, o de cualquier otra vicisitud vinculada con los mismos.

e). La existencia de una oferta adecuada en el ámbito de la formación de la protección de datos a los miembros del personal, sin que dicha oferta deba y pueda o deba tener un carácter excluyente para cualquier persona que preste sus servicios laborales o profesionales en el ámbito de la organización, pues debe tenerse presente que la protección de datos personales hoy en día abarca todos los sectores o ámbitos de actividad de una organización.

Esto debe incluir a los procesadores (o responsables del proceso) de datos personales, pero también a los administradores de tecnologías de la información, y a aquellas personas que intervengan en el diseño de bienes, productos o servicios de cualquier empresa u organización, así como a los directores de unidades comerciales o cualquiera otra área de la empresa.

Consecuentemente con ello, en aras de la vinculación del «Corporate Compliance» y de la protección de datos personales, deben asignarse recursos económicos, materiales y humanos suficientes para la gestión preventiva de la privacidad en toda su extensión.

f). El establecimiento de procedimientos de gestión del acceso y de las demandas de corrección y eliminación y de cualquier otro derecho reconocido en la normativa de privacidad de datos personales, con la necesaria exigencia de transparencia para las personas interesadas o los titulares de dichos datos personales.

f), El establecimiento de un mecanismo interno de tratamiento de quejas;

g). La creación de procedimientos internos de gestión y notificación eficaces de fallos de seguridad;

h). La realización de evaluaciones de impacto sobre la privacidad en circunstancias específicas;

i). La aplicación y supervisión de procedimientos de verificación que garanticen que las medidas no sean solo nominales, sino que se apliquen y funcionen en la práctica (auditorías internas o externas, etc.).

Por todo ello, el principio de la “accountability” o de la responsabilidad proactiva de los operadores jurídicos contemplados en la nueva normativa sobre privacidad, el Compliance y la ciberseguridad sobre los datos personales, crean un todo interconectado y complementario, máxime si se tiene en cuenta el aumento no solo de los riesgos sino del valor de los datos personales en sí abundan en la necesidad de reforzar el papel y la responsabilidad de los responsables del tratamiento de datos.

Este nuevo marco normativo se orienta a esta nueva realidad, y debe incluir las herramientas necesarias para que los responsables del tratamiento establezcan y apliquen en la práctica aquellas medidas adecuadas y eficaces que cumplan los objetivos de los principios de protección de datos y del Corporate Compliance.

———————–

[i] LOPEZ RINCON, Darío. “Ciberseguridad y Compliance. “Claves en la protección de datos de carácter personal”. El derecho.com. 7 de noviembre de 2017.

[ii] “Compliance y protección de datos”. Ayuda Ley Protección de Datos. 1 de septiembre de 2019.

Otras Columnas por Javier Puyol Montero:
Últimas Firmas
  • Opinión | El caso Mastercard sigue sacudiendo al Reino Unido en una lucha por 16.924 millones de euros
    Opinión | El caso Mastercard sigue sacudiendo al Reino Unido en una lucha por 16.924 millones de euros
  • Opinión | ¿Amparo para todo?
    Opinión | ¿Amparo para todo?
  • Opinión | Los beneficios fiscales a las donaciones de una empresa familiar
    Opinión | Los beneficios fiscales a las donaciones de una empresa familiar
  • Opinión | Competencia subsidiaria en materia de sucesiones internacionales
    Opinión | Competencia subsidiaria en materia de sucesiones internacionales
  • Opinión | Un CGPJ sin abogados es un cero a la izquierda
    Opinión | Un CGPJ sin abogados es un cero a la izquierda