Legislació

El principi de responsabilitat activa o [Accountability]

Una de les grans novetats que presenta el RGPD és el denominat principi de responsabilitat activa (en la seva concepció anglosaxona, accountability), que ve a imposar al responsable, i a l’encarregat de tractament, estar en condicions de demostrar que compleix amb les previsions normatives en matèria de protecció de dades de caràcter personal.

Antecedents

Existeix com a precedent directe, el Dictamen 3/2010, sobre el principi de responsabilitat, de 13 de juliol de 2010, del Grup de Treball de l’Article 29. En aquest document es va presentar una proposta concreta d’introducció del citat principi que exigiria als responsables del tractament de dades l’aplicació de mesures apropiades i eficaces que busquessin garantir el compliment dels principis i obligacions que disposa la Directiva 95/46/CE i que estiguessin en situació de demostrar-ho quan ho sol·licitessin les autoritats de control.

La introducció al RGPD de la responsabilitat proactiva o accountability implica que no només existeix responsabilitat per una infracció, sinó que la no adopció del conjunt de mesures requerides per al perfecte compliment normatiu, o la falta de diligència al fer-ho, suposa també una responsabilitat punible per a les organitzacions o empreses.

 

Compliment normatiu o [Compliance]

L'exigència d'aquesta responsabilitat activa o accountability pot enllaçar-se amb el concepte de compliment normatiu o compliance.

 

Exigència de responsabilitat activa i demostrable al RGPD

L’article 24 del RGPD descriu la “Responsabilitat del responsable del Tractament” de la següent manera:

El responsable està obligat a aplicar mesures tècniques i organitzatives apropiades per tal de garantir i poder demostrar que el tractament de dades que realitza es conforme amb el RGPD, atenent:

· a la naturalesa;

· a l’àmbit i el context;

· la finalitat del tractament;

· els riscos.

Es necessari determinar el nivell de risc per als drets i llibertats dels afectats, per tal d’aplicar mesures adequades a aquests riscos. Es requereix ponderar el risc.

En relació a aquest punt, el Considerant 76 del RGPD indica que "La probabilidad y la gravedad del riesgo para los derechos y libertades del interesado debe determinarse con referencia a la naturaleza, el alcance, el contexto y los fines del tratamiento de datos. El riesgo debe ponderarse sobre la base de una evaluación objetiva mediante la cual se determine si las operaciones de tratamiento de datos suponen un riesgo o si el riesgo es alto". És a dir, el RGPD considera insuficient el no incompliment, incloent obligacions dirigides a la prevenció dels mateixos. La no aplicació d’aquestes mesures és sancionable. S’exigeix que les mesures tècniques i organitzatives que s’adoptin a l’organització es revisin i s’actualitzin quan sigui necessari. Per altra banda, s’exigeix com a mesura addicional, l’adopció de «polítiques de protecció de dades», «quan siguin proporcionades en relació amb les activitats del tractament».

L’article 5.2 disposa els principis relatius al tractament, per part del responsable del mateix, indicant que serà considerat responsables del compliment (apartat 1 del mencionat article) havent de ser capaç de demostrar-ho «responsabilitat proactiva». Les dades personal seran:

"a. tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»);

b. recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines;

c. adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);

d. exactos y, si fuera necesario, actualizados;

e. mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales («limitación del plazo de conservación»);

f. tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»)."

 

Exigències per a poder demostrar el compliment de les obligacions

1.- Mesures de Protecció de dades des del disseny.

2.- Mesures de Protecció de dades per defecte.

3.- Existència i manteniment d’un registre de les activitats de tractament de dades.

4.- Existència d’un delegat de protecció de dades.

5.- Autorització prèvia o consultes prèvies amb l’Autoritat de control.

6.- Avaluacions d’impacte.

7.- Adopció de mesures de seguretat adequades.

8.- Notificació de «fallides de seguretat», tant a l’autoritat de control com als interessats.

9.- Adhesió a codis de conducta o mecanismes de certificació.