Legislación
El principio de responsabilidad activa o [Accountability]
Antecedentes
Existe como antecedente directo el Dictamen 3/2010, sobre el principio de responsabilidad, de 13 de julio de 2010, del Grupo de Trabajo del Artículo 29. En este documento se presentó una propuesta concreta de introducción del citado principio que exigiría a los responsables del tratamiento de datos la aplicación de medidas apropiadas y eficaces que buscaran garantizar el cumplimiento de los principios y obligaciones que dispone la Directiva 95/46/CE y estuvieran en situación de demostrarlo cuando se lo solicitaran las autoridades de control.
La introducción en el RGPD de la responsabilidad proactiva o accountability implica que no sólo existe responsabilidad por una infracción, sino que la no adopción del conjunto de medidas requeridas para el perfecto cumplimiento normativo, o la falta de diligencia al hacerlo, supone también una responsabilidad punible para las organizaciones o empresas.
Cumplimiento normativo o [Compliance]
La exigencia de esta responsabilidad activa o accountability puede enlazarse con el concepto de cumplimiento normativo o compliance.
Exigencia de responsabilidad activa y demostrable en el RGPD
El artículo 24 del RGPD describe la "Responsabilidad del responsable del tratamiento" del siguiente modo:
El responsable está obligado a aplicar medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento de datos que realiza es conforme con el RGPD, atendiendo:
· a la naturaleza;
· al ámbito y el contexto;
· la finalidad del tratamiento;
· los riesgos.
Es necesario determinar el nivel de riesgo para los derechos y libertades de los afectados, a fin de aplicar las medidas adecuadas atendiendo a dichos riesgos. Se requiere ponderar el riesgo.
En relación a este punto, el Considerando 76 del RGPD indica que "La probabilidad y la gravedad del riesgo para los derechos y libertades del interesado debe determinarse con referencia a la naturaleza, el alcance, el contexto y los fines del tratamiento de datos. El riesgo debe ponderarse sobre la base de una evaluación objetiva mediante la cual se determine si las operaciones de tratamiento de datos suponen un riesgo o si el riesgo es alto". Es decir, el RGPD considera insuficiente el no incumplimiento, incluyendo obligaciones dirigidas a la prevención de los mismos. La no aplicación de estas medidas es sancionable. Se exige que las medidas técnicas y organizativas que se adopten en la organización se revisen y se actualicen cuando sea necesario. Por otro lado, se exige, como medida adicional, la adopción de «políticas de protección de datos», «cuando sean proporcionadas en relación con las actividades de tratamiento».
El artículo 5.2 dispone los principios relativos al tratamiento, por parte del responsable del mismo, indicando que será considerado responsable del cumplimiento (apartado 1 del meritado artículo) debiendo ser capaz de demostrarlo («responsabilidad proactiva»). Los datos personales serán:
"a. tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»);
b. recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines;
c. adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);
d. exactos y, si fuera necesario, actualizados;
e. mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales («limitación del plazo de conservación»);
f. tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»)."
Exigencias para poder demostrar el cumplimiento de las obligaciones
1.- Medidas de Protección de datos desde el diseño.
2.- Medidas de Protección de datos por defecto.
3.- Existencia y mantenimiento de un registro de las actividades de tratamiento de datos.
4.- Existencia de un delegado de protección de datos.
5.- Autorización previa o consultas previas con la Autoridad de control.
6.- Evaluaciones de impacto.
7.- Adopción de medidas de seguridad adecuadas.
8.- Notificación de «quiebras de seguridad», tanto a la autoridad de control como a los interesados.
9.- Adhesión a códigos de conducta o mecanismos de certificación.