EL PRINCIPIO ACCOUNTABILITY Y EL RGPD
Principio de Accountability. Y llegó el día del cumplimiento obligatorio del RGPD. Como expertos en consultoría en protección de datos, en Grupo Adaptalia hemos preparado un útil y práctico artículo que explica el Principio de Accountability, su regulación, cómo implementarlo en su empresa y la demostración de su cumplimiento.
Muchas empresas ya lo aplicaban de forma voluntaria. A partir de ahora, el Principio Accountability es de obligado cumplimiento con el RGPD.
1. ¿QUÉ ES EL PRINCIPIO ACCOUNTABILITY?
Todas las empresas que tratan datos de personas y que se encuentran en Europa, tienen marcado el día 25 de mayo de 2018 como una fecha crucial, dado que el Reglamento General de Protección de Datos (RGPD) empieza a ser de cumplimiento obligatorio.
Uno de los cambios sustanciales que trae esta norma es la implementación del Principio Accountability, concepto que ha variado sustancialmente la forma en la que la normativa de protección de datos se va a aplicar en nuestro continente. Pero, ¿en qué consiste el Principio Accountability? ¿Qué debo hacer para cumplir con este principio?
El término “Accountability” proviene del inglés y, si bien no tiene una traducción exacta en el castellano, se puede entender como “responsabilidad proactiva” o “responsabilidad demostrable”. Entonces, ¿qué se entiende por Principio Accountability en el marco del RGPD?
Se entiende el Principio Accountability como el deber que tiene el responsable del tratamiento de datos personales y, en su caso, los encargados del tratamiento de dichos datos personales, de aplicar medidas técnicas y organizativas necesarias para garantizar y demostrar que el tratamiento de datos que realiza una empresa es conforme con el RGPD.
Es decir, es el principio por el cual se insta a que las empresas implementen una actitud proactiva y cuidadosa en las actividades de tratamiento de datos, tomando un rol participativo en la elección de medidas que garanticen la seguridad de los datos personales tratados, anticipándose de esta forma al surgimiento de infracciones y la imposición de sanciones.
2. ¿EL PRINCIPIO ACCOUNTABILITY ES ALGO NUEVO? ¿CÓMO SE REGULA?
El Principio Accountability está en boga debido a la obligación de cumplir con el RGPD, pero esto no significa que sea algo totalmente nuevo. El Principio de Accountability ya fue introducido en 1980 por la OECD al emitir sus Códigos de Conducta o Guías de Protección de la Privacidad y Flujo Transfronterizo de Datos Personales. Posteriormente, el Grupo de Trabajo del Artículo 29 (órgano consultivo independiente integrado por las Autoridades de Protección de Datos de todos los Estados Miembros de la UE) emitió la opinión 3/2010 sobre el principio de la Responsabilidad Proactiva. Asimismo, muchas empresas ya aplicaban el Principio Accountability de forma voluntaria, a pesar de que dicho principio no estuviese regulado todavía de forma expresa.
Como indicamos anteriormente, el Principio Accountability comienza a ser de cumplimiento obligatorio mediante su regulación en el RGDP. Este principio se encuentra plasmado en el Artículo 5 apartado 2 del RGPD y en el Artículo 24 apartado 1 de la misma norma:
Artículo 5: Principios relativos al tratamiento
2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo (“responsabilidad proactiva“).
Artículo 24: Responsabilidad del responsable del tratamiento
1. Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.
3. YA CONOZCO QUÉ ES EL PRINCIPIO ACCOUNTABILITY. AHORA, ¿CÓMO LO IMPLEMENTO?
Como vimos, el Principio Accountability implica la adopción de una actitud activa en el correcto cumplimiento de las normas aplicables para el tratamiento de datos personales, implementando medidas técnicas y organizativas que sean efectivas a este fin.
Resta conocer cuáles son las medidas específicas que debemos aplicar para cumplir adecuadamente con este principio y de esta forma evitar la imposición de sanciones. Dichas medidas se decidirán por parte del Responsable en función del análisis de riesgo que realice de los tratamientos que efectúe, tomando aquellas que considere adecuadas para garantizar la correcta confidencialidad, integridad y disponibilidad de los datos.
De acuerdo a lo establecido en las definiciones contenidas en los puntos 7 y 8 del Artículo 4 del RGPD, el Responsable del Tratamiento de datos personales es aquella persona natural o jurídica que determina los fines y medios del tratamiento. Por su parte, el Encargado del Tratamiento es aquel realiza el tratamiento de datos por cuenta del Responsable. Esto significa, que el Responsable del Tratamiento es la figura fundamental que debe cumplir con el Principio Accountability, pero el Encargado del Tratamiento deberá asistir al Responsable en este fin, cumpliendo con dicho principio al realizar el tratamiento de datos.
¿Y qué actividades concretas deben efectivizarse para cumplir con el Principio Accountability?
La implementación de una u otra medida depende de la propia actividad del Responsable del Tratamiento y las decisiones tomadas por el mismo en función de los riesgos analizados.
De forma general son las siguientes:
- Llevar un registro de actividades de tratamiento.
- Realizar una Evaluación de Impacto en la protección de datos personales, cuando considere que el tratamiento puede entrañar un alto riesgo a los derechos y libertades de los interesados.
- La implementación de medidas de protección de datos desde el diseño y por defecto.
- Incrementar la transparencia en el tratamiento de datos, informando adecuadamente al interesado sobre todo tratamiento de datos que lo afecte.
- La implementación de medidas de seguridad adecuadas, de acuerdo a las circunstancias concretas del tratamiento de datos y de conformidad con el análisis de riesgo efectuado.
- Solicitar la autorización previa o realizar consultas previas a la Autoridades Española de Protección de Datos (AEPD).
- Designar un Delegado de Protección de Datos en los casos exigidos por el RGPD o, inclusive, de manera voluntaria.
- Notificar toda violación de seguridad de acuerdo a las disposiciones del RGPD.
4. LA IMPORTANCIA DE PROBAR EL CUMPLIMIENTO DEL PRINCIPIO ACCOUNTABILITY
La implementación de las medidas técnicas y organizativas que garanticen el cumplimiento del RGPD es el primer elemento para plasmar el Principio Accountability, pero no el único. Tan importante como cumplir con el RGPD es el poder probar el cumplimiento de esta norma.
Para este fin, el llevar un registro de actividades de tratamiento ordenado y de acuerdo a las recomendaciones dadas por la AEPD y documentar cada uno de los protocolos y procesos de la organización resulta fundamental.
Por ello, la empresa debe contar con mecanismos internos adecuados para documentar apropiadamente cada una de las actividades que se realicen con el objeto de garantizar la correcta realización del tratamiento de datos personales y el cumplimiento del RGPD en general.
La importancia de probar el cumplimiento del Principio Accountability se debe a la correlación que existe entre la implementación de medidas que demuestren el cumplimiento de este principio y la disminución de las sanciones impuestas por posibles infracciones del RGPD. Vale la pena resaltar que las multas a implementarse de acuerdo al RGPD pueden llegar hasta el 4% de la facturación anual global de la empresa infractora o 20 millones de euros, lo que sea más gravoso.
Al demostrar la implementación de medidas que implican el cumplimiento del Principio Accountability, los montos de las sanciones se pueden reducir considerablemente. El RGPD señala como factores para decidir la cuantía de una sanción, al grado de cooperación del infractor y las medidas utilizadas para paliar los daños y los perjuicios caudados.
Una correcta aplicación del Principio Accountability, como la que se obtiene gracias a la asesoría jurídica en protección de datos que GRUPO ADAPTALIA provee, garantiza tranquilidad al empresario y seguridad ante posibles inspecciones por parte de la AEPD.