guiasjuridicas.es - Documento
El documento tardará unos segundos en cargarse. Espere, por favor.
Principio de accountability (Protecci...
Ocultar / Mostrar comentarios

Principio de accountability (Protección de Datos)

El principio de accountability, que puede traducirse como responsabilidad proactiva, implica que el responsable del tratamiento tenga que aplicar medidas técnicas y organizativas adecuadas para cumplir y demostrar el cumplimiento de la normativa aplicable sobre protección de datos personales. Estas medidas serán las adecuadas en atención al riesgo que implique el tratamiento de los datos personales y tendrán que estar documentadas para demostrar su adopción, siendo necesario también que se pueda demostrar su aplicación.

Proteccion de Datos Personales
Protección de datos
Responsabilidad proactiva

Concepto de responsabilidad (accountability)

Sobre el principio de responsabilidad (accountability), es necesario tener en consideración que el Grupo de Trabajo del Artículo 29 (GT29), integrado actualmente en el Comité Europeo de Protección de Datos (CEPD), publicó un trascendental dictamen. Se trata del Dictamen 3/2010 sobre el principio de responsabilidad, WP 173, adoptado el 13 de julio de 2010, en el que explica su significado y alcance.

En concreto, el GT29 indicaba que proviene del mundo anglosajón donde es de uso general y donde se da una comprensión ampliamente compartida de su significado, aunque la definición exacta de «responsabilidad» resulta compleja en la práctica. Y también que el término apunta sobre todo al modo en que se ejercen las competencias y al modo en que esto puede comprobarse.

Por último, la dificultad de la traducción del término accountability fue explicada por el GT29 de la siguiente manera: hay un gran riesgo de que el término se interprete diversamente llegándose con ello a una falta de armonización. Se han apuntado otras palabras para recoger el sentido de responsabilidad, como son «competencia reforzada», «garantía», «fiabilidad», fiabilidad» o, en español, «obligación de rendir cuentas», etc. Puede también sugerirse que la responsabilidad se refiere a la «aplicación de principios de protección de datos».

¿Es un principio nuevo en protección de datos?

No. Es importante tener en consideración que, en el ámbito internacional, hay importantes antecedentes sobre el principio de responsabilidad proactiva.

En concreto, la Organización para la Cooperación y el Desarrollo Económico (OCDE) incluyó este principio en sus Directrices sobre protección de la privacidad y flujos transfronterizos de datos personales (OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data), que fueron adoptadas el 23 de septiembre de 1980 y aplicables desde dicha fecha.

El principio de responsabilidad estaba formulado en los siguientes términos: un responsable del tratamiento debe ser responsable de cumplir con las medidas que hagan efectivos los principios señalados anteriormente (traducción de "A data controller should be accountable for complying with measures which give effect to the principles stated above").

Responsabilidad proactiva en el RGPD

El artículo 24 del Reglamento (UE) 2016/679, de 27 de abril de 2016, de protección de datos (en lo sucesivo, RGPD) es el que se refiere, en particular, al principio de responsabilidad proactiva del responsable del tratamiento.

Dicho artículo comienza con una referencia al riesgo que implica el tratamiento de los datos personales, y que es el punto de partida para, a la vista del mismo, determinar qué medidas técnicas y organizativas tendrá que adoptar el responsable del tratamiento. En concreto, se deberá analizar el riesgo que implica todo tratamiento de datos personales la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas (artículo 24.1 del RGPD).

En este mismo sentido, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) explica en su Preámbulo que la mayor novedad que presenta el Reglamento (UE) 2016/679 es la evolución de un modelo basado, fundamentalmente, en el control del cumplimiento a otro que descansa en el principio de responsabilidad activa, lo que exige una previa valoración por el responsable o por el encargado del tratamiento del riesgo que pudiera generar el tratamiento de los datos personales para, a partir de dicha valoración, adoptar las medidas que procedan. Y dedica su artículo 28 LOPDGDD a la responsabilidad proactiva de responsables y encargados del tratamiento, incluyendo un listado de supuestos de mayor riesgo en el tratamiento de los datos personalesa tener en consideración.

Las medidas técnicas y organizativas que se adopten, en su caso, tendrán que servir, por una parte, para garantizar el cumplimiento y, por otra parte, poder demostrar el cumplimiento de la normativa aplicable sobre protección de datos personales.

Ahora bien, la aplicación de las medidas técnicas y organizativas requiere también revisarlas y actualizarlas cuando sea necesario. Es decir, es el responsable del tratamiento quien tendrá que evaluar o analizar en todo momento el riesgo, atendiendo también a cualquier cambio en el mismo ya sea, por ejemplo, por nuevos tratamientos de datos personales, lo que implica considerar los datos personales que se tratan, los medios y los fines de dicho tratamiento. Al respecto, la Agencia Española de Protección de Datos publicó una Guía práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD.

Aplicación de la responsabilidad al responsable del tratamiento

La responsabilidad es exigible al responsable del tratamiento con independencia de que trate los datos personales por sí mismo o recurra a un encargado del tratamiento para llevarlo a cabo, lo que en este último caso significa y explica que tenga que elegir únicamente a encargados del tratamiento que ofrezcan garantías suficientes para cumplir con la normativa aplicable en materia de protección de datos personales.

Y el responsable del tratamiento tiene que adoptar las demás medidas técnicas y organizativas para asegurar que se cumple con la normativa sobre protección de datos a lo largo de todo el ciclo de vida de los datos personales y de la cadena de contratación con encargados del tratamiento y otros encargados (subencargados) a los que se recurra que traten datos personales por su cuenta.

Por tanto, la responsabilidad proactiva se concreta en que el responsable del tratamiento cumpla y sea capaz de demostrar el cumplimiento de los requisitos exigibles en virtud de la normativa que sea aplicable sobre protección de datos personales.

¿Qué medidas técnicas y organizativas adoptar en virtud de la responsabilidad?

El principio de responsabilidad implica que el responsable del tratamiento tenga que adoptar las medidas técnicas y organizativas adecuadas atendiendo al riesgo que implique el tratamiento de los datos personales.

Si bien no hay una definición de riesgo ni en el RGPD ni en la LOPDGDD, pudiendo tener diferentes significados según quién lo interprete, lo esencial es atender a que todo tratamiento de datos personales implica un riesgo y que se trata del riesgo para los derechos y libertades fundamentales de las personas físicas.

Las medidas técnicas y organizativas a aplicar en virtud del principio de responsabilidad proactiva deberán ser las adecuadas considerando la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas físicas. Estas medidas, que deberán aplicarse en cada caso, son las que se refieren a:

  • Protección de datos desde el diseño y por defecto: que implica que el responsable del tratamiento, considerando el riesgo derivado del tratamiento, en el caso de la protección de desde el diseño, tenga que aplicar medidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento y, en el caso de la protección de datos por defecto, garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento (art. 25 del RGPD).
  • Encargado del tratamiento: de manera que el responsable del tratamiento elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas y asegurarse de que el contrato u otro acto jurídico vinculante con el encargado del tratamiento incluya, al menos, las instrucciones para el tratamiento de los datos y demás aspectos previstos en el RGPD (art. 28 del RGPD y art. 33 de la LOPDGDD).
  • Tratamiento bajo la autoridad del responsable o del encargado del tratamiento: lo que significa que cualquier persona que trate datos personales bajo la autoridad de aquéllos, e incluso el propio encargado del tratamiento, estén obligados a seguir las instrucciones del responsable, salvo que les aplique una obligación legal (art. 29 del RGPD).
  • Registro de las actividades del tratamiento: al menos, con la información que indica el RGPD y que servirá también para demostrar el cumplimiento, siendo obligatorio que las Administraciones Públicas, a las que se refiere el artículo 77.1 de la LOPDGDD lo publiquen (art. 30 del RGPD y art. 31 de la LOPDGDD).
  • Cooperación con la autoridad de control: tanto por el responsable como por el encargado del tratamiento (art. 31 del RGPD).
  • Seguridad del tratamiento (art. 32 del RGPD): para, en atención al riesgo del tratamiento y los factores previstos en el RGPD, tales como el estado de la técnica o el coste de aplicación, se garantice un nivel adecuado, incluida la confidencialidad, para evitar la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos, susceptibles en particular de ocasionar daños y perjuicios físicos, materiales o inmateriales (considerando 83 del RGPD)
  • Notificación de una violación de la seguridad de los datos personales a la autoridad de protección de datos: Salvo en aquellos casos en los que sea improbable que la violación sea un riesgo para los derechos y libertades fundamentales de las personas físicas, el responsable del tratamiento tendrá que notificarla a la autoridad de protección de datos (artículo 33 del RGPD).
  • Comunicación de una violación de la seguridad de los datos personales al interesado: Salvo que el responsable del tratamiento hubiera adoptado medidas al respecto, tendrá que comunicarla al interesado cuando sea probable que entrañe un alto riesgo para los derechos y libertades de los interesados (artículo 34 del RGPD).
  • Evaluación de impacto relativa a la protección de datos: cuando sea probable que el tratamiento de los datos personales implique un alto riesgo para los interesados (artículo 35 del RGPD).
  • Designación del delegado de protección de datos: ya sea de manera obligatoria, en los casos indicados tanto en el RGPD como en la LOPDGDD (artículo 34), o voluntaria, considerando tanto su perfil, como las obligaciones en relación con el mismo, su posición y sus funciones (artículos 37 a39 del RGPD y artículos 34 a37 de la LOPDGDD).

¿Por qué documentar las medidas aplicadas en virtud del principio de responsabilidad?

Las medidas técnicas y organizativas que, en su caso, adopte el responsable del tratamiento deberán estar documentadas, fundamentalmente, para poder demostrar el cumplimiento. Es decir, para demostrar que se han adoptado e implementado, si bien es necesario que se demuestre también la aplicación efectiva de las mismas.

En este sentido, el RGPD prevé también que una de las posibles medidas a adoptar para cumplir y demostrar el cumplimiento sea la aplicación de las oportunas políticas de protección de datos (artículo 24.2 del RGPD). Es decir, dichas políticas implicarán documentar procedimientos, procesos y, en su caso, buenas prácticas, a seguir, con independencia del soporte, en papel o electrónico, que se utilice a tal fin.

Al mismo tiempo, la documentación de las medidas servirá, en su caso, al responsable para poder obtener una certificación, ya que durante el proceso correspondiente sería necesario verificar los controles adoptados e implementados por el responsable del tratamiento. Igualmente, la documentación puede servir para poder adherirse a un código de conducta o mantener la adhesión al mismo, ya que deberá servir para demostrar que se cumple con los requisitos exigibles.

Códigos de conducta y certificaciones aprobadas

Los códigos de conducta aprobados, en virtud del artículo 40 del RGPD, y las certificaciones aprobadas, conforme al artículo 42 del RGPD, podrán ser utilizados por los responsables del tratamiento como elementos para demostrar el cumplimiento de las obligaciones que le son exigibles. En concreto, como indica el artículo 38.1 de la LOPDGDD, los códigos de conducta serán vinculantes para quienes se adhieran a los mismos.

En relación con los mecanismos de certificación en materia de protección de datos, tales como los sellos u otros distintivos, el GT29 ha indicado que contribuirían a demostrar que los responsables del tratamiento de datos respetan la disposición y consiguientemente que han definido y aplicado las medidas adecuadas que han sido objeto periódico de auditorías.

Tanto los códigos de conducta como las certificaciones en protección de datos pueden ser, por tanto, instrumentos adecuados para demostrar el cumplimiento, si bien su adopción no implica una disminución de la responsabilidad que le sea exigible al responsable del tratamiento que infringe sus obligaciones en virtud de la normativa sobre protección de datos.

En nuestro país, el artículo 39 de la LOPDGDD indica que sin perjuicio de las funciones y poderes de acreditación de la autoridad de control competente, la acreditación de las instituciones de certificación corresponde a la Entidad Nacional de Acreditación (ENAC).

Recuerde que...

  • El principio de responsabilidad supone que, considerando el riesgo que implique el tratamiento de los datos personales, el responsable del tratamiento aplique medidas técnicas y organizativas adecuadas para cumplir y demostrar el cumplimiento de la normativa sobre protección de datos personales.
  • El responsable tiene que asegurarse de que el tratamiento de los datos personales cumple con los requisitos exigibles tanto si trata los datos personales por sí mismo como si recurre a encargados del tratamiento.
  • El responsable del tratamiento puede recurrir también a códigos de conducta y certificaciones aprobadas en virtud del RGPD.
Subir