Conoce Atico34 - Solicita presupuesto
GlosarioLOPDGDD & RGPD

Accountability, el principio de responsabilidad proactiva en el RGPD

La normativa de protección de datos tiene como uno de sus objetivos que las empresas adopten la privacidad desde el diseño, la transparencia, o la accountability. Pero, ¿en qué consiste la responsabilidad proactiva del RGPD? ¿Cómo implantarla en la empresa? A continuación te lo contamos.

¿Qué es el principio de responsabilidad proactiva del RGPD (Accountability)?

El Reglamento Europeo de Protección de Datos ha incorporado principios que adecuan la norma a la actualidad de hoy en día. Uno de ellos es el principio de accountability o principio de responsabilidad proactiva.

En lo relativo a la protección de datos, el principio de accountability no solo obliga a la empresa a cumplir con la normativa, sino a demostrar que la cumple. La responsabilidad proactiva abarca tanto en el cumplimiento como la demostración de dicho cumplimiento.

El principio de accountability en el cumplimiento normativo corresponde, en cuestiones de protección de datos, a los responsables de tratamiento o sus representantes.

El responsable del tratamiento (es decir, la entidad o autónomo que trata datos de terceros en su actividad profesional), deberá establecer procedimientos a través de los cuales:

  • Quede garantizada la aplicación en la entidad de la normativa de protección de datos
  • Se pueda demostrar ante terceros la efectiva aplicación y el cumplimiento de la normativa de protección de datos

Los 3 factores clave del principio de responsabilidad proactiva en protección de datos

La responsabilidad proactiva en protección de datos (o accountability en protección de datos) se cimenta sobre tres pilares fundamentales como son el compromiso, la proactividad y la responsabilidad. Veamos de qué se trata cada uno de ellos.

  • Compromiso: El accountability RGPD tiene como una de sus bases principales el compromiso de toda la empresa con el cumplimiento normativo. Esto significa que los principios de accountability han de ser adoptados por todos los miembros de la organización, desde los altos directivos hasta los empleados de cualquiera departamento.
  • Proactividad: La responsabilidad proactiva en protección de datos quiere decir que todas las organizaciones han de desarrollar e implementar las medidas técnicas y organizativas necesarias para garantizar el cumplimiento normativo en la empresa. Está relacionado con la protección de datos desde el diseño y por defecto.
  • Responsabilidad: Asimismo, la empresa debe garantizar que todos sus miembros cumplan con las responsabilidades que se les asignan en materia de protección de datos. Por ejemplo, aquí será clave la responsabilidad de figuras como el responsable del tratamiento, encargado del tratamiento o del DPO, pero también del resto de emplados de la organización.

¿Cómo se estructura el principio de Accountability?

La responsabilidad proactiva en la protección de datos debe estructurarse atendiendo a los elementos más importantes cuando tratamos datos personales de terceros, que son:

Estructura accountability rgpd

 

  • Naturaleza del tratamiento: Será diferente el diseño de la aplicación de la normativa de protección de datos dependiendo de la forma en que se traten los datos, como papel o usando nuevas tecnologías.
  • Ámbito y contexto: Al igual que con la naturaleza, habrá que analizar el ámbito y el contexto en la que se tratan datos de terceros, ya que, por ejemplo, no son las mismas obligaciones si se tratan datos de menores o de pacientes, que si solo tratamos datos básicos como correo electrónico.
  • Finalidad del tratamiento: Hay que tener en cuenta a la hora de desarrollar las “políticas de protección de datos”, la finalidad para la que se van a usar esos datos, ya que es diferente tratar solo datos con motivos comerciales, como envío de mailing, a tratar datos con el fin de elaborar perfiles de los terceros. Las entidades que, debido a la finalidad de tratamiento, traten datos considerados sensibles, como datos de salud, deberán cumplir con una serie de obligaciones añadidas y, por lo tanto, demostrar el cumplimiento de una manera más dura.
  • Riesgos derivados del tratamiento: Es necesario determinar el nivel de riesgos que supone el tratamiento para los derechos y libertades de los afectados. Asimismo, se deberán aplicar medidas adecuadas atendiendo a dichos riesgos. Por lo tanto, lo que se pretende es una ponderación del riesgo, a la hora de aplicar las medidas de cumplimiento de la normativa.

Accountability en el RGPD y la LOPDGDD

Como se trata de un principio que estructura la nueva identidad de la protección de datos, lógicamente lo podemos encontrar en las principales normas sectoriales.

Este principio lo encontramos en los artículos 5 y 24 del Reglamento General de Protección de Datos (RGPD), en cuanto a que deja marcada las responsabilidades del responsable del tratamiento.

Según la responsabilidad proactiva en el RGPD, El responsable se encuentra obligado a aplicar medidas organizativas y técnicas que sean a apropiadas para, no solo garantizar, sino también poder demostrar, que el tratamiento de los datos se realiza conforme a la normativa.

También podemos observar influencias de este principio en el artículo 28 de la LOPGDD, en cuanto que redunda en las obligaciones del responsable del tratamiento.

Al igual que el RGPD, enuncia que el responsable del tratamiento deberá marcar unas pautas técnicas y de organización dentro de la entidad que permitan demostrar y garantizar a los terceros que se cumple la normativa de protección de datos.

Accountability y Compliance

Este principio viene unido al concepto del Compliance o cumplimiento normativo.

Que no es otro que el riesgo de que una organización pueda sufrir sanciones, multas, pérdidas financieras o pérdida de su reputación como resultado de incumplimientos de las leyes, regulaciones, normas de autorregulación o códigos de conducta que se apliquen a su actividad.

Cómo cumplir con el principio de responsabilidad proactiva en 3 pasos

A continuación te vamos a proponer 3 pasos para cumplir con el accountability en las empresas:

  1. Analizar el tipo de datos que tratas y las obligaciones a las que estás expuesto.
  2. Establecer objetivos y normas para poder gestionar y evaluar la estrategia de aplicación de este precepto en la protección de datos de nuestra entidad
  3. Ser transparente hacia las personas físicas sobre la forma de tratar los datos y exigir a las empresas terceras lo mismo que se te exige a ti

tarifas proteccion datos

Medidas para cumplir con el principio de responsabilidad proactiva en protección de datos

Se deben establecer una serie de medidas a través de las cuales se demuestre a los terceros que se tratan sus datos conforme la normativa.

El RGPD nos facilita un poco la tarea a la hora de desarrollar estas medidas, ya que impone al Responsable del Tratamiento una serie de obligaciones mediante las cuales podrá demostrar este cumplimiento.

Con el RGPD el responsable del tratamiento pasa de una posición pasiva a otra activa que le obliga a demostrar que cumple con las obligaciones y requisitos exigidos en esta normativa.

cumplimiento responsabilidad proactiva empresa

Llevando un registro de las actividades de tratamiento

Se debe elaborar un Registro de las Actividades de Tratamiento siempre y cuando la entidad:

  • Cuando tenga más de 250 empleados
  • En caso de que el tratamiento pueda entrañar un riesgo para los derechos y libertades de los interesados y no sea ocasional
  • Si trata categorías especiales de datos
  • Si se tratan datos relativos a condenas o delitos penales

Realizando una Evaluación de Impacto en la Protección de Datos

Cuando el tratamiento que se realiza entrañe un riesgo alto para las libertades y derechos de los terceros se deben realizar un análisis de esos riesgos con tal de evitar que se hagan efectivos.

En este caso ese análisis de riesgos, deberá ser más exhaustivo y revestir la forma de una Evaluación de Impacto en la Protección de Datos.

Incrementando la transparencia

Una de las principales características de la demostración, es la transparencia para con los terceros.

Es primordial dar al interesado información de todo aquello que afecte al tratamiento de sus datos, y sobre todo que se haga de forma:

  • Concisa
  • Transparente
  • Con lenguaje claro y sencillo
  • De fácil acceso

De esta forma se es proactivo y se genera confianza hacia los clientes.

Aplicando los principios de Privacidad desde el diseño y por defecto

Antes del inicio de cualquier proyecto que conlleve un tratamiento de datos personales de terceros, se deben establecer los procedimientos adecuados, con tal de que a la hora del diseño y desarrollo de dicho proyecto tenga implementada la normativa de protección de datos (Privacidad desde el diseño).

Designando un Delegado de Protección de Datos

Habrá determinadas situaciones en las que será necesario contar con el asesoramiento de un experto, el Delegado de Protección de Datos.

Principalmente:

  • En caso de que el tratamiento lo realice un organismo o entidad pública
  • Cuando las actividades principales consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala
  • Si las actividades consisten en el tratamiento a gran escala de categorías especiales de datos personales o de datos relativos a condenas e infracciones penales

En la LOPDGDD, en su artículo 34, viene recogida una lista de las entidades que por su actividad tienen obligado contar con un DPO.

Notificación de violaciones de seguridad

Es lógico, que si la normativa nos impone un deber de demostrar el cumplimiento de la misma, cuando se produzca un fallo en nuestras medidas de seguridad y se vean afectados los datos que tratamos de terceros, nos imponga también comunicar esas violaciones de seguridad a la autoridad competente.

Con esta notificación lo que se pretende es:

  • Demostrar ante la autoridad de control que se han cumplido todos los protocolos diseñados para la protección de datos
  • Verificar que esos protocolos son los adecuados
  • Analizar la raíz del problema y solucionarlo para que no vuelva a ocurrir

Definiendo las obligaciones del Encargado del tratamiento

Como es sabido, el Encargado de Tratamiento es aquel que trata datos personales por cuenta de terceros.

Es decir, se trata de una entidad o autónomo contratado por otra/o para la realización de un servicio y que trata datos personales de las cuales la primera empresa es responsable.

Un ejemplo de esta situación sería la contratación de una gestoría para el tratamiento de las nóminas de los empleados.

Por lo tanto, tiene sentido que este Encargado del Tratamiento:

  • Cumpla con las obligaciones propias del Responsable cuando los datos sean de sus responsabilidad
  • Aplique las mismas medidas para sus datos y los que trata por cuenta de terceros
  • Demuestre al Responsable de Tratamiento que le contrata el cumplimiento de la normativa

El principio de Accountability también lo podemos encontrar en la necesidad de una elección responsable del Encargado de Tratamiento.

El RGPD, en su artículo 81, establece que el Encargado deberá ofrecer al responsable garantía suficiente de que cuenta con conocimientos y recursos para aplicar las medidas técnicas y organizativas necesarias para cumplir la normativa, incluyendo la seguridad del tratamiento.

¡Esto es muy importante! Un Responsable no podrá contratar a un Encargado que no demuestre que cuenta con todas las garantías.

El principio de responsabilidad proactiva del RGPD prevé que el Encargado, con fin de demostrar que ofrece garantías suficientes pueda contar con mecanismos de prueba como:

  • códigos de conducta
  • certificados de protección de datos

Beneficios de integrar un modelo de accountability en la cultura organizacional

Las ventajas de apostar por el principio de accountability en protección de datos se pueden resumir en las siguientes:

  • Búsqueda de la excelencia y aumento de la capacidad de los miembros de la empresa para mejorar los resultados.
  • Aplicación de un código ético, conductual y organizacional basado en el cumplimiento normativo, el due diligence y la aceptación de responsabilidades sin poner excusas.
  • Desarrollo de mecanismos más efectivos para la detección de problemas y la búsqueda de soluciones.
  • Aumento de la motivación de los equipos, que forman parte de una organización que demuestra su compromiso, proactividad y responsabilidad.
  • Fomento de la creatividad y la facilidad para llegar a soluciones que garanticen no solo el cumplimiento normativo, sino también el desarrollo de una cultura organizaciones propia y responsable.

Accountability vs responsibility

Son dos términos que están relacionados y que se pueden llegar a confundir. Sin embargo, el concepto de responsibility hace referencia a aquel que comete un acto, mientras que el de accountability se refiere a aquel que responde de dicho acto. Por ello, la responsibility se podría aplicar por separado a los diferentes miembros de una organización, mientras que accountability se suele aplicar más a las responsabilidades globales de una organización.

¿Necesitas ayuda con el cumplimiento del principio de responsabilidad proactiva en tu empresa?

En esta guía sobre accountability en español te hemos hablado acerca de las principales cuestiones de la responsabilidad proactiva en relación a la protección de datos. Si necesitas ayuda a la hora de aplicar la responsabilidad proactiva en protección de datos, en Grupo Atico34 tenemos la solución.

Somos una consultora con más de 12 años de experiencia ofreciendo nuestros servicios a empresas de todos los sectores y tamaños.

Tenemos un gran compromiso con el cumplimiento del principio de accountability en nuestra empresa, y te ayudamos a que tú hagas lo mismo.

Nuestros expertos estudiarán tu caso y pondrán en marcha las medidas necesarias para que tu empresa cumpla con el principio de responsabilidad proactiva.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.