Conoce Atico34 - Solicita presupuesto
GlosarioLOPDGDD & RGPD

Accountability, el principio de responsabilidad proactiva en el RGPD

Entre los principios de protección de datos encontramos el principio de responsabilidad proactiva o accountability, pero ¿en qué consiste la responsabilidad proactiva del RGPD? ¿Qué obligaciones implica para las empresas la adopción del principio de accountability? ¿Cómo se implementa?

¿Qué es el principio de responsabilidad activa o accountability?

El Reglamento General de Protección de Datos (RGPD) incorporó diferentes principios de protección de datos, para adecuar la norma a la actualidad. Uno de esos principios es el denominado principio de accountability o principio de responsabilidad proactiva.

El principio de accountability es la obligación que tienen las organizaciones no solo de cumplir la normativa, sino de demostrar que la cumplen. Es decir, la responsabilidad proactiva abarca tanto el cumplimiento como la demostración de dicho cumplimiento; adoptar medidas técnicas y organizativas para garantizar la protección de datos y demostrar que se han implantado de manera adecuada.

El principio de accountability en el cumplimiento normativo corresponde, en cuestiones de protección de datos, a los responsables de tratamiento o sus representantes.

El responsable del tratamiento (es decir, la entidad o autónomo que trata datos de terceros en su actividad profesional), deberá establecer procedimientos a través de los cuales:

  • Quede garantizada la aplicación en la entidad de la normativa de protección de datos
  • Se pueda demostrar ante terceros la efectiva aplicación y el cumplimiento de la normativa de protección de datos

Principio de accountability en el RGPD y la LOPDGDD

El principio de accountability lo encontramos en los artículos 5 y 24 del RGPD, en cuanto a que deja marcada las responsabilidades del responsable del tratamiento.

Según la responsabilidad proactiva en el RGPD, El responsable se encuentra obligado a aplicar medidas organizativas y técnicas que sean apropiadas para, no solo garantizar, sino también poder demostrar, que el tratamiento de los datos se realiza conforme a la normativa.

También podemos observar influencias de este principio en el artículo 28 de la LOPDGDD, en cuanto que redunda en las obligaciones del responsable del tratamiento.

Al igual que el RGPD, enuncia que el responsable del tratamiento deberá marcar unas pautas técnicas y de organización dentro de la entidad que permitan demostrar y garantizar a los terceros que se cumple la normativa de protección de datos.

Factores clave del principio de accountability

La responsabilidad proactiva en protección de datos (o accountability en protección de datos) se cimienta sobre tres pilares fundamentales como son el compromiso, la proactividad y la responsabilidad. Veamos de qué se trata cada uno de ellos.

  • Compromiso: La accountability RGPD tiene como una de sus bases principales el compromiso de toda la empresa con el cumplimiento normativo. Esto significa que los principios de accountability han de ser adoptados por todos los miembros de la organización, desde los altos directivos hasta los empleados de cualquier departamento.
  • Proactividad: La responsabilidad proactiva en protección de datos quiere decir que todas las organizaciones han de desarrollar e implementar las medidas técnicas y organizativas necesarias para garantizar el cumplimiento normativo en la empresa. Está relacionado con la protección de datos desde el diseño y por defecto.
  • Responsabilidad: Asimismo, la empresa debe garantizar que todos sus miembros cumplan con las responsabilidades que se les asignan en materia de protección de datos. Por ejemplo, aquí será clave la responsabilidad de figuras como el responsable del tratamiento, encargado del tratamiento o del DPO, pero también del resto de empleados de la organización.

¿Cómo se estructura la responsabilidad proactiva?

La responsabilidad proactiva en la protección de datos debe estructurarse atendiendo a los elementos más importantes cuando tratamos datos personales de terceros.

Estructura del principio de accountability

Estructura del principio de accountability en la normativa RGPD

  • Naturaleza del tratamiento: Será diferente el diseño de la aplicación de la normativa de protección de datos dependiendo de la forma en que se traten los datos, como papel o usando nuevas tecnologías.
  • Ámbito y contexto: Al igual que con la naturaleza, habrá que analizar el ámbito y el contexto en la que se tratan datos de terceros, ya que, por ejemplo, no son las mismas obligaciones si se tratan datos de menores o de pacientes, que si solo tratamos datos básicos como correo electrónico.
  • Finalidad del tratamiento: Hay que tener en cuenta a la hora de desarrollar las «políticas de protección de datos», la finalidad para la que se van a usar esos datos, ya que es diferente tratar solo datos con motivos comerciales, como envío de mailing, a tratar datos con el fin de elaborar perfiles de los terceros. Las entidades que, debido a la finalidad de tratamiento, traten datos considerados sensibles, como datos de salud, deberán cumplir con una serie de obligaciones añadidas y, por lo tanto, demostrar el cumplimiento de una manera más estricta.
  • Riesgos derivados del tratamiento: Es necesario determinar el nivel de riesgos que supone el tratamiento para los derechos y libertades de los afectados. Asimismo, se deberán aplicar medidas adecuadas atendiendo a dichos riesgos. Por lo tanto, lo que se pretende es una ponderación del riesgo, a la hora de aplicar las medidas de cumplimiento de la normativa.

¿Cómo cumplir el principio de responsabilidad proactiva en las empresas?

Se puede cumplir con la accountability en las empresas consiste siguiendo los tres pasos que señalaremos a continuación y adoptando una serie de medidas técnicas y organizativas para garantizar la protección de datos.

En cuanto los pasos a seguir, son estos:

  • Analizar el tipo de datos que tratas y las obligaciones a las que estás expuesto.
  • Establecer objetivos y normas para poder gestionar y evaluar la estrategia de aplicación de este precepto en la protección de datos de nuestra entidad.
  • Ser transparente hacia las personas físicas sobre la forma de tratar los datos y exigir a las empresas terceras lo mismo que se te exige a ti.

tarifas proteccion datos

Medidas del principio de responsabilidad proactiva

Como decíamos, para cumplir con el principio de responsabilidad proactiva, es necesario adoptar una serie de medidas a través de las cuales se demuestre a los terceros que se tratan sus datos conforme a la normativa.

El RGPD nos facilita un poco la tarea a la hora de desarrollar estas medidas, ya que impone al Responsable del Tratamiento una serie de obligaciones mediante las cuales podrá demostrar este cumplimiento.

Con el RGPD el responsable del tratamiento pasa de una posición pasiva a otra activa que le obliga a demostrar que cumple con las obligaciones y requisitos exigidos en esta normativa.

cumplimiento responsabilidad proactiva en la empresa

Cómo demostrar el cumplimiento del principio de responsabilidad proactiva en la empresa

  • Llevando un registro de las actividades de tratamiento: Se debe elaborar un Registro de las Actividades de Tratamiento siempre y cuando la entidad:
    • Cuando tenga más de 250 empleados
    • En caso de que el tratamiento pueda entrañar un riesgo para los derechos y libertades de los interesados y no sea ocasional
    • Si trata categorías especiales de datos
    • Si se tratan datos a gran escala o de manera sistemática
    • Si se tratan datos relativos a condenas o delitos penales
  • Realizando una Evaluación de Impacto en la Protección de Datos: Cuando el tratamiento que se realiza entrañe un riesgo alto para las libertades y derechos de los terceros, se deben realizar un análisis de esos riesgos con tal de evitar que se hagan efectivos. En este caso, ese análisis de riesgos, deberá ser más exhaustivo y revestir la forma de una Evaluación de Impacto en la Protección de Datos.
  • Incrementando la transparencia: Parte de ser proactivo implica generar confianza en los interesados, para lo que es primordial informarles de todo aquello que afecte al tratamiento de sus datos y hacerlo de forma:
    • Concisa
    • Transparente
    • Con lenguaje claro y sencillo
    • De fácil acceso
  • Aplicando los principios de Privacidad desde el diseño y por defecto: Antes del inicio de cualquier proyecto que conlleve un tratamiento de datos personales de terceros, se deben establecer los procedimientos adecuados, con tal de que a la hora del diseño y desarrollo de dicho proyecto tenga implementada la normativa de protección de datos (Privacidad desde el diseño).
  • Designando un Delegado de Protección de Datos: Habrá determinadas situaciones en las que será necesario contar con el asesoramiento de un experto, el Delegado de Protección de Datos. Principalmente:
    • En caso de que el tratamiento lo realice un organismo o entidad pública
    • Cuando las actividades principales consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala
    • Si las actividades consisten en el tratamiento a gran escala de categorías especiales de datos personales o de datos relativos a condenas e infracciones penales
    • Si se trata de una de las actividades recogidas en el artículo 34 de la LOPDGDD
  • Notificación de violaciones de seguridad: Es lógico, que si la normativa nos impone un deber de demostrar el cumplimiento de la misma, cuando se produzca un fallo en nuestras medidas de seguridad y se vean afectados los datos que tratamos de terceros, nos imponga también comunicar esas violaciones de seguridad a la autoridad competente. Con esta notificación lo que se pretende es:
    • Demostrar ante la autoridad de control que se han cumplido todos los protocolos diseñados para la protección de datos
    • Verificar que esos protocolos son los adecuados
    • Analizar la raíz del problema y solucionarlo para que no vuelva a ocurrir
  • Definiendo las obligaciones del Encargado del tratamiento: Como es sabido, el encargado de tratamiento es aquel que trata datos personales por cuenta de terceros. Es decir, se trata de una entidad o autónomo contratado por otra/o para la realización de un servicio y que trata datos personales de las cuales la primera empresa es responsable. Por lo tanto, tiene sentido que este encargado del tratamiento:
    • Cumpla con las obligaciones propias del responsable cuando los datos sean de su responsabilidad
    • Aplique las mismas medidas para sus datos y los que trata por cuenta de terceros
    • Demuestre al responsable de tratamiento que le contrata el cumplimiento de la normativa

El principio de accountability también lo podemos encontrar en la necesidad de una elección responsable del encargado de tratamiento.

El RGPD, en su artículo 81, establece que el encargado deberá ofrecer al responsable garantía suficiente de que cuenta con conocimientos y recursos para aplicar las medidas técnicas y organizativas necesarias para cumplir la normativa, incluyendo la seguridad del tratamiento.

Esto quiere decir que un responsable no podrá contratar a un encargado que no demuestre que cuenta con todas las garantías.

El principio de responsabilidad proactiva del RGPD prevé que el encargado, con el fin de demostrar que ofrece garantías suficientes, pueda contar con mecanismos de prueba como:

    • Códigos de conducta
    • Certificados de protección de datos

Accountability y Compliance

Hay una estrecha relación entre el principio de responsabilidad proactiva y el concepto de compliance o cumplimiento normativo, que no es otro que el riesgo de que una organización pueda sufrir sanciones, multas, pérdidas financieras o pérdida de su reputación como resultado de incumplimientos de las leyes, regulaciones, normas de autorregulación o códigos de conducta que se apliquen a su actividad.

En el caso de la protección de datos, la normativa debe formar parte del programa de compliance de la organización, de manera que este ayude a cumplir con el principio de responsabilidad proactiva.

Beneficios de integrar un modelo de accountability en la cultura organizacional

Las ventajas de apostar por el principio de accountability en protección de datos se pueden resumir en las siguientes:

  • Búsqueda de la excelencia y aumento de la capacidad de los miembros de la empresa para mejorar los resultados.
  • Aplicación de un código ético, conductual y organizacional basado en el cumplimiento normativo, el due diligence y la aceptación de responsabilidades sin poner excusas.
  • Desarrollo de mecanismos más efectivos para la detección de problemas y la búsqueda de soluciones.
  • Aumento de la motivación de los equipos, que forman parte de una organización que demuestra su compromiso, proactividad y responsabilidad.
  • Fomento de la creatividad y la facilidad para llegar a soluciones que garanticen no solo el cumplimiento normativo, sino también el desarrollo de una cultura organizacional propia y responsable.

Accountability vs. responsibility

Son dos términos que están relacionados y que se pueden llegar a confundir. Sin embargo, el concepto de responsibility hace referencia a aquel que comete un acto, mientras que el de accountability se refiere a aquel que responde de dicho acto. Por ello, la responsibility se podría aplicar por separado a los diferentes miembros de una organización, mientras que accountability se suele aplicar más a las responsabilidades globales de una organización.

¿Necesitas ayuda con el cumplimiento del principio de responsabilidad proactiva en tu empresa?

En esta guía sobre accountability en español te hemos hablado acerca de las principales cuestiones de la responsabilidad proactiva en relación a la protección de datos. Si necesitas ayuda a la hora de aplicar la responsabilidad proactiva en protección de datos, en Grupo Atico34 tenemos la solución.

Somos una consultora con más de 12 años de experiencia ofreciendo nuestros servicios a empresas de todos los sectores y tamaños.

Tenemos un gran compromiso con el cumplimiento del principio de accountability en nuestra empresa, y te ayudamos a que tú hagas lo mismo.

Nuestros expertos estudiarán tu caso y pondrán en marcha las medidas necesarias para que tu empresa cumpla con el principio de responsabilidad proactiva.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.