¡Pide presupuesto en 2 min! ✓
Glosario

Accountability, el principio de responsabilidad proactiva en el RGPD

La normativa de protección de datos tiene como uno de sus objetivos que las empresas adopten la privacidad desde el diseño, la transparencia, o la accountability. Pero, ¿en qué consiste la responsabilidad proactiva? ¿Cómo implantarla en la empresa? A continuación te lo contamos.

¿Qué es Accountability?

Se trata de un término inglés que no tiene traducción específica en español. Como concepto, se refiere a la forma óptima de trabajar en una organización. Tiene que ver con la responsabilidad, la actitud y la cultura organizacional.

¿Qué es el principio de responsabilidad proactiva (Accountability)?

El Reglamento Europeo de Protección de Datos ha incorporado principios que adecuan la norma a la actualidad de hoy en día. Uno de ellos es el principio de accountability o principio de responsabilidad proactiva.

En lo relativo a la protección de datos, el principio de accountability no solo obliga a la empresa a cumplir con la normativa, sino a demostrar que la cumple. La responsabilidad proactiva abarca tanto en el cumplimiento como la demostración de dicho cumplimiento.

El responsable del tratamiento (es decir, la entidad o autónomo que trata datos de terceros en su actividad profesional), deberá establecer procedimientos a través de los cuales:

  • Quede garantizada la aplicación en la entidad de la normativa de protección de datos
  • Se pueda demostrar ante terceros la efectiva aplicación y el cumplimiento de la normativa de protección de datos

Los tres factores claves para el accountability

El accountability en protección de datos se cimenta sobre tres pilares fundamentales como son el compromiso, la proactividad y la responsabilidad. Veamos de qué se trata cada uno de ellos.

Compromiso

El accountability RGPD tiene como una de sus bases principales el compromiso de toda la empresa con el cumplimiento normativo. Esto significa que los principios de accountability han de ser adoptados por todos los miembros de la organización, desde los altos directivos hasta los empleados de cualquiera departamento.

Proactividad

La responsabilidad proactiva en protección de datos quiere decir que todas las organizaciones han de desarrollar e implementar las medidas técnicas y organizativas necesarias para garantizar el cumplimiento normativo en la empresa. Está relacionado con la protección de datos desde el diseño y por defecto.

Responsabilidad

Asimismo, la empresa debe garantizar que todos sus miembros cumplan con las responsabilidades que se les asignan en materia de protección de datos. Por ejemplo, aquí será clave la responsabilidad de figuras como el responsable del tratamiento, encargado del tratamiento o del DPO, pero también del resto de emplados de la organización.

¿Cómo se estructura el principio de Accountability?

La responsabilidad proactiva en la protección de datos debe estructurarse atendiendo a los elementos más importantes cuando tratamos datos personales de terceros, que son:

Estructura accountability rgpd

Naturaleza del tratamiento

Será diferente el diseño de la aplicación de la normativa de protección de datos dependiendo de la forma en que se traten los datos, como papel o usando nuevas tecnologías.

Ámbito y contexto

Al igual que con la naturaleza, habrá que analizar el ámbito y el contexto en la que se tratan datos de terceros, ya que, por ejemplo, no son las mismas obligaciones si se tratan datos de menores o de pacientes, que si  solo tratamos datos básicos como correo electrónico.

Finalidad del tratamiento

Hay que tener en cuenta a la hora de desarrollar las “políticas de protección de datos”, la finalidad para la que se van a usar esos datos, ya que es diferente tratar solo datos con motivos comerciales, como envío de mailing, a tratar datos con el fin de elaborar perfiles de los terceros.

Las entidades que, debido a la finalidad de tratamiento, traten datos considerados sensibles, como datos de salud, deberán cumplir con una serie de obligaciones añadidas y por lo tanto demostrar el cumplimiento de una manera más dura.

Riesgos derivados del tratamiento

Es necesario determinar el nivel de riesgos que supone el tratamiento para los derechos y libertades de los afectados.

Asimismo se deberán aplicar medidas adecuadas atendiendo a dichos riesgos. Por lo tanto, lo que se pretende es una ponderación del riesgo, a la hora de aplicar las medidas de cumplimiento de la normativa.

Accountability en el RGPD y la LOPDGDD

Como se trata de un principio que estructura la nueva identidad de la protección de datos, lógicamente lo podemos encontrar en las principales normas sectoriales.

Este principio lo encontramos en los artículos 5 y 24 del Reglamento General de Protección de Datos (RGPD), en cuanto a que deja marcada las responsabilidades del responsable del tratamiento.

Según la responsabilidad proactiva en el RGPD, El responsable se encuentra obligado a aplicar medidas organizativas y técnicas que sean a apropiadas para, no solo garantizar, sino también poder demostrar, que el tratamiento de los datos se realiza conforme a la normativa.

También podemos observar influencias de este principio en el artículo 28 de la LOPGDD, en cuanto que redunda en las obligaciones del responsable del tratamiento.

Al igual que el RGPD, enuncia que el responsable del tratamiento deberá marcar unas pautas técnicas y de organización dentro de la entidad que permitan demostrar y garantizar a los terceros que se cumple la normativa de protección de datos.

Accountability y Compliance

Este principio viene unido al concepto del Compliance o cumplimiento normativo.

Que no es otro que el riesgo de que una organización pueda sufrir sanciones, multas, pérdidas financieras o pérdida de su reputación como resultado de incumplimientos de las leyes, regulaciones, normas de autorregulación o códigos de conducta que se apliquen a su actividad.

Beneficios de integrar un modelo de accountability en la cultura organizacional

Las ventajas de apostar por el principio de accountability en protección de datos se pueden resumir en las siguientes:

  • Búsqueda de la excelencia y aumento de la capacidad de los miembros de la empresa para mejorar los resultados.
  • Aplicación de un código ético, conductual y organizacional basado en el cumplimiento normativo, el due diligence y la aceptación de responsabilidades sin poner excusas.
  • Desarrollo de mecanismos más efectivos para la detección de problemas y la búsqueda de soluciones.
  • Aumento de la motivación de los equipos, que forman parte de una organización que demuestra su compromiso, proactividad y responsabilidad.
  • Fomento de la creatividad y la facilidad para llegar a soluciones que garanticen no solo el cumplimiento normativo, sino también el desarrollo de una cultura organizaciones propia y responsable.

Cumple con el principio de responsabilidad proactiva en 3 sencillos pasos

Después de esta exhaustiva explicación de este principio, te puedes sentir abrumado.

¡Pero no te preocupes!

A continuación te vamos a proponer 3 pasos para que te sea mas sencillo cumplir con él.

  1. Analizar el tipo de datos que tratas y las obligaciones a las que estás expuesto.
  2. Establecer objetivos y normas para poder gestionar y evaluar la estrategia de aplicación de este precepto en la protección de datos de nuestra entidad
  3. Ser transparente hacia las personas físicas sobre la forma de tratar los datos y exigir a las empresas terceras lo mismo que se te exige a ti

tarifas proteccion datos

¿Necesitas ayuda con el cumplimiento del principio de accountability en tu empresa?

Si necesitas ayuda a la hora de aplicarla responsabilidad proactiva en protección de datos, en Grupo Atico34 tenemos la solución.

Somos una consultora con más de 12 años de experiencia ofreciendo nuestros servicios a empresas de todos los sectores y tamaños.

Tenemos un gran compromiso con el cumplimiento del principio de accountability en nuestra empresa, y te ayudamos a que tú hagas lo mismo.

Nuestros expertos estudiarán tu caso y pondrán en marcha las medidas necesarias para que tu empresa cumpla con el principio de responsabilidad proactiva.

Pero, ¿cómo trabajamos en Atico34? A continuación te lo contamos.

¿Cómo te ayudamos a demostrar el cumplimiento de la responsabilidad proactiva de tu empresa?

La principal cuestión de este principio, el por qué de su existencia, como ya hemos mencionado se define en una frase:

“No solo hay que cumplir, sino demostrar que se cumple”

Se deben establecer una serie de medidas a través de las cuales se demuestre a los terceros que se tratan sus datos conforme la normativa.

El RGPD nos facilita un poco la tarea a la hora de desarrollar estas medidas, ya que impone al Responsable del Tratamiento una serie de obligaciones mediante las cuales podrá demostrar este cumplimiento.

Con el nuevo RGPD el responsable del tratamiento pasa de una posición pasiva a otra activa que le obliga a demostrar que cumple con las obligaciones y requisitos exigidos en esta normativa.

cumplimiento responsabilidad proactiva empresa

Entre las nuevas obligaciones están:

Llevando un registro de las actividades de tratamiento

Se debe elaborar un Registro de las Actividades de Tratamiento siempre y cuando la entidad:

  • Cuando tenga más de 250 empleados
  • En caso de que el tratamiento pueda entrañar un riesgo para los derechos y libertades de los interesados y no sea ocasional
  • Si trata categorías especiales de datos
  • Si se tratan datos relativos a condenas o delitos penales

Realizando una Evaluación de Impacto en la Protección de Datos

Cuando el tratamiento que se realiza entrañe un riesgo alto para las libertades y derechos de los terceros se deben realizar un análisis de esos riesgos con tal de evitar que se hagan efectivos.

En este caso ese análisis de riesgos, deberá ser más exhaustivo y revestir la forma de una Evaluación de Impacto en la Protección de Datos.

Incrementando la transparencia

Una de las principales características de la demostración, es la transparencia para con los terceros.

Es primordial dar al interesado información de todo aquello que afecte al tratamiento de sus datos, y sobre todo que se haga de forma:

  • Concisa
  • Transparente
  • Con lenguaje claro y sencillo
  • De fácil acceso

De esta forma se es proactivo y se genera confianza hacia los clientes.

Aplicando los principios de Privacidad desde el diseño y por defecto

Antes del inicio de cualquier proyecto que conlleve un tratamiento de datos personales de terceros, se deben establecer los procedimientos adecuados, con tal de que a la hora del diseño y desarrollo de dicho proyecto tenga implementada la normativa de protección de datos (Privacidad desde el diseño).

Designando un Delegado de Protección de Datos

Habrá determinadas situaciones en las que será necesario contar con el asesoramiento de un experto, el Delegado de Protección de Datos.

Principalmente:

  • En caso de que el tratamiento lo realice un organismo o entidad pública
  • Cuando las actividades principales consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala
  • Si las actividades consisten en el tratamiento a gran escala de categorías especiales de datos personales o de datos relativos a condenas e infracciones penales

En la LOPDGDD, en su artículo 34, viene recogida una lista de las entidades que por su actividad tienen obligado contar con un DPO.

Notificación de violaciones de seguridad

Es lógico, que si la normativa nos impone un deber de demostrar el cumplimiento de la misma, cuando se produzca un fallo en nuestras medidas de seguridad y se vean afectados los datos que tratamos de terceros, nos imponga también comunicar esas violaciones de seguridad a la autoridad competente.

Con esta notificación lo que se pretende es:

  • Demostrar ante la autoridad de control que se han cumplido todos los protocolos diseñados para la protección de datos
  • Verificar que esos protocolos son los adecuados
  • Analizar la raíz del problema y solucionarlo para que no vuelva a ocurrir

Definiendo las obligaciones del Encargado del tratamiento

Como es sabido, el Encargado de Tratamiento es aquel que trata datos personales por cuenta de terceros.

Es decir, se trata de una entidad o autónomo contratado por otra/o para la realización de un servicio y que trata datos personales de las cuales la primera empresa es responsable.

Un ejemplo de esta situación sería la contratación de una gestoría para el tratamiento de las nóminas de los empleados.

Por lo tanto, tiene sentido que este Encargado del Tratamiento:

  • Cumpla con las obligaciones propias del Responsable cuando los datos sean de sus responsabilidad
  • Aplique las mismas medidas para sus datos y los que trata por cuenta de terceros
  • Demuestre al Responsable de Tratamiento que le contrata el cumplimiento de la normativa

El principio de Accountability también lo podemos encontrar en la necesidad de una elección responsable del Encargado de Tratamiento.

El RGPD, en su artículo 81, establece que el Encargado deberá ofrecer al responsable garantía suficiente de que cuenta con conocimientos y recursos para aplicar las medidas técnicas y organizativas necesarias para cumplir la normativa, incluyendo la seguridad del tratamiento.

¡Esto es muy importante! Un Responsable no podrá contratar a un Encargado que no demuestre que cuenta con todas las garantías.

El principio de responsabilidad proactiva del RGPD prevé que el Encargado, con fin de demostrar que ofrece garantías suficientes pueda contar con mecanismos de prueba como:

  • códigos de conducta
  • certificados de protección de datos

Accountability vs responsibility

Son dos términos que están relacionados y que se pueden llegar a confundir. Sin embargo, el concepto de responsibility hace referencia a aquel que comete un acto, mientras que el de accountability se refiere a aquel que responde de dicho acto. Por ello, la responsibility se podría aplicar por separado a los diferentes miembros de una organización, mientras que accountability se suele aplicar más a las responsabilidades globales de una organización.

Esperamos que después de este post te haya quedado más claro lo que es uno de los principales principios del nuevo RGPD.

Pero si no es así, no te quedes con dudas, contáctanos en el Tlf 91 489 64 19 y cuenta con el asesoramiento experto de uno de nuestros abogados desde el primer minuto.

¿Te gustaría recibir un presupuesto?

PROTECCIÓN DE DATOS

· Adaptación al RGPD y LOPD-GDD

· Textos legales para sitios web

· Consentimientos de clientes, pacientes...

IGUALDAD

· Auditoría retributiva

· Protocolo de acoso

· Registro del Plan de Igualdad

Escríbenos o llámanos al 914 896 419