Conoce Atico34 - Solicita presupuesto
GlosarioLOPDGDD & RGPD

Accountability: principio de responsabilidad proactiva en el RGPD

El principio de responsabilidad proactiva o accountability es uno de los principios de protección de datos recogidos en el Reglamento General de Protección de Datos (RGPD), pero ¿en qué consiste este principio de accountability del RGPD? ¿Cuáles son las obligaciones de accountability en una empresa? ¿Cómo se cumple con él?

¿Qué es el principio de responsabilidad activa o accountability?

El principio de accountability del GDPR (o RGPD) es la obligación que tienen las organizaciones no solo de cumplir con el Reglamento, sino demostrar que lo cumplen. Es decir, el principio de responsabilidad proactiva se refiere tanto al cumplimiento como a la demostración de dicho cumplimiento, lo que implica adoptar medidas técnicas y organizativas para garantizar la protección de datos personales y ser capaces de demostrar que se han implantado de manera adecuada y efectiva.

El cumplimiento del principio de responsabilidad proactiva en protección de datos corresponde a los responsables del tratamiento (o sus representantes).

El responsable del tratamiento (es decir, la entidad o autónomo que trata datos de terceros en su actividad profesional), deberá establecer procedimientos a través de los cuales:

  • Quede garantizada la aplicación en la entidad de la normativa de protección de datos
  • Se pueda demostrar ante terceros la efectiva aplicación y el cumplimiento de la normativa de protección de datos

Principio de accountability en el RGPD y la LOPDGDD

El principio de accountability en el RGPD lo encontramos en los artículos 5 y 24, ya que aquí se marcan las responsabilidades del responsable del tratamiento.

De acuerdo al RGPD, la responsabilidad proactiva implica que el responsable del tratamiento está obligado a aplicar medidas técnicas y organizativas que sean apropiadas para garantizar y demostrar que el tratamiento de los datos personales se realiza conforme a la normativa.

También podemos observar influencias de este principio en el artículo 28 de la LOPDGDD, en cuanto que redunda en las obligaciones del responsable del tratamiento.

Al igual que el RGPD, enuncia que el responsable del tratamiento deberá marcar unas pautas técnicas y de organización dentro de la entidad que permitan demostrar y garantizar a los terceros que se cumple la normativa de protección de datos.

Factores y medidas clave del principio de responsabilidad proactiva

La responsabilidad proactiva en protección de datos se cimienta sobre los siguientes tres pilares básicos:

  • Compromiso: La accountability RGPD tiene como una de sus bases principales el compromiso de toda la empresa con el cumplimiento normativo. Esto significa que los principios de accountability han de ser adoptados por todos los miembros de la organización, desde los altos directivos hasta los empleados de cualquier departamento.
  • Proactividad: La responsabilidad proactiva en protección de datos quiere decir que todas las organizaciones han de desarrollar e implementar las medidas técnicas y organizativas necesarias para garantizar el cumplimiento normativo en la empresa. Está relacionado con la protección de datos desde el diseño y por defecto.
  • Responsabilidad: Asimismo, la empresa debe garantizar que todos sus miembros cumplan con las responsabilidades que se les asignan en materia de protección de datos. Por ejemplo, aquí será clave la responsabilidad de figuras como el responsable del tratamiento, encargado del tratamiento o del DPO, pero también del resto de empleados de la organización.

Así mismo, el RGPD nos ofrece un catálogo de medidas que el responsable del tratamiento debe aplicar para garantizar que los tratamientos que se realizan lo hacen de acuerdo al Reglamento y que son prueba (al quedar documentadas) del cumplimiento del mismo.

cumplimiento responsabilidad proactiva en la empresa

Cómo demostrar el cumplimiento del principio de responsabilidad proactiva en la empresa

  • Llevando un registro de las actividades de tratamiento: Se debe elaborar un Registro de las Actividades de Tratamiento siempre y cuando la entidad:
    • Cuando tenga más de 250 empleados
    • En caso de que el tratamiento pueda entrañar un riesgo para los derechos y libertades de los interesados y no sea ocasional
    • Si trata categorías especiales de datos
    • Si se tratan datos a gran escala o de manera sistemática
    • Si se tratan datos relativos a condenas o delitos penales
  • Realizando una Evaluación de Impacto en la Protección de Datos: Cuando el tratamiento que se realiza entrañe un riesgo alto para las libertades y derechos de los terceros, se deben realizar un análisis de esos riesgos con tal de evitar que se hagan efectivos. En este caso, ese análisis de riesgos, deberá ser más exhaustivo y revestir la forma de una Evaluación de Impacto en la Protección de Datos.
  • Incrementando la transparencia: Parte de ser proactivo implica generar confianza en los interesados, para lo que es primordial informarles de todo aquello que afecte al tratamiento de sus datos y hacerlo de forma:
    • Concisa
    • Transparente
    • Con lenguaje claro y sencillo
    • De fácil acceso
  • Aplicando los principios de Privacidad desde el diseño y por defecto: Antes del inicio de cualquier proyecto que conlleve un tratamiento de datos personales de terceros, se deben establecer los procedimientos adecuados, con tal de que a la hora del diseño y desarrollo de dicho proyecto tenga implementada la normativa de protección de datos (Privacidad desde el diseño).
  • Designando un Delegado de Protección de Datos: Habrá determinadas situaciones en las que será necesario contar con el asesoramiento de un experto, el Delegado de Protección de Datos. Principalmente:
    • En caso de que el tratamiento lo realice un organismo o entidad pública
    • Cuando las actividades principales consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala
    • Si las actividades consisten en el tratamiento a gran escala de categorías especiales de datos personales o de datos relativos a condenas e infracciones penales
    • Si se trata de una de las actividades recogidas en el artículo 34 de la LOPDGDD
  • Notificación de violaciones de seguridad: Es lógico, que si la normativa nos impone un deber de demostrar el cumplimiento de la misma, cuando se produzca un fallo en nuestras medidas de seguridad y se vean afectados los datos que tratamos de terceros, nos imponga también comunicar esas violaciones de seguridad a la autoridad competente. Con esta notificación lo que se pretende es:
    • Demostrar ante la autoridad de control que se han cumplido todos los protocolos diseñados para la protección de datos
    • Verificar que esos protocolos son los adecuados
    • Analizar la raíz del problema y solucionarlo para que no vuelva a ocurrir
  • Definiendo las obligaciones del Encargado del tratamiento: Como es sabido, el encargado de tratamiento es aquel que trata datos personales por cuenta de terceros. Es decir, se trata de una entidad o autónomo contratado por otra/o para la realización de un servicio y que trata datos personales de las cuales la primera empresa es responsable. Por lo tanto, tiene sentido que este encargado del tratamiento:
    • Cumpla con las obligaciones propias del responsable cuando los datos sean de su responsabilidad
    • Aplique las mismas medidas para sus datos y los que trata por cuenta de terceros
    • Demuestre al responsable de tratamiento que le contrata el cumplimiento de la normativa

El principio de accountability también lo podemos encontrar en la necesidad de una elección responsable del encargado de tratamiento.

El RGPD, en su artículo 81, establece que el encargado deberá ofrecer al responsable garantía suficiente de que cuenta con conocimientos y recursos para aplicar las medidas técnicas y organizativas necesarias para cumplir la normativa, incluyendo la seguridad del tratamiento.

Esto quiere decir que un responsable no podrá contratar a un encargado que no demuestre que cuenta con todas las garantías.

El principio de responsabilidad proactiva del RGPD prevé que el encargado, con el fin de demostrar que ofrece garantías suficientes, pueda contar con mecanismos de prueba como:

    • Códigos de conducta
    • Certificados de protección de datos

¿Cómo cumplir el principio de responsabilidad proactiva en una empresa?

Además de aplicar las medidas descritas en el punto anterior, para cumplir con el principio de responsabilidad proactiva en la empresa se deben seguir estos pasos:

  • Analizar el tipo de datos que tratas y las obligaciones a las que estás expuesto.
  • Establecer objetivos y normas para poder gestionar y evaluar la estrategia de aplicación de este precepto en la protección de datos de nuestra entidad.
  • Ser transparente hacia las personas físicas sobre la forma de tratar los datos y exigir a las empresas terceras lo mismo que se te exige a ti.

tarifas proteccion datos

El modelo accountability para mejorar la cultura organizacional

Cabe señalar que el modelo accountability no es algo exclusivo de la protección de datos y que se aplica en otros ámbitos de la empresa (en especial para mejorar la productividad y la competitividad), puesto que tiene como objetivo la mejora de la cultura organizacional de las compañías.

Aplicado en la protección de datos, el modelo accountability implica que como responsables del tratamiento debemos siempre aplicar las medidas técnicas y organizativas necesarias para garantizar la confidencialidad de los datos personales que tratamos, teniendo en cuenta los riesgos inherentes a dichos tratamientos y teniendo como objetivo minimizar tanto las probabilidades de materialización del riesgo como su impacto negativo en los derechos y libertades de los interesados.

En ese sentido, el modelo accountability en protección de datos podría estructurarse de la siguiente forma:

Estructura del principio de accountability

Estructura del principio de accountability en la normativa RGPD

  • Naturaleza del tratamiento: Será diferente el diseño de la aplicación de la normativa de protección de datos dependiendo de la forma en que se traten los datos, como papel o usando nuevas tecnologías.
  • Ámbito y contexto: Al igual que con la naturaleza, habrá que analizar el ámbito y el contexto en la que se tratan datos de terceros, ya que, por ejemplo, no son las mismas obligaciones si se tratan datos de menores o de pacientes, que si solo tratamos datos básicos como correo electrónico.
  • Finalidad del tratamiento: Hay que tener en cuenta a la hora de desarrollar las «políticas de protección de datos», la finalidad para la que se van a usar esos datos, ya que es diferente tratar solo datos con motivos comerciales, como envío de mailing, a tratar datos con el fin de elaborar perfiles de los terceros. Las entidades que, debido a la finalidad de tratamiento, traten datos considerados sensibles, como datos de salud, deberán cumplir con una serie de obligaciones añadidas y, por lo tanto, demostrar el cumplimiento de una manera más estricta.
  • Riesgos derivados del tratamiento: Es necesario determinar el nivel de riesgos que supone el tratamiento para los derechos y libertades de los afectados. Asimismo, se deberán aplicar medidas adecuadas atendiendo a dichos riesgos. Por lo tanto, lo que se pretende es una ponderación del riesgo, a la hora de aplicar las medidas de cumplimiento de la normativa.

Accountability y Compliance

Hay una estrecha relación entre el principio de responsabilidad proactiva y el concepto de compliance o cumplimiento normativo, que no es otro que el riesgo de que una organización pueda sufrir sanciones, multas, pérdidas financieras o pérdida de su reputación como resultado de incumplimientos de las leyes, regulaciones, normas de autorregulación o códigos de conducta que se apliquen a su actividad.

En el caso de la protección de datos, la normativa debe formar parte del programa de compliance de la organización, de manera que este ayude a cumplir con el principio de responsabilidad proactiva.

Accountability vs. responsibility

Son dos términos que están relacionados y que se pueden llegar a confundir. Sin embargo, el concepto de responsibility hace referencia a aquel que comete un acto, mientras que el de accountability se refiere a aquel que responde de dicho acto. Por ello, la responsibility se podría aplicar por separado a los diferentes miembros de una organización, mientras que accountability se suele aplicar más a las responsabilidades globales de una organización.

¿Necesitas ayuda con el cumplimiento del principio de responsabilidad proactiva en tu empresa?

En esta guía sobre accountability en español te hemos hablado acerca de las principales cuestiones de la responsabilidad proactiva en relación a la protección de datos. Si necesitas ayuda a la hora de aplicar la responsabilidad proactiva en protección de datos, en Grupo Atico34 tenemos la solución.

Somos una consultora con más de 12 años de experiencia ofreciendo nuestros servicios a empresas de todos los sectores y tamaños.

Tenemos un gran compromiso con el cumplimiento del principio de accountability en nuestra empresa, y te ayudamos a que tú hagas lo mismo.

Nuestros expertos estudiarán tu caso y pondrán en marcha las medidas necesarias para que tu empresa cumpla con el principio de responsabilidad proactiva.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.