¡Pide presupuesto en 2 min! ✓
Glosario

El principio de accountability en el RGPD

7 Mins read

Como bien sabes, ha entrado en vigor una nueva normativa de protección de datos y como toda nueva normativa trae unos nuevos principios que la rigen, como la privacidad desde el diseño, la transparencia, o la accountability.

¿Cual de ellos es el más importante?

¡No te preocupes! A continuación te contamos cual es y los secretos que tiene.

Accountability

Como en toda nueva norma, en el Reglamento Europeo de Protección de Datos se enuncian nuevos principios que adecuan la norma a la actualidad de hoy en día, en un día cada vez más amplio y tecnológico. El principal del ellos, es el principio de accountability o principio de responsabilidad activa.

¿Qué es?

La palabra accountability puede parecer muy complicada pero su significado es muy sencillo.

Se trata de que una entidad no solo tiene que cumplir con la normativa de protección de datos, sino que tiene que demostrar que la cumple.

Hay que tener responsabilidad proactiva tanto en el cumplimiento como en su demostración.

El responsable del tratamiento (es decir, la entidad o autónomo que trata datos de terceros en su actividad profesional), deberá establecer procedimientos a través de los cuales:

  • Quede garantizada la aplicación en la entidad de la normativa de protección de datos
  • Se pueda demostrar ante terceros la efectiva aplicación y el cumplimiento de la normativa de protección de datos

Cumplimiento normativo (Compliance)

Este principio viene unido al concepto del Compliance.

Que no es otro que el riesgo de que una organización pueda sufrir sanciones, multas, pérdidas financieras o pérdida de su reputación como resultado de incumplimientos de las leyes, regulaciones, normas de autorregulación o códigos de conducta que se apliquen a su actividad.

Regulación

Como se trata de un principio que estructura la nueva identidad de la protección de datos, lógicamente lo podemos encontrar en las principales normas sectoriales.

RGPD

Este principio lo encontramos en los artículos 5 y 24 del Reglamento General de Protección de Datos, en cuanto a que deja marcada las responsabilidades del responsable del tratamiento.

El responsable se encuentra obligado a aplicar medidas organizativas y técnicas que sean a apropiadas para, no solo garantizar, sino también poder demostrar, que el tratamiento de los datos se realiza conforme a la normativa.

LOPD

También podemos observar influencias de este principio en el artículo 28 de la nueva LOPD, en cuanto que redunda en las obligaciones del responsable del tratamiento.

Al igual que el RGPD, enuncia que el responsable deberá marcar unas pautas técnicas y de organización dentro de la entidad que permitan demostrar y garantizar a los terceros que se cumple la normativa de protección de datos.

Estructura accountability rgpd

Estructura accountability

¿Cómo se estructura?

El cumplimiento de este principio, al tratarse de la raíz transversal de la protección de datos en la entidad, debe estructurarse atendiendo a los elementos más importantes cuando tratamos datos personales de terceros, que son:

La naturaleza del tratamiento

Será diferente el diseño de la aplicación de la normativa de protección de datos dependiendo de la forma en que se traten los datos, como papel o usando nuevas tecnologías.

Ámbito y contexto

Al igual que con la naturaleza, habrá que analizar el ámbito y el contexto en la que se tratan datos de terceros, ya que, por ejemplo, no son las mismas obligaciones si se tratan datos de menores o de pacientes, que si  solo tratamos datos básicos como correo electrónico.

Finalidad del tratamiento

Hay que tener en cuenta a la hora de desarrollar las “políticas de protección de datos”, la finalidad para la que se van a usar esos datos, ya que es diferente tratar solo datos con motivos comerciales, como envío de mailing, a tratar datos con el fin de elaborar perfiles de los terceros.

Las entidades que, debido a la finalidad de tratamiento, traten datos considerados sensibles, como datos de salud, deberán cumplir con una serie de obligaciones añadidas y por lo tanto demostrar el cumplimiento de una manera más dura.

Riesgos derivados del tratamiento

Es necesario determinar el nivel de riesgos que supone el tratamiento para los derechos y libertades de los afectados.

Asimismo se deberán aplicar medidas adecuadas atendiendo a dichos riesgos. Por lo tanto, lo que se pretende es una ponderación del riesgo, a la hora de aplicar las medidas de cumplimiento de la normativa.

Clave: La demostración del cumplimiento

La principal cuestión de este principio, el por qué de su existencia, como ya hemos mencionado se define en una frase:

“No solo hay que cumplir, sino demostrar que se cumple”

Se deben establecer una serie de medidas a través de las cuales se demuestre a los terceros que se tratan sus datos conforme la normativa.

El RGPD nos facilita un poco la tarea a la hora de desarrollar estas medidas, ya que impone al Responsable del Tratamiento una serie de obligaciones mediante las cuales podrá demostrar este cumplimiento.

Obligaciones del Responsable

Con el nuevo RGPD el responsable del tratamiento pasa de una posición pasiva a otra activa que le obliga a demostrar que cumple con las obligaciones y requisitos exigidos en esta normativa.

Entre las nuevas obligaciones están:

Llevar un registro de las actividades de tratamiento

Se debe elaborar un Registro de las Actividades de Tratamiento siempre y cuando la entidad:

  • Cuando tenga más de 250 empleados
  • En caso de que el tratamiento pueda entrañar un riesgo para los derechos y libertades de los interesados y no sea ocasional
  • Si trata categorías especiales de datos
  • Si se tratan datos relativos a condenas o delitos penales

Realizar una Evaluación de Impacto en la Protección de Datos

Cuando el tratamiento que se realiza entrañe un riesgo alto para las libertades y derechos de los terceros se deben realizar un análisis de esos riesgos con tal de evitar que se hagan efectivos.

En este caso ese análisis de riesgos, deberá ser más exhaustivo y revestir la forma de una Evaluación de Impacto en la Protección de Datos.

Incrementar la transparencia

Una de las principales características de la demostración, es la transparencia para con los terceros.

Es primordial dar al interesado información de todo aquello que afecte al tratamiento de sus datos, y sobre todo que se haga de forma:

  • concisa
  • transparente
  • con lenguaje claro y sencillo
  • de fácil acceso

De esta forma se es proactivo y se genera confianza hacia los clientes.

Aplicar los principios de Privacidad desde el diseño y por defecto

Antes del inicio de cualquier proyecto que conlleve un tratamiento de datos personales de terceros, se deben establecer los procedimientos adecuados, con tal de que a la hora del diseño y desarrollo de dicho proyecto tenga implementada la normativa de protección de datos (Privacy by design).

Designación un Delegado de Protección de Datos

Habrá determinadas situaciones en las que será necesario contar con el asesoramiento de un experto, el Delegado de Protección de Datos.

Principalmente:

  • En caso de que el tratamiento lo realice un organismo o entidad pública
  • Cuando las actividades principales consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala
  • Si las actividades consisten en el tratamiento a gran escala de categorías especiales de datos personales o de datos relativos a condenas e infracciones penales

En la LOPDGDD, en su artículo 34, viene recogida una lista de las entidades que por su actividad tienen obligado contar con un DPO.

Notificación de las violaciones de seguridad

Es lógico, que si la normativa nos impone un deber de demostrar el cumplimiento de la misma, cuando se produzca un fallo en nuestras medidas de seguridad y se vean afectados los datos que tratamos de terceros, nos imponga también comunicar esa brecha de seguridad a la autoridad competente.

Con esta notificación lo que se pretende es:

  • Demostrar ante la autoridad de control que se han cumplido todos los protocolos diseñados para la protección de datos
  • Verificar que esos protocolos son los adecuados
  • Analizar la raíz del problema y solucionarlo para que no vuelva a ocurrir

Obligaciones del Encargado

Como es sabido, el Encargado de Tratamiento es aquel que trata datos personales por cuenta de terceros.

Es decir, se trata de una entidad o autónomo contratado por otra/o para la realización de un servicio y que trata datos personales de las cuales la primera empresa es responsable.

Un ejemplo de esta situación sería la contratación de una gestoría para el tratamiento de las nóminas de los empleados.

Por lo tanto, tiene sentido que este Encargado de Tratamiento:

  • Cumpla con las obligaciones propias del Responsable cuando los datos sean de sus responsabilidad
  • Aplique las mismas medidas para sus datos y los que trata por cuenta de terceros
  • Demuestre al Responsable de Tratamiento que le contrata el cumplimiento de la normativa

Elección responsable del Encargado de Tratamiento

El principio de Accountability también lo podemos encontrar en la necesidad de una elección responsable del Encargado de Tratamiento.

El RGPD, en su considerando número 81, establece que el Encargado deberá ofrecer al responsable garantía suficiente de que cuenta con conocimientos y recursos para aplicar las medidas técnicas y organizativas necesarias para cumplir la normativa, incluyendo la seguridad del tratamiento.

¡Esto es muy importante! Un Responsable no podrá contratar a un Encargado que no demuestre que cuenta con todas las garantías.

Demostración del cumplimiento

El RGPD prevé que el Encargado, con fin de demostrar que ofrece garantías suficientes pueda contar con mecanismos de prueba como:

  • códigos de conducta
  • certificados de protección de datos

3 sencillos pasos para cumplir con el principio de Accountability

Después de esta exhaustiva explicación de este principio, te puedes sentir abrumado.

¡Pero no te preocupes!

A continuación te vamos a proponer 3 pasos para que te sea mas sencillo cumplir con él.

  1. Analizar el tipo de datos que tratamos y las obligaciones a las que estamos expuestos
  2. Establecer objetivos y normas para poder gestionar y evaluar la estrategia de aplicación de este precepto en la protección de datos de nuestra entidad
  3. Ser transparente hacia las personas físicas sobre la forma de tratar los datos y exigir a las empresas terceras lo mismo que se te exige a ti

Esperamos que después de este post te haya quedado más claro lo que es uno de los principales principios del nuevo RGPD.

Pero si no es así, no te quedes con dudas, contáctanos en el Tlf 91 489 64 19 y cuenta con el asesoramiento experto de uno de nuestros abogados desde el primer minuto.

 

Related posts
Glosario

Los 20 mejores conversores de imágenes en 2021

17 Mins read
Siempre que no puedas usar una foto, un gráfico o cualquier tipo de archivo de imagen en particular de la manera que…
Glosario

Top 20 conversores de vídeo en 2021

18 Mins read
De vez en cuando todos nos encontramos incapaces de abrir un archivo de video de cierto formato. Aquí es donde un software…
Glosario

Los 20 mejores conversores de audio

17 Mins read
Tener el mejor software de conversión de audio en tu PC o Mac es una herramienta extremadamente útil. Si te encanta la…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.