A lo largo de distintos post publicados en nuestro Blog del DPD/DPO hemos tratado la responsabilidad en el tratamiento de los datos personales, sin embrago en estas líneas queremos centrarnos en la Responsabilidad Proactiva o accountability.

Antes de entrar a ver el principio de responsabilidad proactiva en el Reglamento General de Protección de Datos (RGPD), cabe indicar que el Grupo de Trabajo del Artículo 29 (GT29), que fue sustituido tras la plena aplicación del RGPD (el 25 de mayo) por el Comité Europeo de Protección de Datos (CEPD), publicó en 2010 el Dictamen 3/2010 sobre el principio de responsabilidad, WP 173, en el que explicaba  su significado y alcance.

El GT29 señalaba que «proviene del mundo anglosajón donde es de uso general y donde se da una comprensión ampliamente compartida de su significado, aunque la definición exacta de «responsabilidad» resulta compleja en la práctica.» Y también que «el término apunta sobre todo al modo en que se ejercen las competencias y al modo en que esto puede comprobarse.»

Como señala la AEPD (Principio Responsabilidad Proactiva) el RGPD, en su artículo 24,  describe este principio como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.

Para ello las organizaciones han de analizar qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo, para pasar a realizar el Análisis de Riesgos. Pasos que se están dando en la adecuación al Reglamento General de Protección de Datos y que les llevará a determinar la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y, como indica el  RGPD,  que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.

Así pues al hablar de Responsabilidad proactiva o accountability nos centrados en dos elementos:

1. La necesidad de que el responsable del tratamiento adopte medidas adecuadas y eficaces para aplicar los principios de protección de datos.

¿Qué medidas encontramos en el RGPD cuya aplicación supone que las organizaciones están siendo proactivas en la adopción de medidas de seguridad?

• Nombramiento de un Delegado de Protección de Datos
• Protección de datos desde el diseño y por defecto
• Encargado del tratamiento
• Registro de las actividades del tratamiento
• Notificación de una violación de la seguridad de los datos personales a la autoridad de protección de datos
• Análisis de Riesgos
• Adhesión a Códigos de Conducta y Certificaciones

Medidas técnicas y organizativas que serán revisadas y actualizadas, es decir, el responsable del tratamiento tendrá que evaluar o analizar en todo momento el riesgo, atendiendo también a cualquier cambio en el mismo ya sea, por ejemplo, por nuevos tratamientos de datos personales.

2. La necesidad de demostrar, si así se requiere, que se han adoptado medidas adecuadas y eficaces. En este caso se consigue recabando evidencias, documentando actuaciones que podrán ser de prueba ante incidentes

Por último señalar que la responsabilidad proactiva se exige al responsable del tratamiento con independencia de que trate los datos personales por sí mismo o a través de un encargado del tratamiento o subencargados de tratamiento.

El equipo de profesionales de Govertis