A lo largo de distintos post publicados en nuestro Blog del DPD/DPO hemos tratado la responsabilidad en el tratamiento de los datos personales, sin embrago en estas líneas queremos centrarnos en la Responsabilidad Proactiva o accountability.
Antes de entrar a ver el principio de responsabilidad proactiva en el Reglamento General de Protección de Datos (RGPD), cabe indicar que el Grupo de Trabajo del Artículo 29 (GT29), que fue sustituido tras la plena aplicación del RGPD (el 25 de mayo) por el Comité Europeo de Protección de Datos (CEPD), publicó en 2010 el Dictamen 3/2010 sobre el principio de responsabilidad, WP 173, en el que explicaba su significado y alcance.
El GT29 señalaba que «proviene del mundo anglosajón donde es de uso general y donde se da una comprensión ampliamente compartida de su significado, aunque la definición exacta de «responsabilidad» resulta compleja en la práctica.» Y también que «el término apunta sobre todo al modo en que se ejercen las competencias y al modo en que esto puede comprobarse.»
Como señala la AEPD (Principio Responsabilidad Proactiva) el RGPD, en su artículo 24, describe este principio como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.
Para ello las organizaciones han de analizar qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo, para pasar a realizar el Análisis de Riesgos. Pasos que se están dando en la adecuación al Reglamento General de Protección de Datos y que les llevará a determinar la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y, como indica el RGPD, que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.
Así pues al hablar de Responsabilidad proactiva o accountability nos centrados en dos elementos:
¿Qué medidas encontramos en el RGPD cuya aplicación supone que las organizaciones están siendo proactivas en la adopción de medidas de seguridad?
Medidas técnicas y organizativas que serán revisadas y actualizadas, es decir, el responsable del tratamiento tendrá que evaluar o analizar en todo momento el riesgo, atendiendo también a cualquier cambio en el mismo ya sea, por ejemplo, por nuevos tratamientos de datos personales.
Por último señalar que la responsabilidad proactiva se exige al responsable del tratamiento con independencia de que trate los datos personales por sí mismo o a través de un encargado del tratamiento o subencargados de tratamiento.
El equipo de profesionales de Govertis
KEEP READING
El nuevo Reglamento Europeo de Protección de Datos (en adelante RGPD), consagra en su artículo 5 los principios básicos a tener en cuenta para el tratamiento de los datos personales: transparencia y licitud, limitación de la finalidad, minimización de los datos, exactitud, limitación del plazo de conservación, integridad y confidencialidad, y responsabilidad proactiva.
Este último supone una importante novedad, señalando que el responsable o encargado del tratamiento deberá garantizar el cumplimiento de la normativa, y además estar en condiciones de demostrarlo en cualquier momento: principio de “accountability” o rendición de cuentas.
Esto supone además un cambio de enfoque a la hora de abordar el cumplimiento, ya que,
con la anterior normativa, los sujetos obligados debían seguir una serie de rígidas pautas establecidas por la Administración. A partir de ahora, corresponde a los responsables identificar y calificar los riesgos que pueden existir en su organización derivados de los tratamientos que realizan, escoger las medidas adecuadas para mitigarlos, y acreditarlo todo fehacientemente.
Por tanto, del análisis de riesgos que deberá realizar cada organización, se derivarán una serie de controles para tratar los mismos, y entre ellos destacan las medidas de privacidad desde el diseño y por defecto (“privacy design” y “privacy by default”), que deberán aplicarse con anterioridad al inicio del tratamiento y cuando se esté desarrollando.
En cuanto al concepto “privacidad desde el diseño”, el mismo hace referencia a la necesidad de tener presentes las garantías del RGPD desde que se inicia un proceso, previendo adoptar medidas que garanticen que solo se traten los datos necesarios y por el tiempo imprescindible. A este respecto, el RGPD indica en su Considerando 78 que “al desarrollar, diseñar, seleccionar y usar aplicaciones, servicios y productos que están basados en el tratamiento de datos personales o que tratan datos personales para cumplir su función, ha de alentarse a los productores de los productos, servicios y aplicaciones a que tengan en cuenta el derecho a la protección de datos cuando desarrollan y diseñen estos productos, servicios y aplicaciones, y que se aseguren, con la debida atención al estado de la técnica, de que los responsables y los encargados del tratamiento están en condiciones de cumplir sus obligaciones en materia de protección de datos”.
Por su parte, la “privacidad por defecto” está relacionado con lo que en la LOPD se denominaba como “principio de calidad de los datos”, o dicho con otras palabras, con el uso proporcionado de los datos personales a la finalidad por la que se recaban. Con las medidas de “privacy by default”, lo que se pretende es que las organizaciones, por defecto, solo traten los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esto es aplicable referido tanto a la cantidad de los datos recogidos, como al tipo de datos, los tratamientos que hacemos, el tiempo que los conservamos y el acceso que permitimos a los mismos. En el caso, por ejemplo, de una red social, las medidas de privacidad por defecto se cumplirían si se aplicara al usuario la configuración de privacidad más básica al registrarse.
El equipo de profesionales de Govertis
KEEP READING