Responsabilidad Proactiva

Si hablamos de protección de datos y del cumplimiento de la normativa aplicable, tenemos que hacerlo del principio de responsabilidad proactiva o accountability. ¿Sabes de qué se trata y por qué las empresas deben conocerlo de primera mano? 

En este artículo, te contaremos todos los detalles sobre qué es el principio de responsabilidad proactiva, cómo aparece en el Reglamento RGPD y en la Ley LOPDGDD o cómo cumplir el principio de responsabilidad proactiva en una empresa, entre otros aspectos. ¿Nos acompañas a conocer todos los detalles? 

Antes de nada, te contaremos que la Agencia Española de Protección de Datos (AEPD) hace alusión al nacimiento del principio de responsabilidad proactiva ante la “necesidad de que el responsable del tratamiento de datos aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme al reglamento”. De forma resumida, este principio se ocupa de que las empresas sean conocedoras de qué tipos de datos están tratando, cómo deben hacerlo y con qué finalidad.  

Principio de accountability en el RGPD y la LOPDGDD 

Actualmente, existen distintas normativas y reglamentos relacionados con la protección de datos. Pero, sin duda, podríamos afirmar que los dos más importantes son el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de datos y garantía de los derechos digitales (LOPDGDD). ¿Quieres saber qué se dice en cada uno sobre el principio de responsabilidad proactiva? ¡Vamos! 

En el caso del RGPD, se introduce el principio de accountability en su artículo 5.2, donde asegura que “el responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo”. Así, el principio de accountability no solo hace referencia a la necesidad de que las empresas cumplan la normativa sino también a que puedan demostrarlo. 

En este sentido, el RGPD hace hincapié en que la empresa está obligada a “documentar el cumplimiento” de la normativa en protección de datos. 

Por otro lado, la LOPDGDD contempla el principio de responsabilidad proactiva en su artículo 28, donde afirman que “lLos responsables y encargados, considerando los artículos 24 y 25 del Reglamento (UE) 2016/679, determinarán las medidas técnicas y organizativas apropiadas que deben aplicar para garantizar y acreditar que el tratamiento es conforme al citado reglamento, con esta ley orgánica, sus normas de desarrollo y la legislación sectorial aplicable.  

Factores y medidas clave del principio de responsabilidad proactiva 

Para comprender el principio de responsabilidad proactiva, debes saber que se sostiene sobre tres pilares fundamentales: el compromiso, la proactividad y la responsabilidad.  

En primer lugar, el compromiso hace referencia al cumplimiento por parte de la empresa de la normativa aplicable en materia de datos personales. En segundo lugar, la proactividad se refiere a que cualquier organización debe desarrollar e implementar medidas técnicas y organizativas imprescindibles en materia de protección de datos. Por último, la responsabilidad hace hincapié en que todos/as los miembros de la organización cumplan con sus obligaciones en materia de protección de datos.  

Asimismo, algunas de las medidas que debe tener en cuenta son las políticas de protección de datos, las evaluaciones de impacto sobre la protección de datos y el registro de actividades de tratamiento de datos personales en la organización.  

¿Cómo cumplir el principio de responsabilidad proactiva en una empresa? 

En este sentido, una duda frecuente entre las empresas es cómo cumplir con el principio de responsabilidad proactiva. Aunque no existe un manual exacto para hacerlo, existen algunas consideraciones importantes que cualquier organización debe tener en cuenta.  

Algunas tareas son: 

• Registro de todas las actividades de tratamiento de datos personales que realice la empresa.  

• Creación de políticas de protección de datos en los marcos propios de cada organización. De esta forma, la empresa, además de cumplir con normativa nacional e internacional, lo hará con su política particular.  

• Realización de una evaluación de impacto cuando se trata de datos personales sensibles o que conlleven cierto riesgo para la privacidad de las personas.  

• Promover la transparencia con respecto a los dueños de los datos de los que dispone la organización.  

• Formar a los empleados/as de la organización en materia de protección de datos puede ser primordial.  

• Incorporar, cuando sea posible, la figura del delegado de protección de datos (DPO). Este será el responsable de todas las funciones indispensables para garantizar el cumplimiento de las normativas de protección de datos.  

• Informar sobre posibles brechas de seguridad que pueden poner en riesgo los datos privados de los que dispone la organización.  

• Realización de auditorías internas para revisar y comprobar la efectividad de los procedimientos de protección de datos de la organización.  

El modelo accountability para mejorar la cultura organizacional 

La cultura empresarial es el conjunto de valores y prácticas que se fomentan dentro de una empresa para que todos sus empleados/as estén enfocados en una misma meta u objetivo. En este campo, el modelo accountability es imprescindible. Así, puedes comprobar que el principio de responsabilidad proactiva dentro de una organización no se ciñe, únicamente, al ámbito de la protección de datos personales, sino que forma parte de muchas más áreas de la empresa. 

Por ello, el modelo accountability persigue una mejora constante de la organización empresarial, tanto en el sector de la protección de datos, como en cualquier otro. ¡Se trata de un área transversal! 

Accountability y Compliance 

El término accountability aparece, en muchas ocasiones, relacionado con el de compliance. En algunos momentos, utilizado de manera indistinta, lo cual supone un grave error. En otros casos, se usan conjuntamente porque están estrechamente relacionados, lo cual puede ser cierto. ¿Quieres conocer el vínculo entre accountability y compliance? ¡Veamos! 

Como sabes, por un lado, accountability, en el ámbito empresarial, hace referencia a que la organización pueda demostrar que cumple con las normativas y regulaciones en protección de datos (y otros ámbitos). Por su parte, el término compliance hace referencia a la adhesión de una organización a las leyes y regulaciones aplicables.  

Ambos conceptos están muy relacionados y pueden aparecer juntos en muchos campos; sin embargo, debes saber diferenciar el uno del otro, puesto que el primero lleva inherente la necesidad de demostrar que se cumple con la normativa. 

Accountability vs. Responsibility 

Otros dos conceptos que, en muchas ocasiones, aparecen relacionados e, incluso, utilizados indistintamente son los de accountability y responsibility. ¿Te contamos cuáles son sus diferencias? 

Por un lado, ambos términos se diferencian en que la responsibility se refiere a la persona –en este caso, trabajador/a-, que comete un acto negativo referente a la protección de datos u otro, mientras que accountability lo hace a quien responde por las consecuencias de este y que, normalmente, es un responsable de la organización. 

Otra de las principales diferencias es el ámbito al que se refiere. Mientras que accountability hace referencia a la organización en su conjunto, el de responsibility podría aplicarse, de manera específica, a cada miembro de la empresa.  

Si te interesa este sector y estás pensando en formarte y especializarte para dedicarte a ello, esta es tu oportunidad. En INEAF, puedes conocer nuestro Curso en delegado de protección de datos. Data protection officer (DPO), con titulación universitaria + 8 créditos ECTS. ¡Es hora de conocerlo todo sobre la responsabilidad proactiva! Si quieres hacerlo desde casa, sin horarios y siendo dueño de tu ritmo de aprendizaje, INEAF te espera. ¿Hablamos?