Píldoras RGPD I: Accountability

¿Todavía pronto?

Ya en su momento hice una pequeña serie de “Píldoras” dedicadas al crédito al consumo (puedes verlo aquí). Ahora, siguiendo la tendencia de artículos sobre el Reglamento Europeo de Protección de datos (RGPD) en los que no podemos limitarnos más que a expresar opiniones y referencias, comienzo esta serie de post en los que, sin ninguna pretensión doctrinal, os dejo algunas opiniones y puntos de vista.

Lo que tengo claro es que, a medida que profundizas en el estudio del texto te vas dando cuenta de la cantidad de implicaciones que el RGPD tiene para una organización. Y que a día de hoy no es demasiado pronto para pensar en ellos…

Importante que os quedéis con una idea:

Ninguna pretensión doctrinal.

Accountability:

Hace unos días tuve la suerte de ser invitado a participar como ponente en unas jornadas dirigidas a miembros de departamentos jurídicos de Entidades de Crédito al Consumo (una grata sorpresa es que entre los asistentes también se encontraban integrantes de Departamentos de Sistemas) en las que me tocó hablar sobre Responsables y Encargados de Tratamiento.

Una de las cuestiones que más me atraen del RGPD es la de Accountability o responsabilidad proactiva que consagra el RGPD como una nueva forma de comportamiento del responsable (y el encargado) como norma general y no de una forma aislada y para determinados tratamientos.

infographic-data-protection_es

Así, entre esas medidas preventivas a implantar que nos va enumerando el RGPD se encuentran, por ejemplo, el registro de actividades de tratamiento, la política de privacidad desde el diseño y por defecto, medidas de seguridad adecuadas, evaluaciones de impacto sobre las que hablaremos en otra ocasión, la autorización previa o las consultas previas con la autoridad nacional, etc.

En general, tal y como indicó José Luis Piñar en una de las ponencias, “todo el RGPD se basa en el autoexamen de la responsabilidad y el análisis del riesgo que conlleva el tratamiento”. Y ahí es donde entra en juego este principio de responsabilidad o accountability del responsable del tratamiento. Ejemplos hay muchos repartidos a lo largo del texto, pero quizá uno de los más significativos es el referido a las medidas de seguridad.

Como todos sabéis ya a estas alturas de partido, no existe un catálogo de reglas que cumplir como en nuestra actual legislación así que, dicho de forma muy básica, deberá el responsable del tratamiento determinar y aplicar las medidas de seguridad adecuadas en función del riesgo del tratamiento (y el encargado, no ya como obligación impuesta por el responsable, sino como sujeto obligado per se). De entre esas medidas podrán estar las referidas a seudonimización y cifrado de los datos o aquéllas que en definitiva garanticen la confidencialidad, integridad, etc. de los mismos (en la evaluación que a posteriori realiza la autoridad nacional correspondiente, se entenderá que disponer de Códigos de Conducta o certificaciones podrá ser un plus pero en ningún caso un salvoconducto (*).

En definitiva se trata de implantar un sistema de medidas de control eficaz y, por supuesto, estar en posición de acreditar tanto la existencia de esas medidas como la decuación de las mismas a su finalidad de cumplimiento.

La responsabilidad proactiva… Impuesta y la madurez en el cumplimiento.

Aunque como ya mucha gente ha comentado, si bien las buenas intenciones sin medidas coercitivas pueden dejar a las primeras vacías de contenido, lo cierto es que no se si casa tan bien la convivencia de la, digamos, responsabilidad personal de cada uno con la filosofía del “palo” que en la 8ª Sesión Anual Abierta de la AEPD se tradujo en:

La no implantación de medidas prácticas que permitan el cumplimiento y el estar en posición de demostrar dicho cumplimiento (¿Quizá incluso a priori?) será sancionable.

En cualquier caso la conclusión puede ser la de una filosofía (que a mi juicio preside todo el RGPD) que se basa en “guiar pero no dirigir” y quedebe ir destinada a quienes han alcanzado la madurez plena en la integración de la protección de datos en su día a día.

Pero ¿Hemos alcanzado nosotros esa madurez?

Nacho San Martín

@SMNacho

(*) En mi opinión, de forma análoga, muy en línea con la tendencia actual y que, a modo de ejemplo, ya vimos hace relativamente poco en cuanto a las certificaciones y los planes de cumplimiento de las empresas en la Circular 1/2016 de la Fiscalía General del Estado sobre responsabilidad penal de la persona jurídica:

Los planes de cumplimiento deben ser “trajes a medida” que tengan en cuenta las circunstancias de cada organización no sirviendo planes basados en el “copiar y pegar”.

Anuncios

Acerca de Nacho San Martin

Soy abogado, de los que están al otro lado de muchos de vosotros. Abogado de empresa... pero sigo siendo abogado igualmente. Me gustan muchísimas cosas, así que, quizá deje que vuelen por aquí al margen del Derecho. Tengo una máxima, una del gran Vince Lombardi: "Los momentos más oscuros de nuestras vidas no deben ser ni enterrados ni olvidados; más bien son un recuerdo que debe permanecer para servir de inspiración y recordarnos la fortaleza del espíritu humano y nuestra capacidad para soportar lo intolerable."
Esta entrada fue publicada en Píldoras, Protección de datos, RGPD y etiquetada , , . Guarda el enlace permanente.

2 respuestas a Píldoras RGPD I: Accountability

  1. makertan dijo:

    Completamente de acuerdo con esto, sólo por añadir. Me parece que la figura del DPO será fundamental de aquí a nada, tal y como dice este artículo de un contacto mío.
    http://www.createch540.com/blog/negocio/cambios-en-reglamento-europeo-de-datos-de-caracter-personal/
    Un acierto lo de las píldoras.
    Un abrazo Nacho!

    Me gusta

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s