El principio de “Accountability” o “Responsabilidad Proactiva” viene regulado en al art. 5.2 y 24 así como en el considerando 74 del RGPD.
Artículo 5: Principios relativos al tratamiento
- El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva«).
Artículo 24: Responsabilidad del responsable del tratamiento
- Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.
- Cuando sean proporcionadas en relación con las actividades de tratamiento, entre las medidas mencionadas en el apartado 1 se incluirá la aplicación, por parte del responsable del tratamiento, de las oportunas políticas de protección de datos.
- La adhesión a códigos de conducta aprobados a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrán ser utilizados como elementos para demostrar el cumplimiento de las obligaciones por parte del responsable del tratamiento.
A través de este principio de protección de datos, el responsable y encargado de tratamiento estarán obligados a demostrar que sus actividades de tratamiento de datos cumplen con los principios relativos al tratamiento de datos (art. 5.1 del RGPD). Para ello deberán implantar unas medidas técnicas y organizativas apropiadas a fin de demostrar que los tratamientos que realizan son conformes con el RGPD. Estas medidas deberán ser actualizadas y revisadas periódicamente a través de procedimientos internos o externos de auditoría, o con la adhesión a códigos de conducta o procesos de certificación.
El principio de “Accountability” o de “Responsabilidad Proactiva” es un principio ya introducido en 1980 por la OECD en el Códigos de Conducta o Guías de Protección de la Privacidad y flujo transfronterizo de datos personales y en el año 2010 por el Grupo de Trabajo del artículo 29 a través de la opinión 3/2010 sobre el principio de la Responsabilidad Proactiva o “Principio de Accountability”. En este informe el GT 29 presentó una propuesta concreta para introducir el principio de “Responsabilidad Proactiva” en la normativa de protección de datos, de tal forma que los responsables del tratamiento pongan en marcha procedimientos y medidas eficaces para garantizar el cumplimiento de los principios y obligaciones establecidos en la Directiva, y poder así demostrar ante las autoridades el cumplimiento de la misma.
Estas recomendaciones establecidas por el GT 29 fueron llevadas a la práctica por la Autoridad de Control Francesa el CNIL, la cual aprueba en enero de 2015, una norma de cumplimiento en materia de protección de datos. Dicha norma define las reglas y las mejores prácticas que debe implantar y desarrollar una organización para garantizar una gestión respetuosa con los principios de protección de datos de datos. La norma se divide en 25 apartados o requisitos relativos entre otras cuestiones, a la existencia de políticas de privacidad internas y externas, el nombramiento de un responsable de protección de datos, la gestión de las incidencias y siniestros etc. De esta manera la Autoridad de Control Francesa (CNIL) introduce en la normativa de protección de datos francesa el principio de “Responsabilidad Proactiva”, de tal forma que aquellas organizaciones que demuestren que cumplen con dicha norma de cumplimiento obtendrán un «sello de cumplimiento del principio de Responsabilidad proactiva» emitido por la Autoridad de Control Francesa (CNIL) garantizando el cumplimiento de la normativa francesa de protección de datos.
Nos encontramos, por tanto, con un principio que establece para los responsables y encargados una obligación “proactiva y sistemática” del cumplimiento de la normativa de protección de datos a través de la implantación de medidas técnicas y organizativas apropiadas, las cuales deberán incluir la protección de datos desde el diseño y por defecto en aquellas áreas de la organización donde sean necesarias. El objetivo final de la implantación de dichas políticas o medidas de protección de datos o programas de gestión interna de la privacidad no es otro que garantizar que las actividades de tratamiento realizadas por el responsable cumplen con lo establecido en RGPD.
Es conveniente aclarar que las medidas técnicas y organizativas que señala el principio de Responsabilidad Proactiva, no deben de asimilarse o confundirse con a las medidas técnicas y organizativas de seguridad que marca nuestro RLOPD, ya que las mismas, como veremos más adelante, constituirían un apartado de dichas medidas, políticas o procesos en materia de protección de datos que es necesario implantar por los responsables y encargados.
Existe un cambio importante en cuanto al enfoque con respecto a la Directiva 95/46/CE, ya que si bien con la Directiva se buscaba evitar la infracción de los derechos de los interesados como obligación principal con el RGPD se busca la anticipación a la infracción o lesión de derechos. Se busca el cumplimiento con antelación para evitar así la lesión o infracción del derecho o libertad del interesado. Por tanto, es un cambio de enfoque con consecuencias reales, ya que el hecho de la falta de adopción de alguna de las medidas u obligaciones establecidas por el RGPD puede originar la imposición de una sanción al responsable o encargado de tratamiento sin que previamente exista una lesión de los derechos y libertades del afectado o interesado.
Las medidas a las que hace referencia el RGPD se podrían resumir en las siguientes:
Nos encontramos con un principio fundamental en la normativa de protección de datos (incluido dentro de los principios fundamentales de tratamiento del art. 5 del RGPD) que no es otro que la obligación de los responsables y encargados de implantar un sistema interno de cumplimiento en materia de protección de datos. Sistema que estará integrado por distintas políticas o procesos internos de privacidad que deberán ser actualizados y auditados periódicamente de manera que permitan demostrar el cumplimiento del RGPD.
En comparación con nuestra normativa de protección de datos, podemos por tanto comprobar que si bien durante años lo servicios de Auditoría Bienal, y por tanto el cumplimiento de las medidas técnicas y organizativas de seguridad, se constituían como los servicios o las obligaciones que marcaban el cumplimiento de una organización en materia de protección de datos, con el RGPD se produce un giro importante de 180º en la forma de gestionar dicho cumplimiento normativo, pasando a tener una mayor relevancia la adecuación jurídica o el cumplimiento normativo de protección de datos, siendo el cumplimiento técnico o en materia de seguridad uno de los elementos a tener en cuenta en el sistema empresarial de cumplimiento de protección de datos. Vemos por tanto que sistema de cumplimiento normativo de protección de datos va a tener muchas similitudes en cuanto a los procedimientos y procesos con sistemas de cumplimiento normativo ya existentes en nuestra normativa, como pueden ser los sistemas de cumplimiento normativo en materia de Prevención de Blanqueo de Capitales y Responsabilidad Penal Corporativa.