En muchos artículos y enfoques jurídicos, se suele conceptuar a la responsabilidad proactiva como la responsabilidad que tienen Responsables y Encargados de Tratamiento de poder demostrar la aplicación del RGPD en la organización, no sólo cumpliendo lo obligatorio por el RGPD, sino yendo más allá y cumplir aspectos a los que el responsable o encargado de tratamiento no está obligado; pero que, motu propio y estando concienciados de una cultura de privacidad, deciden implantar obligaciones de la normativa que no afectan directamente a su tipo de organización.
Ejemplos de responsabilidad proactiva
Así pues, se suelen poner como ejemplos de responsabilidad proactiva los siguientes:
- Nombrar un delegado de protección de datos cuando no se está obligado a ello.
- Publicar el registro de actividades de tratamiento cuando se es organización privada.
- Aplicar más medidas de seguridad a las que indica el análisis de riesgos y/o evaluación de impacto de protección de datos.
- Realizar evaluaciones de impacto de protección de datos en tratamientos que no lo requieren.
- Realizar análisis de riesgos (asimilándolos a las metodologías de Evaluaciones de Impacto), haciendo cálculos de probabilidades e impactos, cuando la metodología de la Guía de Análisis de Riesgos, no lo considera necesario.
- Llevar a cabo la formación constante del personal.
Y así, un sinfín de ejemplos que pueden leerse en artículos e informes de protección de datos.
En mi opinión, esto no es así. Considero que se ha importado el principio de responsabilidad proactiva del derecho anglosajón y deberíamos ceñirnos a lo que dice el RGPD.
Guía del reglamento general de protección de Datos para Responsables del Tratamiento
Igualmente, la propia Agencia española de protección de Datos en su Guía del reglamento general de protección de Datos para Responsables del Tratamiento extiende el concepto de Responsabilidad proactiva al cumplimiento de todo el RGPD y no sólo a los principios.
Dicha Guía define el principio de Responsabilidad proactiva como “la necesidad de que el responsable de tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.
En términos prácticos, este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.
En síntesis, este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo.
Incluso la Guía, como vemos, menciona que se debe tener actitud consciente y diligente.
Verificar el cumplimiento de las medidas de responsabilidad proactiva en el RGPD
Adicionalmente, la misma Guía enumera preguntas para verificar el cumplimiento de medidas de responsabilidad proactiva y que nada tienen que ver con el art. 5 del RGPD tales como:
- ¿Ha hecho una valoración de los riesgos que los tratamientos que desarrolla implican para los derechos y libertades de los ciudadanos? ¿Ha determinado qué medidas de responsabilidad activa corresponden a su situación de riesgo y cómo debe aplicarlas?
- ¿Ha previsto cómo establecer el registro de actividades de tratamiento en su organización?
- ¿Ha valorado si le es de aplicación alguna de las excepciones a esta obligación? ¿Ha previsto quién se encargará de mantener actualizado el registro?
- ¿Ha revisado las medidas de seguridad que aplica a sus tratamientos a la luz de los resultados del análisis de riesgo de los mismos? ¿Considera que puede seguir aplicando las medidas de seguridad previstas en el Reglamento de la LOPD? ¿Ha valorado suficientemente la posibilidad de introducir medidas adicionales en función del tipo de tratamiento o del contexto en que se realiza?
- Atendiendo al tipo de tratamientos que realiza, ¿ha establecido mecanismos para identificar con rapidez la existencia de violaciones de seguridad de los datos?
- ¿Tiene previstas medidas de reacción frente a los diferentes tipos de quiebras de seguridad, incluidos los procedimientos para evaluar el riesgo que puedan suponer para los derechos y libertades de los afectados? ¿Ha establecido procedimientos para notificar las violaciones de seguridad a las autoridades de protección de datos y, si fuera necesario, a los interesados?
- ¿Dispone de un registro o herramienta similar en que pueda documentar los incidentes de seguridad que se produzcan, aunque no sean notificados a las autoridades de protección de datos?
- ¿Ha valorado si los tratamientos que realiza requieren una Evaluación de Impacto sobre la Protección de Datos porque supongan un alto riesgo para los derechos y libertades de los interesados?
- ¿Dispone de una metodología para la realización de la Evaluación de Impacto?
- Según el tipo de tratamiento que realiza y los resultados del análisis de riesgos previo, ¿tiene que nombrar un Delegado de Protección de Datos?
- ¿Ha establecido los criterios para seleccionar al Delegado de Protección de Datos y, en particular, para valorar sus cualificaciones profesionales y sus conocimientos?
- El puesto de DPD tal y como está configurado en su organización, ¿respeta los requisitos de independencia en el ejercicio de las funciones, posición en el organigrama, ausencia de conflicto de intereses y disponibilidad de los recursos necesarios establecidos por el RGPD?
- ¿Ha hecho pública la designación del DPD y sus datos de contacto y los ha comunicado a la autoridad de protección de datos?
- ¿Ha establecido procedimientos para que los interesados contacten con el DPD?
Sin embargo, el RGPD acota de manera clara el principio de Responsabilidad proactiva en el art. 5.2 en los siguientes términos:
“El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»)”
Principios relativos al tratamiento
¿Y qué dice ese apartado 1?: menciona los principios relativos al tratamiento. Dichos principios son seis y nada más que esos seis:
a) Tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»);
b) Recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finalidad»);
c) Adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);
d) Exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan («exactitud»);
e) Mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado («limitación del plazo de conservación»);
f) Tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).
Si bien es cierto que estos principios admiten numerosas medidas de responsabilidad proactiva, sin embargo, dichas medidas deben siempre circunscribirse a los principios relativos al tratamiento ya mencionados.
Habría que listar medidas que impliquen el cumplimiento de dichos principios. Una vez que tenemos claro qué medidas están relacionadas con dichos principios, la RESPONSABILIDAD PROACTIVA consiste en ser capaz de demostrar el cumplimiento de estas medidas.
Cualquier otra medida no destinada a cumplir los principios relativos al tratamiento no puede, en consecuencia, considerarse medida de responsabilidad proactiva y el hecho de adoptar medidas superiores a las exigidas a nuestra organización, tampoco debe concebirse como responsabilidad proactiva.
Si quieres convertirte en un profesional con las competencias necesarias para realizar tareas relacionadas con la Protección de Datos y Compliance, el Máster en Dirección de Compliance y Protección de Datos, te formará en este ámbito en tan solo 12 meses.