Responsabilidad Activa («Accountability») en el Reglamento General de Protección de Datos
“Accountability” o Responsabilidad Activa en el Reglamento General de Protección de Datos
(Este texto fue publicado en Actualidad Jurídica Aranzadi, en Febrero de 2017, descargable al final del post)
El Nuevo Reglamento General de Protección de Datos introduce un cambio histórico en materia de responsabilidad y no lo digo por el importe de las sanciones, que también. Me refiero al concepto de “accountability” o responsabilidad activa.
La responsabilidad activa se resume en la expresión popularizada por la AEPD de que “no incumplir ya no será suficiente”.
Desde el próximo 25 de mayo de 2018, fecha de aplicación del RGPD, cualquier empresa (grande o pequeña) que trate datos personales, no sólo tendrá que cumplir, sino también estar en condiciones de acreditar que cumple el Reglamento.
Cambios profundos
Ahora corresponde a las empresas, en vez de a la Administración, la responsabilidad de identificar los propios focos de riesgo y de elegir medidas adecuadas para mitigarlo. Ya hemos observado este mismo cambio de perspectiva en Derecho de la Competencia, Buen Gobierno Corporativo o Responsabilidad Penal de las Personas Jurídicas.
Pese a lo aparatoso de las multas, no creo que el objetivo sea recaudatorio: más bien se impone el cumplimiento proactivo de la norma como medio para generalizar una práctica segura y respetuosa con la privacidad en la UE. Lo que busca Bruselas es la implantación y arraigo de una “cultura de cumplimiento” en las organizaciones.
De lo formal a lo material
Hasta hoy, muchas empresas simplemente cumplían el expediente dotándose de un kit de documentos (formularios de información y consentimiento, política de privacidad, documento de seguridad, etc.) a los que nadie hacía caso realmente. Eran solo papeles, y sólo salían del cajón en caso de expediente sancionador.
A partir de ahora, toda organización sujeta al reglamento estará obligada a acreditar:
-
Que ha evaluado, y en caso necesario, rediseñado adecuadamente sus tratamientos de datos personales.
-
Que las medidas de seguridad implementadas son adecuadas y eficaces.
-
Que se aplica una política interna en materia de privacidad con obligaciones claras, acciones concretas anudadas a cada una, y se han designado responsables de su cumplimiento.
-
Que exige ese mismo cumplimiento responsable a sus encargados de tratamientos y cadena de subcontratación.
Nuevo mapa de responsabilidades
Además se introduce un nuevo mapa de responsabilidades para el caso de incumplimiento:
(1) En lo administrativo, el importe de las sanciones previstas en el Reglamento nos habla de la relevancia que la protección de datos personales va a adquirir: hasta 20 millones de euros o el 4% de la facturación anual global de la empresa (la más alta de las dos cifras) para las infracciones más graves.
La protección de datos va a entrar en la “champions league” del compliance, por lo que representará en materia de responsabilidad para las organizaciones y sus administradores.
(2) Por otro lado, asistiremos a una nueva variedad de demandas colectivas de responsabilidad civil.
La nueva obligación de comunicar a la Agencia e interesados los eventos “data-breach” o violaciones de seguridad informáticas, allanará el camino al ejercicio de reclamaciones de indemnización por las empresas y particulares afectados. En este sentido, el derecho a la indemnización de daños por infracción no es nuevo; lo novedoso es que será más fácil probar el evento dañoso determinante de responsabilidad: la discusión estará, en el perímetro de esa responsabilidad, entre otros factores.
(3) Dilucidar estas responsabilidades a través de estructuras de mediación o arbitraje será trascendental para evitar la sobrecarga o bloqueo de la Agencia y los tribunales.
(4) También se abre la vía a reclamaciones contra empresas domiciliadas en países ajenos a la Unión Europea por conculcación de cualquiera de los derechos y garantías previstos en el Reglamento Europeo.
A tal efecto, todas las empresas (aun procedentes de estados no miembros) que ofrezcan bienes o servicios en territorio comunitario (aunque no ejecuten tratamiento alguno dentro de la UE) están obligadas a nombrar un responsable en territorio UE, ante el que los interesados podrán presentar reclamaciones o ejercer acciones.
Muy buena semana.