Jordi Ferrer

Socio Director de Cyberlaw Consulting; Profesor Adjunto - Departamento Operaciones, Innovación & Data Sciences de la ESADE; Vocal de ENATIC.

Cuando nos vamos acercando a los tres años de la fecha de 25 de mayo de 2018 en la que comenzó la aplicación del Reglamento General de Protección de Datos (RGPD), podríamos hacer diferentes valoraciones con relación a su puesta en marcha. Aprovecho este post del blog de ENATIC para reflexionar en relación a una de las novedades más relevantes que nos trajo nuestro querido Reglamento.

Profesionalmente me dedico desde el año 2002 a ser “protector de datos” y la percepción es que se había de poner al día la Directiva del 95, pero todos somos conocedores que ya teníamos un corpus jurídico de protección de datos con la LOPD del 1999. Por esto, creo que tenemos que evaluar las novedades que nos trajo el Reglamento y cuál ha sido el grado de acomodación y cumplimiento en estas novedades normativas.

Personalmente, y muchos de los lectores lo pueden confirmar, creo que uno de los puntos más innovadores fue la puesta en marcha del principio de “Accountability” o rendición de cuentas o de “responsabilidad proactiva”. También considero que es uno de los aspectos que menos se está interiorizando y aplicando de manera rigurosa por los responsables de tratamiento (o encargados de tratamiento).

El RGPD lo establece con carácter de principio en el art. 5.2 de su articulado. He asistido a múltiples debates en los que se discutía: ¿es una obligación? ¿es un principio?... Por supuesto que es un principio, pero de cierta naturaleza especial ya que es un principio que nos debe ayudar a cumplir con los principios de tratamiento de datos del art. 5.1 RGPD.

No voy a definir el principio de responsabilidad proactiva, pero  me gusta simplificarlo así: tengo que cumplir con el RGPD (vaya obviedad…) y tengo que poder demostrar que estoy cumpliendo.  En relación a su estricto cumplimiento os planteo mis dudas sobre el grado de cumplimiento que, la mayoría de obligados a cumplir el RGPD, puedan acreditar debidamente este principio de “Accountability”.

Probablemente sean diversos factores los causantes de este “necesita mejorar”: desde la novedad normativa, pasando por el entorno cultural del sur de Europa y acabando en la falta de adecuadas metodologías por parte de los expertos en protección de datos que dan soporte a los obligados. Tuve la oportunidad en 2019 de llevar a cabo una estancia de investigación en una Universidad de Londres y os puedo confirmar  como la literatura científica, el conocimiento y la “impregnación” del “Accountability” anglosajona era muy diferente al que se podía contrastar en nuestro territorio.

El marco que teníamos con la LOPD de 1999 y su Reglamento de Desarrollo no establecía un marco especialmente “Accountability friendly”, y a pesar de disponer de algunas guías de referencia como por ej la opinión 3/2010 del GT del art. 29 sobre el referido principio, podría confirmar sin temor a equivocarme, que era la responsabilidad activa era un gran desconocido.

Tampoco voy a aportar ninguna “poción mágica” para dar cumplimiento a la “Accountability”…y por supuesto la naturaleza, sector de la entidad, diversidad de tratamientos, etc… pueden determinar diversidad de formas de acreditación. No tenemos un conjunto de acciones o medidas estándares, sino que como expertos en protección de datos tenemos que ofrecer soluciones a nuestros clientes garantes con este principio.

Sensibilizar con este principio no es suficiente, sino que tenemos que ser capaces de poder “medir” con parámetros objetivos el grado de cumplimiento, documentar ese cumplimiento y verificar periódicamente su grado de adecuación.

Hemos de conectar necesariamente la “Accountability” con el cumplimiento de la protección de datos desde el diseño y por defecto (tal vez otro gran desconocido y en que se puede hacer exacta reflexión). Probablemente nos encontramos con los puntos clave para poder establecer un grado de excelencia en relación al marco de adecuación al RGPD. En este sentido, os dejo la siguiente pregunta: ¿tenemos elementos objetivos medibles y concretos para verificar, por ejemplo, la protección de datos por defecto? Os invito a hacer un inventario de acciones auditables del 1 al 10 y ver el grado de cumplimiento en la mayoría de los obligados.

Este post sólo pretende reflexionar sobre la necesidad de mejorar y ofrecer soluciones adecuadas a los obligados y que la cultura “Accountability” se establezca de forma natural en los empresas, organizaciones y administraciones obligadas a cumplir con el mismo.