Comprometidos con la responsabilidad proactiva
En el lenguaje técnico-jurídico de la normativa de protección de datos es muy habitual mencionar términos como personalidad y finalidad.
Por un lado, personalidad para hacer referencia a la persona ya sea física o jurídica, pública o privada. Y por otro, finalidad para poder determinar cómo, cuándo y de qué forma se va a proceder a realizar el tratamiento de los datos de carácter personal.
Sin la relación de ambos conceptos no tendría sentido ilustrar a los sujetos obligados que el Reglamento que desarrolla la Ley Orgánica 15/1999 de Protección de Datos define como Responsable del fichero y Encargado del tratamiento (art. 5.1 RLOPD).
Pues bien, sin entrar en detalle en los requisitos mínimos exigidos tanto por el art. 12 de la LOPD como por el art. 20 del RLOPD, nos gustaría destacar la responsabilidad proactiva, también conocida como principio “accountabily” reconocido en la nueva normativa europea, Reglamento General de Protección de Datos 2016/679 (en adelante, RGPD), por el que se exige una obligación “proactiva y sistemática” del cumplimiento de la normativa de protección de datos a través de la implantación de medidas técnicas y organizativas mucho más exigentes a las que se vienen practicando con la actual normativa (sirva como ejemplo las evaluaciones de impacto y la protección de datos desde el diseño).
En este sentido, a la búsqueda de la infracción del derecho fundamental a la protección de datos se suma la anticipación a la infracción o lesión de derechos, pues la falta de adopción de alguna de las medidas y obligaciones establecidas por el RGPD puede originar la imposición de una sanción al responsable o encargado del tratamiento sin que previamente exista vulneración de los derechos de los interesados.
Desde este momento, por tanto, se produce un giro de 180° en la forma de gestionar el cumplimiento técnico- jurídico de la normativa en protección de datos. Ejemplo de ello ha sido la reciente aprobación por parte del Grupo de Autoridades europeas de protección de datos, esto es, el Grupo de Trabajo del Artículo 29, de varias directrices y documentos de preguntas frecuentes dirigidas a responsables y encargados de tratamiento de datos. Todas ellas enfocadas en la aplicación del acuerdo “Privacy Shield”, así como en fijar criterios de identificación de una “autoridad líder”, para supuestos en los que el responsable o encargado se encuentre establecido en más de un Estado miembro y, sobretodo, en arrojar luz sobre la figura del Delegado de Protección de Datos y sobre los nuevos derechos de las personas físicas.
En su consecuencia, si somos responsables del fichero y deseamos contratar la prestación de un servicio con terceros, ya no será suficiente comprobar si nuestro encargado de tratamiento cumple con la mera obligación de notificar los ficheros en el Registro Público de la Agencia Española de Protección de Datos. Motivo por el que Audidat se compromete con todos y cada uno de sus clientes a un asesoramiento anual continuo.