El Reglamento general de protección de datos ha supuesto un cambio de paradigma en relación con el antiguo modelo europeo de protección de datos, introduciendo el llamado principio de «responsabilidad proactiva», cuya base inspiradora es la noción anglosajona de «accountability» o rendición de cuentas, y según el cual el responsable del tratamiento es responsable del cumplimiento de la normativa de protección de datos y ha de ser capaz de demostrarlo ante las autoridades de control competentes.
No en vano, tal y como señala el considerando 74 del propio Reglamento (UE) 2016/679, los responsables del tratamiento están obligados a aplicar medidas oportunas y eficaces y han de poder demostrar la conformidad de las actividades de tratamiento con el referido Reglamento, incluida la eficacia de las medidas.
En tal sentido, la Agencia Española de Protección de Datos (2016) ha puesto de manifiesto que la utilización de medidas como la formación del personal definen de forma explícita la intención y diligencia del responsable del tratamiento.
De tal modo, el responsable del tratamiento se ha de regir, entre otros, por el principio de «información y formación», según el cual una de las claves para garantizar la protección de los datos personales es la formación e información que se facilite al personal involucrado en el tratamiento de los mismos, educando a los empleados en la denominada «cultura de protección de datos».
A este respecto, el Instituto Nacional de Ciberseguridad de España (2016) ha subrayado que muchos incidentes de seguridad suelen darse por falta de conocimiento de los usuarios de los sistemas de información.
En su consecuencia, el personal de las organizaciones con acceso a los datos personales deberá ser convenientemente formado e informado acerca de sus obligaciones en relación con el cumplimiento de la normativa de protección de datos, recibiendo el apropiado conocimiento, capacitación y actualizaciones regulares de la Política de Protección de Datos de la organización responsable del tratamiento.
Un ejemplo de la importancia de este principio lo encontramos en el artículo 47.2 n) del Reglamento (UE) 2016/679, que acentúa la importancia de “la formación en protección de datos pertinente para el personal que tenga acceso permanente o habitual a datos personales”.
En relación con el personal docente, AUDIDAT recomienda acudir a profesionales de la protección de datos y de la privacidad con experiencia docente previa. Esta función puede recaer sobre el propio delegado de protección de datos de la entidad responsable del tratamiento, en el caso de que se hubiese designado como tal. Asimismo, al finalizar la acción formativa, se aconseja la realización de pruebas de evaluación de conocimientos a los participantes.