Entradas

Integración de la protección de datos personales en la gestión ordinaria de los responsables del tratamiento como requisito indispensable para garantizar los derechos y libertades individuales

Hace dos semanas se publicó una resolución que sancionaba la falta de previa realización de evaluación de impacto de privacidad, que habría llevado al responsable del tratamiento a la conclusión que no se superaba la evaluación de necesidad y proporcionalidad y, por tanto, se hubiera abstenido de iniciar el tratamiento, incluso en modo de prueba voluntaria.

La guía publicada este verano por la Agencia Española de Protección de Datos, sobre gestión del riesgo y evaluación de impacto, dejaba meridianamente claro que se iniciaba una nueva fase en la que sería exigible a los responsables del tratamiento un mayor nivel de madurez en su proceder y acreditación de su responsabilidad proactiva.

En línea con lo que en su momento ya estableció el Grupo de Trabajo del Artículo 29 la mencionada guía, por un lado, nos recuerda que las evaluaciones de impacto se integran en la gestión ordinaria del riesgo de actividades de tratamiento, es decir, son actividades integradas y, por otro lado, que el enfoque debe centrarse, única y exclusivamente, en la gestión del riesgo para los derechos y libertades de las personas físicas. Es decir, son relevantes exclusivamente las amenazas para los derechos y libertades del interesado, de tal manera que la mitigación de las amenazas para el responsable del tratamiento -como la garantía de cumplimiento normativo a efectos de evitar sanciones- constituye un requisito previo indispensable a todo tratamiento de datos, pero no integra propiamente la gestión del riesgo de actividades de tratamiento.

Tanto el legislador como las autoridades de control tienen claro que el riesgo cero no existe y que todo tratamiento de datos personales -por mínimo, a modo de prueba o sencillo que sea- es susceptible de generar un riesgo para los derechos y libertades individuales y, por ello, la gestión de dicho riesgo debe integrarse, inexcusablemente, como un proceso transversal a toda la organización, resultando imprescindible el compromiso e impulso por parte del responsable del tratamiento por cuanto sobre él descansa, exclusivamente, la obligación de garantizar los derechos y libertades de los interesados.

Para conseguir que la protección de datos y su gestión del riesgo se integre en la gestión ordinaria es preciso alcanzar un nuevo nivel de madurez, distinguiendo claramente los roles que corresponden al delegado de protección de datos y al propio responsable del tratamiento. Ha sido relativamente habitual que, en una fase inicial en muchos casos superada, se considerara que “la protección de datos era cosa del delegado de protección de datos” y se le encomendara directamente tanto el diseño como la ejecución material de todas las tareas, tanto preventivas como reactivas.

Es preciso segregar, de forma efectiva, las funciones que corresponden al responsable del tratamiento y las que corresponden al delegado de protección de datos permitiéndole centrarse en su verdadero cometido: Asesorar, liderar la cultura de cumplimiento, detectar y alertar de riesgos, proponer medidas mitigadoras y supervisar su implantación y ser punto de contacto con las autoridades de control. Corresponde al responsable del tratamiento la toma de decisión y ejecución efectiva de todo cuanto sea preciso para cumplir con su obligación de garantizar los derechos y libertades de los interesados, implicando a todos sus profesionales de manera que se logre el convencimiento de que “la protección de datos es cosa de todos”.  

Solo con una adecuada segregación de las funciones que corresponden al delegado de protección de datos y al responsable del tratamiento, se puede lograr la efectiva incorporación de la protección de datos en la gestión ordinaria de toda organización y, con ello, la efectiva protección de los derechos y libertades de los interesados.

Isabel Mascaró Currás
Compliance Officer, Delegada de Protección de Datos y Vocal ENATIC.

Factores que contribuyen a la llegada a buen puerto de la función del Delegado de Protección de Datos

El Delegado de Protección de Datos (DPD), centrándome exclusivamente en el sector privado, se erige en la figura clave para impulsar el cumplimiento de la normativa de protección de datos, tanto en aquellos supuestos de nombramiento obligatorio como voluntario.

Como todo “oficio” de nuevo cuño, el éxito de la implantación de la figura del DPD pivota en factores de diversa índole, todos ellos necesarios, que dependen unas veces del responsable del tratamiento y, otras veces, de las cualidades y aptitudes del propio DPD. Veamos:

Factores que dependen del responsable del tratamiento

Resulta imprescindible que el DPD esté investido de “autoridad jerárquica” y a ello contribuye:

  • Compromiso firme de cumplimiento por la alta dirección, garantía de autonomía e independencia en el desarrollo de sus funciones, reporte directo a la alta dirección, dotación de recursos y medios suficientes.
  • Aprobación y difusión de un estatuto con la descripción de las funciones que corresponden al DPD, estableciendo de manera expresa la obligación de consultar y, correlativamente, la disponibilidad y accesibilidad que se espera del DPD, aclarando que la responsabilidad ante posibles sanciones no es atribuible al DPD sino que lo es, únicamente, al responsable del tratamiento.
  • Gobernanza de los datos: Aprobación y difusión de políticas, protocolos y procedimientos para garantizar la gestión proactiva, adaptados a la realidad organizativa y a los tratamientos realizados por el responsable; publicitar interna y externamente el canal del DPD; creación de un grupo multidisciplinar con los departamentos que habitualmente tratan datos personales en el desarrollo de sus funciones.
Factores que dependen del DPD

Para no ser percibido únicamente como una figura de control (que lo es) pero ajena al día a día o, lo que es peor, como una suerte de “paralizador sistemático de proyectos”, resulta imprescindible que el DPD esté investido de “autoridad moral” y a ello contribuye:

  • Conocimiento profundo de la organización y de la realidad de la actividad desarrollada por el responsable del tratamiento, contribuyendo a “aterrizar” la normativa: La revisión ordinaria o extraordinaria del registro de actividades de tratamiento, de los planes de acción derivados del análisis de riesgos o de las evaluaciones de impacto de privacidad son momentos óptimos para conectar y detectar aspectos de mejora, cambios relevantes o inquietudes planteadas por los profesionales que tratan datos personales.
  • Impulsar una cultura de cumplimento de la normativa de protección de datos: Adaptar la formación a la realidad de cada profesional con conceptos claros, precisos y ejemplos prácticos; difusión personalizada mediante el envío de píldoras informativas, recopilatorio semanal de noticias destacadas y su relación con aspectos del día a día o, resumen de resoluciones e informes relevantes por ámbitos de actividad de tratamiento, concretando propuestas de mejora.
  • Empatizar, mostrarse accesible y generar confianza: Evitar discursos del tipo “las sanciones pueden ascender a 20 millones de € o al 4% de la facturación”, lo sabemos y tiene un cierto efecto paralizante. El discurso debe focalizarse en lo que puede (y debe) hacerse, conceptos como la prevención, la detección y mitigación del riesgo, el hecho que siempre es mejor consultar a tiempo que generar un problema y, en resumen, que debe contarse con el DPD desde la fase de diseño, por cuanto “el RGPD no prohíbe, indica el camino” y la función del DPD es ayudar a descubrir y concretar ese camino.

La suma de los anteriores factores contribuye, sin duda, a lograr que la protección de datos no sea percibida como “cosa” del DPD, sino que sea asumida como un compromiso por parte de todos y cada uno de los profesionales que integran la estructura del responsable del tratamiento y, de esa manera, llegar a buen puerto.

Isabel Mascaró Currás
Compliance Officer, Delegada de Protección de Datos y Vocal ENATIC.