Luego de 4 años de arduas negociaciones tripartitas, de intensos intercambios con los Stakeholders (las partes interesadas) y con un texto que cuenta con 173 considerandos y 99 artículos, el Reglamento General sobre la Protección de Datos (RGPD) fue publicado en el Diario Oficial de la Unión Europea el 4 de mayo de 2016. Este nuevo marco jurídico refuerza los derechos de los individuos y responsabiliza considerablemente a los responsables y encargados del tratamiento.

El RGPD es el resultado, por un lado, del reconocimiento de diversas prácticas -poco armonizadas-, que, durante años, los estados miembros han regulado en su derecho interno, como, por ejemplo: la designación del delegado de protección de datos, las normas corporativas vinculantes, la evaluación de impacto relativa a la protección de datos, entre otras medidas; y por otro lado, el reconocimiento de las sentencias que el juez del Tribunal de Justicia de la Unión Europea (TJUE) ha dictado en los casos Digital Rights Ireland Ltd., Schrems o Weltimmo. Estas decisiones han impactado considerablemente la redacción del texto europeo.

En lo que respecta al principio de Accountability -la rendición de cuentas aplicada a la protección de datos personales-, cabe recalcar que éste no “nace” con la entrada en vigor del RGPD, sino todo lo contrario. Las líneas directrices de la Organización para la Cooperación y el Desarrollo Económicos (OCDE) del 23 de septiembre de 1980, revisadas en 2013, tanto como la recomendación del Grupo de trabajo sobre protección de datos del Artículo 29 adoptado el 13 de julio de 2010 se refieren a este principio como una herramienta de regulación compartida en el servicio de protección de datos personales.

Es importante recalcar que mientras que la Directiva 95/46/CE, que será abrogada por el RGPD en mayo de 2018, se basa en gran medida en una lógica de declaración de procedimientos preliminares, el Reglamento se basa en una lógica de conformidad y de responsabilidad proactiva. Por esta razón, el objetivo de éste artículo consiste en presentar las grandes líneas del texto europeo desde el ángulo de Accountability para poder comprender los desafíos a los cuales las empresas deberán prepararse en 2018. De hecho, si bien es cierto que el RGPD presenta un marco jurídico complejo, el texto también puede ser visto como una oportunidad para crear una verdadera gobernanza de datos personales en el seno de las empresas.

Las generalidades del RGPD: principios, nociones y responsabilidad de los actores:

El artículo 4 del Reglamento presenta una lista de definiciones que ayudan a comprender el alcance de las disposiciones del texto como, por ejemplo: limitación del tratamiento, elaboración de perfiles, seudonimización, violación de la seguridad de los datos personales, datos genéticos, datos biométricos, datos relativos a la salud, establecimiento principal, representante, empresa, grupo empresarial, normas corporativas vinculantes y autoridad de control, entre otras.

En cuanto a los principios, el artículo 5 del Reglamento menciona los grandes principios de la protección de datos, como la licitud, la lealtad, la proporcionalidad, la limitación de la finalidad, la minimización de datos, la exactitud y la calidad de los datos, la conservación limitada y la seguridad.

Por otro lado, el Reglamento responsabiliza no solamente a los responsables del tratamiento, sino también a los encargados del tratamiento. Este punto es un avance significativo en las relaciones contractuales de estos dos actores. El Encargado del tratamiento deberá cumplir, por ejemplo, con obligaciones específicas de seguridad, confidencialidad, de Accountability y de cooperación con el responsable. Además, deberá documentar sus operaciones de tratamiento y deberá designar un delegado de protección de datos bajo las mismas condiciones que lo hará el responsable.

Los derechos de las personas: entre la transparencia y la accesibilidad:

La sección 1 del Capítulo III (artículos 12 y siguientes) presenta las disposiciones sobre los derechos de las personas. El texto crea nuevos derechos como: la portabilidad de datos, el reconocimiento de los derechos de los menores y el derecho a la limitación del tratamiento.

Es importante remarcar que la base de todos estos derechos reposa sobre el principio de información y transparencia que a su vez se traduce en una obligación del responsable del tratamiento. El principio de transparencia exige que toda información dirigida al público o al interesado sea concisa, fácilmente accesible y fácil de entender, y que se utilice un lenguaje claro y sencillo. El objetivo es que las personas se informen y sean conscientes de lo que sucede con los datos que proporcionan.

Otro punto que es muy importante de destacar es el consentimiento. Personalmente, considero que éste punto es particularmente delicado a abordar ya que la interpretación del consentimiento varia de una cultura jurídica a otra. Sin embargo, es conveniente comprender que “el consentimiento”, de acuerdo con el sentido del RGPD, es una declaración de voluntad expresamente otorgada, sea por medio de una firma, o por medio de un comportamiento, es decir que la manifestación de la voluntad de una persona se podrá apreciar sea por medio de una firma, haciendo clic sobre una opción propuesta -respetando los criterios sobre la información explicados anteriormente- o el simple hecho de seguir navegando en un sitio determinado.

Los derechos de las personas y el principio de Accountability están directamente relacionados, ya que si traducimos los “derechos de las personas” en “obligaciones del responsable”, éstos últimos deberán asegurar medidas organizacionales y técnicas que permitirán un acceso eficaz a todos los derechos que el Reglamento garantiza.

Las herramientas que ayudarán a cumplir con el texto europeo:

La voluntad del legislador europeo es de proponer herramientas que ayudarán al responsable y al encargado del tratamiento a garantizar una rendición de cuentas eficaz, así tenemos:

• La designación de un delegado de protección de datos personales: Es la figura que encarna la protección de datos personales. El delegado deberá contar con conocimientos jurídicos y experiencia en la materia de protección de datos, beneficiará de un posicionamiento estratégico en el seno de su organismo y sus funciones más importantes serán la asesoría, la supervisión y la prevención de las operaciones de tratamiento y sus respectivas auditorías. A partir de 2018 su designación será obligatoria en 3 casos:

-          Cuando el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;

-          Cuando las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala; o

-          Cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.

• La documentación de todos los tratamientos: Con el fin de demostrar la conformidad con el RGPD, el responsable o el encargado del tratamiento deberá mantener registros de las actividades de tratamiento. Asimismo, deberá cooperar con la autoridad de control, poniendo a disposición -bajo previa solicitud-, dichos registros, de modo que puedan servir para supervisar las operaciones de tratamiento. Es importante notar que, la obligación de documentación no es responsabilidad directa del delegado de protección de datos, sino del responsable y del encargado.

• Los principios de protección de datos desde el diseño y por defecto: El responsable del tratamiento deberá adoptar políticas internas y aplicar medidas técnicas y organizativas para poder cumplir con los principios de protección de datos desde el diseño y por defecto; Privacy by Design y Privacy by Default, respectivamente. Dichos principios ayudarán a reducir al máximo el tratamiento de datos personales, contribuirán a la transparencia con respecto al tratamiento de datos personales y permitirán la anticipación y la mejora de las medidas de seguridad de los tratamientos.
• La evaluación de impacto relativa a la protección de datos: Si las operaciones de tratamiento supongan un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento deberá realizar una evaluación de impacto relativa a la protección de datos que permitirá evaluar el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo. A su vez, el resultado de dicha evaluación deberá proponer medidas de seguridad y de anticipación adecuadas que deberán ser tomadas en consideración con el fin de demostrar que el tratamiento de los datos personales se realizará en conformidad con el RGPD.
  

• Las normas corporativas vinculantes, las cláusulas tipo de protección de datos y las decisiones de adecuación: En lo que respecta a las transferencias de datos fuera de la Unión Europea, y en ausencia de una decisión por la cual se constate la adecuación de la protección de los datos, el responsable o el encargado del tratamiento deberá tomar medidas para compensar la falta de protección de datos en un tercer país mediante garantías como las normas corporativas vinculantes o las cláusulas tipo de protección de datos adoptadas por la Comisión Europea o por una autoridad de control -estas herramientas. Por otro lado, las decisiones de adecuación, como, por ejemplo, el reciente Escudo de Privacidad EU-EEUU (Privacy Shield en inglés), adoptado el 12 de julio de 2016, que remplaza el Puerto Seguro (Safe Harbor), son también un mecanismo de conformidad en lo que respecta a las transferencias transatlánticas de datos.
  

• Los códigos de conducta: Los códigos de conducta buscarán establecer marcos específicos de determinados tratamientos en determinados sectores de actividad, de esta manera los responsables y los encargados del tratamiento podrán contar con guías prácticas, que les facilitarán el cumplimiento de sus obligaciones, garantizando los derechos de las personas. Los códigos de conducta serán elaborados en concertación directa con los organismos profesionales.
  

• Las certificaciones y los sellos de calidad: El establecimiento de mecanismos de certificación y sellos de calidad de protección de datos, permitirán a las personas evaluar con mayor rapidez el nivel de protección de datos de los productos y servicios que serán ofrecidos por parte del responsable y del encargado del tratamiento. A diferencia del código de conducta, el hecho de cumplir con los referenciales de una norma representa la voluntad del responsable o del encargado de cumplir con las disposiciones del RGPD, de esta manera, las certificaciones y los sellos de calidad se convertirán no sólo en una referencia, sino también en un elemento de distinción que promoverá la competitividad.

Considerando que el sistema declarativo ante las autoridades de control pasará a la historia a partir de 2018, las herramientas presentadas arriba se convertirán, sin duda, en los pilares de Accountability o de responsabilidad proactiva.

Sin embargo, el principio de responsabilidad proactiva no viene sin consecuencias. Es importante mencionar que el incumplimiento de las disposiciones reglamentarias es susceptible de sanciones administrativas y pecuniarias que pueden variar según la gravedad y la categoría de la infracción, del 2% al 4% máximo del volumen de negocio total anual global del ejercicio financiero anterior, o de 10 a 20 millones de Euros. En cuanto al incumplimiento de los referenciales de las certificaciones, la autoridad de control podrá solicitar el retiro de las mismas.

Si bien es cierto que la aplicación de ciertas herramientas será más difícil que otras, hay que precisar que las autoridades de protección de datos a nivel europeo, la Comisión Europea y el Grupo de trabajo sobre protección de datos del Artículo 29 se están movilizando para poder acompañar a las empresas y a los ciudadanos durante éste período de transición. De esta manera, se han organizado, por ejemplo, operaciones de sensibilización y de información sobre el nuevo texto europeo así como consultas públicas con el fin de responder a las inquietudes de todas las partes interesadas.