Modelo de negocio de protección de datos: lo que la accountability se llevó

modelo_negocioPor Francisco R. González-Calero Manzanares

En el artículo 22 de la Resolución legislativa del Parlamento Europeo, de 12 de marzo de 2014, sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos) (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD)), se establece un principio de rendición de cuentas en los siguientes términos:

1. “El responsable del tratamiento adoptará políticas adecuadas e implementará medidas técnicas y organizativas apropiadas y verificables para asegurar y poder demostrar de forma transparente que el tratamiento de datos personales se lleve a cabo de conformidad con el presente Reglamento, teniendo en cuenta las técnicas existentes, la naturaleza del tratamiento de los datos personales, el contexto, el alcance y los fines del tratamiento, los riesgos para los derechos y libertades de los interesados, y el tipo de organización, y ello tanto en el momento de determinar los medios del tratamiento como en el momento del tratamiento propiamente dicho .

1 bis. Habida cuenta de las técnicas existentes y de los costes asociados a su  implementación, el responsable del tratamiento tomará todas las medidas razonables para aplicar políticas y procedimientos de control del cumplimiento que respeten sistemáticamente las decisiones autónomas de los interesados. Estas políticas de control del cumplimiento se revisarán al menos cada dos años y se actualizarán cuando sea necesario”.

El responsable del tratamiento en concreto deberá ser capaz de documentar conforme a lo previsto en el Reglamento, implementar las medidas de seguridad previstas en el mismo, y en su caso, la realización de la evaluación de impacto, la autorización o consulta previa a la autoridad de control o el nombramiento del delegado de protección de datos. También deberá poder demostrar la idoneidad y eficacia de las medidas reflejadas anteriormente.

Planteado el principio, a ningún experto en la materia se le escapa el vuelco radical que sufrirán los caducos modelos de negocio de consultoría y auditoría en protección de datos, de aprobarse la Propuesta de Reglamento General en los términos previstos.

Hasta la fecha y mientras no exista un nuevo marco normativo, el margen de decisión es mínimo puesto que las obligaciones están tasadas (inscripción, documento de seguridad implementado, información, consentimiento, auditorías…). Una vez decidido que cumpliré con la normativa, poco margen de decisión queda. Si acaso no tratar un determinado dato o realizar un determinado tratamiento para bajar en nivel de seguridad o eliminar la necesidad de obtención de consentimiento expreso, o quizás, la conveniencia de plantear consulta al Gabinete Jurídico de la AEPD para un asunto en concreto.

Cuando este principio opere, claro está que determinados aspectos de cumplimiento normativo estarán igualmente reglados y se sabrá de antemano en qué casos es obligatorio realizar una evaluación de impacto, nombrar un delegado de protección de datos o solicitar una autorización previa a la autoridad de control. Igualmente quedará claro en que términos hay que informar y obtener el consentimiento del afectado, qué derechos les asisten o cuales son las consecuencias del incumplimiento del Reglamento.

Como ya se ha manifestado con anterioridad, el responsable de tratamiento debe adoptar e implantar medidas adecuadas y verificables atendiendo a: “las técnicas existentes, la naturaleza del tratamiento de los datos personales, el contexto, el alcance y los fines del tratamiento, los riesgos para los derechos y libertades de los interesados, y el tipo de organización”, lo que unido al nuevo principio de privacidad desde el diseño y por defecto que, en la misma línea dispone que: “habida cuenta de las técnicas existentes, de los conocimientos técnicos actuales, de las mejores prácticas a escala internacional y de los riesgos que representa el tratamiento de datos , el responsable y, en su caso, el encargado del tratamiento implementarán , tanto en el momento de la determinación de los fines y medios del tratamiento como en el del tratamiento propiamente dicho, medidas y procedimientos técnicos y organizativos apropiados y proporcionados de manera que el tratamiento sea conforme con las disposiciones del presente Reglamento y garantice la protección de los derechos del interesado…”, va a provocar un auténtico proceso de reflexión y análisis previo al tratamiento y continuo mientras perdure el mismo con las siguientes consecuencias:

  • De nada me sirve implantar medidas y procedimientos si no son eficaces para lograr la finalidad perseguida o no son puestos en práctica. Tampoco me servirá de nada si no los reviso, actualizo y audito periódicamente.
  • De nada me sirve hacer lo mismo que el de la nave o local de al lado si no nos dedicamos al mismo sector de actividad y no estamos organizados de la misma manera.
  • De nada me sirve contratar a un servicio de adecuación y mantenimiento en protección de datos que no ofrezca garantías de solvencia, seriedad y profesionalidad, puesto que en la creencia que estoy cumpliendo puedo ser sancionado, o, puedo perder competitividad al implantar más técnicas y procedimientos de los exigibles para los tipos de tratamientos que, en sentido cuantitativo y cualitativo, realizo.
  • Al optar por un presupuesto debo también tener en cuenta el perfil, capacitación y experiencia de los técnicos que realizarán el proyecto, no solo el precio y el servicio. En tratamientos de calado por la tipología o el volumen de los datos tratados, se debería exigir, al menos, la supervisión por un perfil Senior.
  • El copy paste y las plantillas no serán garantías de cumplimiento normativo.
  • Un cambio o avance tecnológico puede dejar obsoletas las medidas adoptadas y provocar que se pase del cumplimiento al incumplimiento normativo.
  • Al igual que en prevención de riesgos laborales hay grandes diferencias entre las medidas a adoptar en construcción o fábricas y oficinas y despachos, en protección de datos personales se van a crear dos bloques fuertemente diferenciados en obligaciones, dependiendo de la tipología o volumen de datos tratados. El acierto o error en la elección del bloque en el que me sitúe puede ocasionarme una sanción y daño reputacional o restarme competitividad, puesto que será la primera decisión a adoptar.

En definitiva cuando este principio sea aplicable, se abrirán nuevas oportunidades de negocio que en ningún caso deberían ser estandarizadas, puesto que lo que trata de introducir este principio es el cumplimiento por parte el responsable de tratamiento mediante técnicas, medidas y procedimientos personalizados, eficaces y flexibles.

Artículo publicado originariamente por el autor en LawyerPress.