Por Facundo Malaureille – Socio Data Governance Latam
Uno de los términos que más se usa desde la vigencia del Reglamento General de Protección de Datos Personales en Europa (RGPD) es accountability, y como pasa muchas veces no es sencilla su traducción del inglés al español.
Como primer acercamiento podríamos decir que accountability que se trata de “responsabilidad demostrada”, y que es un principio clave en la protección de datos personales.
Podemos ampliar diciendo que es una obligación legal y ética que recae sobre las organizaciones que procesan datos personales, y que consiste en, no sólo decir, sino más bien asumir la responsabilidad por la protección de dichos datos y por el cumplimiento de las normativas y estándares aplicables.
Por muchos años las organizaciones “cumplían” incorporando a sus sitios o Apps leyendas legales, y/o políticas de privacidad. Se trataba de una época donde lo formal primaba por sobre el fondo.
Aquella empresa que tuviera alguna leyenda legal y/o política de privacidad en principio estaba cumpliendo con la normativa de protección de datos.
Con el paso del tiempo lo formal empezó a no ser suficiente porque se empezó a ver que las empresas decían cosas en su política de privacidad que en realidad no hacían, o en muchos casos hacían todo lo contrario.
Pasamos entonces a una nueva etapa donde se tiene presente no solo decir, sino más bien hacer, y poder demostrar que eso que se dice y hace es en realidad lo que la empresa hace.
Así las cosas en el contexto de la protección de datos personales, la accountability se refiere a la capacidad de las organizaciones para demostrar que están cumpliendo con sus obligaciones en materia de protección de datos.
Esto implica -entre otras cosas- llevar a cabo evaluaciones de riesgos, implementar medidas de seguridad adecuadas, y garantizar que los datos se procesen de manera transparente, legítima y proporcional.
La accountability también se relaciona con la responsabilidad por los daños que puedan producirse en caso de incumplimiento de las normativas.
En este sentido, las organizaciones deben ser capaces de demostrar que han adoptado medidas adecuadas para prevenir y mitigar los riesgos de violación de datos personales, y que han tomado medidas efectivas para remediar cualquier daño que pueda haber ocurrido.
Para garantizar la accountability en la protección de datos personales, es necesario que las organizaciones adopten un enfoque proactivo y sistemático.
Esto implica la implementación de políticas y procedimientos claros y detallados, la capacitación del personal en materia de protección de datos, la evaluación regular de los riesgos, y la realización de auditorías internas y externas.
El RGPD y las normativas similares no especifican medidas concretas, sólo hablan de “medidas técnicas y organizativas” que la empresa debe tomar, y poder demostrar que las ha tomado. Es decir que no se trata sólo de anuncios, si no de acciones concretas.
Otro aspecto importante de la accountability en la protección de datos personales es la transparencia.
Las organizaciones deben ser transparentes en cuanto a su política de privacidad y en cuanto a los datos que recopilan y procesan.
Esto implica informar a los titulares de los datos sobre el propósito o la finalidad del procesamiento, sobre los derechos que tienen en relación a sus datos, sobre cualquier transferencia de datos que se realice, contar con el consentimiento del titular y poder demostrar cómo se obtuvo y evidenciarlo.
Por lo expuesto, esta linda palabra “accountability”, es mucho más que eso. Se trata de una de las bases del nuevo ordenamiento en materia de protección de datos personales, y como tal un principio fundamental.
Las organizaciones que procesan datos personales tienen la obligación de asumir la responsabilidad por la protección de dichos datos y por el cumplimiento de las normativas y estándares aplicables.
De modo que para garantizar la accountability, es necesario adoptar un enfoque proactivo y sistemático, implementando políticas y procedimientos claros, capacitando al personal, evaluando regularmente los riesgos, y siendo transparentes en cuanto a la política de privacidad y al procesamiento de datos.
Las organizaciones que no incorporen el accountability en sus prácticas estarán cada día más alejadas de lo que implica hacer negocios dentro del marco legal y ético.
