‘Accountability’ o responsabilidad activa en el Reglamento General de Protección de Datos

Para profundizar en las implicaciones y su importancia hablamos con Jorge García Herrero, abogado vallisoletano del despacho Garrigues y autor de uno de los blogs jurídicos más disruptivos de la blogósfera legal http://jorgegarciaherrero.com/

Así, Jorge enfatiza la importancia del Reglamento y "no lo digo por el importe de las sanciones, que también. Me refiero al concepto de accountability o responsabilidad activa. La responsabilidad activa se resume en la expresión, popularizada por la Agencia Española de Protección de Datos (AEPD) de que no incumplir ya no será suficiente".

Tal y como señalábamos al principio, las empresas son las que tienen que acreditar que cumplen el Reglamento. Del mismo modo lo confirma nuestro interlocutor: "Ahora corresponde a las empresas, en vez de a la Administración, la responsabilidad de identificar los propios focos de riesgo y de elegir medidas adecuadas para mitigarlo. Ya hemos observado este mismo cambio de perspectiva en Derecho de la Competencia, Buen Gobierno Corporativo o Responsabilidad Penal de las Personas Jurídicas".

Se podría pensar que detrás del Reglamento hay un interés recaudatorio, dada la magnitud de las cuantías. "Pese a lo aparatoso de las multas, no creo que el objetivo sea recaudatorio: más bien se impone el cumplimiento proactivo de la norma como medio para generalizar una práctica segura y respetuosa con la privacidad en la UE. Lo que busca Bruselas es la implantación y arraigo de una cultura de cumplimiento en las organizaciones", afirma Jorge García Herrero.

De lo formal a lo material

El rol de las empresas va a cambiar drásticamente, en opinión de García Herrero: "Hasta hoy, muchas empresas simplemente cumplían el expediente dotándose de un kit de documentos (formularios de información y consentimiento, política de privacidad, documento de seguridad, etc.) a los que nadie hacía caso realmente. Eran solo papeles, y sólo salían del cajón en caso de expediente sancionador".

A partir de ahora, toda organización sujeta al reglamento estará obligada a acreditar cuatro aspectos claves, que Jorge García nos los resume así:

• Que ha evaluado, y en caso necesario, rediseñado adecuadamente sus tratamientos de datos personales.
• Que las medidas de seguridad implementadas son adecuadas y eficaces.
• Que se aplica una política interna en materia de privacidad con obligaciones claras, acciones concretas anudadas a cada una, y se han designado responsables de su cumplimiento.
• Que exige ese mismo cumplimiento responsable a sus encargados de tratamientos y cadena de subcontratación.

Nuevo mapa de responsabilidades

Además, se introduce un nuevo mapa de responsabilidades para el caso de incumplimiento que, por las implicaciones que tiene para las empresas, estas necesitan ser conscientes de la nueva realidad que se les presenta en el 2018.

En lo administrativo, el importe de las sanciones previstas en el Reglamento nos habla de la relevancia que la protección de datos personales va a adquirir: hasta 20 millones de euros o el 4% de la facturación anual global de la empresa (la más alta de las dos cifras), para las infracciones más graves.

Como bien señala Jorge García, "La protección de datos va a entrar en la Champions League del compliance, por lo que representará en materia de responsabilidad para las organizaciones y sus administradores".

Por otro lado, asistiremos a una nueva variedad de demandas colectivas de responsabilidad civil.  "La nueva obligación de comunicar a la Agencia e interesados los eventos data-breach o violaciones de seguridad informáticas, allanará el camino al ejercicio de reclamaciones de indemnización por las empresas y particulares afectados. En este sentido, el derecho a la indemnización de daños por infracción no es nuevo; lo novedoso -remarca García- es que será más fácil probar el evento dañoso determinante de responsabilidad. La discusión estará, en el perímetro de esa responsabilidad, entre otros factores".

No será extraño un incremento de reclamaciones por parte de los consumidores, verdaderos destinatarios de las medidas protectoras de la legislación europeas. Jorge García opina que "dilucidar estas responsabilidades a través de estructuras de mediación o arbitraje será trascendental, para evitar la sobrecarga o bloqueo de la Agencia y los tribunales".

Por último, el mapa de responsabilidades incluye un aspecto transnacional. Señala Jorge que "se abre la vía a reclamaciones contra empresas domiciliadas en países ajenos a la Unión Europea por conculcación de cualquiera de los derechos y garantías previstos en el Reglamento Europeo".

Concluye García Herrero que "a tal efecto, todas las empresas (aun procedentes de estados no miembros) que ofrezcan bienes o servicios en territorio comunitario (aunque no ejecuten tratamiento alguno dentro de la UE) están obligadas a nombrar un responsable en territorio UE, ante el que los interesados podrán presentar reclamaciones o ejercer acciones".

El carácter transnacional del Reglamento va a requerir una mayor responsabilidad a las empresas extracomunitarias.

Lo positivo: la gran cantidad de expertos en Derecho TIC que, como Jorge García Herrero, pueden facilitar a nuestras empresas su puesta al día. Buena muestra de ello, es la cantidad de artículos jurídicos que llevan publicando en la materia con el ánimo de informar a las empresas sus nuevas obligaciones y la celebración de Congresos y jornadas, como el recientemente celebrado por los asociados de Enatic, donde se pudo ver de manifiesto la calidad de los abogados especializados en la materia.

Si quieres disponer de toda la información y la opinión jurídica para estar al día, no pierdas
de vista a Actualidad Jurídica Aranzadi