LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

19/03/2024. 12:44:10

LegalToday

Por y para profesionales del Derecho

El compliance en materia de protección de datos

Abogada especializada en Derecho Penal y Compliance

Protección Datos

En mayo de 2018 entrará en vigor el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (en adelante Reglamento o RGPDUE). Este Reglamento, de aplicación directa e inmediata en nuestro país, supone cambios sustanciales respecto a lo dispuesto en la actual regulación estatal (LO 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en adelante LOPD). A la espera de la aprobación de una nueva normativa sobre Protección de Datos, los Estados han de encaminarse a tomar medidas adecuadas y conformes con el RGPDUE.

El cumplimiento en materia de protección de datos es una de las mayores preocupaciones de las empresa. La normativa europea permite observar importantes similitudes entre la regulación en esta materia y otros sistemas de Compliance. Así, uno de los principios fundamentales del Reglamento es el de ‘responsabilidad proactiva', según el cual, por un lado, son las propias empresas las que tienen que tomar las medidas adecuadas para reducir al máximo los riesgos y garantizar el cumplimiento del RGPDUE, y por otro lado, tienen que poder demostrarlo, es decir, generar una trazabilidad suficiente de su diligencia, que permita comprobar que efectivamente cumplen con la normativa vigente (artículo 30 RGPDUE). Para ello, se deben aplicar las medidas de privacidad como norma general –privacy by default– y desde el primer momento en el que se plantea un tratamiento de datos –privacy by design– (artículo 25 RGPDUE). Para una correcta aplicación de este principio de responsabilidad proactiva se exige, entre otras cuestiones, que se evalúen los riesgos que entrañan aquellas actividades susceptibles de incumplir la normativa de protección de datos, y que se apliquen las medidas preventivas necesarias para minimizar dichos riesgos.

En este artículo nos centraremos en dos de las obligaciones que regula el Reglamento, y que a nuestro entender son similares a las que encontramos en otros sistemas de Compliance:

    A.  La evaluación de impacto: el artículo 35 RGPDUE establece que 'cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales'. Es decir, en aquellos casos en los que exista un riesgo de incumplir la normativa, se tendrá que evaluar el potencial impacto que dicho incumplimiento tendría, en caso de producirse, en los derechos y libertades de las personas físicas afectadas.

    Tal y como ha definido la Agencia Española de Protección de Datos en una guía específica sobre esta materia,  la evaluación de impacto exige identificar los riesgos específicos, para poder aplicar las medidas preventivas adecuadas para minimizar la posibilidad de que el riesgo se materialice, en particular cuando se trate de operaciones automatizadas que puedan afectar significativamente a las personas, tratamientos a gran escala de categorías especiales de datos u observaciones sistemáticas a gran escala de zonas de acceso público.

    En este sentido, la evaluación de impacto se podría asemejar, salvando las distancias, al análisis de riesgos que se realiza para definir un programa cumplimiento. De algún modo, la evaluación de impacto permite identificar los riesgos específicos de cada tratamiento, y dar respuesta a la obligación de aplicar la privacidad desde el diseño y por defecto.

    B.  La figura del Delegado de Protección de Datos (Data Protection Officer, DPO): la figura del DPO (artículos 37 y siguientes RGPDUE; Directrices explicativas del Grupo de Trabajo del artículo 29) tiene por objeto:

      ‘a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros; b) supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes; c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35; d) cooperar con la autoridad de control; e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto' (art. 39.1 RGPDUE).

    Su designación será obligatoria en el caso de autoridades u organismos públicos (salvo en el caso de tribunales), y entidades privadas que lleven a cabo operaciones o tratamientos a gran escala, cuando estos requieran de una observación habitual y sistemática de los interesados o afecten a categorías especiales de datos (art. 37.1, en relación con los arts. 9 y 10 RGPDUE).

    Atendiendo a sus funciones, se podría entender que el DPO se asemeja al Compliance Officer, en los términos recogidos en el Código Penal en su artículo 31bis, al ser un órgano encargado de asesorar, controlar y supervisar el cumplimiento de la normativa. A este respecto, especialmente en empresas de gran tamaño, cabría ubicar al DPO dentro de una 'super' estructura de Compliance, en la que hubiera un encargado de cumplimiento para cada área de riesgo, en función de las características y necesidades de la empresa -protección de datos, competencia, medio ambiente, penal, etc.- coordinados todos ellos por un Chief Compliance Officer.

En definitiva, en materia de protección de datos se observan mecanismos de regulación que tradicionalmente se han utilizado para ‘controlar' el cumplimiento en otras áreas específicas, como Competencia o Medio Ambiente, de manera que, la tendencia en este ámbito se encamina, como en otras áreas de Compliance, a la autorregulación de las empresas, primando el análisis en función del riesgo y la supervisión dentro de la organización por parte de figuras autónomas e independientes.

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.