En la última circular de la Fiscalía se hacía especial énfasis en la necesidad de que las empresas dirigiesen todos sus esfuerzos, a través de un Modelo de Prevención y Control “made to measure” así como los demás instrumentos para la detección de los riesgos con la finalidad de que la empresa logre una efectiva “cultura de cumplimiento”.
Ya en el artículo de Xavier Ribas sobre la cultura de cumplimiento se explica cómo creamos, cómo medimos y, lo más importante, cómo acreditamos ya que, tal y como insiste la Fiscalía, de nada nos servirán las múltiples acciones/decisiones que llevemos a cabo en nuestro Modelo de Compliance en la empresa si no somos capaces de acreditarlo mediante evidencia.
Estos dos elementos del Compliance, por un lado, la necesidad de la prueba o evidencia para acreditar que la empresa no incurre en un "Fake" y/o "Make-Up" Compliance y, por otro, la obligación de que el Modelo escogido no sea uno general o estandarizado, sino completamente adaptado a las particularidades, riesgos y necesidades de la compañía, nos permiten identificar una serie de sinergias que el legislador europeo ha incluido en el redactado del reciente Reglamento Europeo de protección de datos.
Ayer jueves se publicaba en el Diario Oficial de la Unión Europea (DOUE) el Reglamento nº 2016/679, que entrará en vigor a los 20 días de su publicación DOUE en el que, las empresas, tendrán dos años, para adecuarlo a la nueva normativa. Al ser Reglamento, será de aplicación directa en todos los Estados Miembros de la Unión.
En materia de Protección de Datos, el legislador europeo ha tenido en cuenta algunos de los elementos fundamentales del Compliance y ha introducido nuevos instrumentos y/o medidas dirigidas a la obtención de la prueba, evidencia y/o acreditación de un acto/medida llevada a cabo así como también la creación del concepto de privacidad a medida o también conocido como "Privacy by design".
La primera sinergia con el Compliance es la relativa a la prueba, evidencia o acreditación de las medidas o actos llevados a cabo, dentro de las obligaciones de los Responsables y Encargados del Tratamiento. En el texto encontramos numerosas referencias a la necesidad de demostrar/acreditar:
- En lo relativo al consentimiento del interesado para el tratamiento de sus datos personales, se dice que el Responsable deberá ser ser capaz de demostrar que, el interesado, ha dado su consentimiento al tratamiento. Es decir, debe haber garantías de que el interesado es consciente que da su consentimiento y de la medida en que lo hace.
- La obligación del Responsable, por cualquier tratamiento de datos personales que lleve a cabo, de aplicar las medidas oportunas y eficaces para acreditar la conformidad de las actividades de tratamiento con el presente Reglamento.
- Tanto los Responsables como los Encargados, deberán probar el cumplimiento respecto a la identificación del riesgo relacionado con el tratamiento. Para ello, deberán hacer una evaluación en términos de origen, naturaleza, probabilidad y gravedad así como la identificación de buenas prácticas para mitigar el riesgo pudiendo materializarse en códigos de conducta aprobados, certificaciones aprobadas, etc.
- La adhesión del Encargado a un código de conducta aprobado o a un mecanismo de certificación aprobado servirá como prueba del cumplimiento de las obligaciones por parte del Responsable.
- Otra de las obligaciones del Responsable o el Encargado es la de mantener los registros de las actividades de tratamiento bajo su responsabilidad para así acreditar la conformidad con el Reglamento.
- En referencia a cualquier violación de la seguridad de los datos personales, el Responsable deberá notificarlo a la autoridad de control competente, a menos que pueda demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de que la violación entrañe un riesgo para los derechos y las libertades de la persona.
- El Responsable deberá realizar una evaluación de impacto relativa a la protección de datos para valorar la particular gravedad y probabilidad del alto riesgo, teniendo en cuenta la naturaleza, ámbito, contexto y fines del tratamiento y los orígenes del riesgo. Para acreditar que tal evaluación, es acorde a lo estipulado en la normativa, deberá acreditar que se han incluido las medidas, garantías y mecanismos previstos para mitigar el riesgo.
Por último, otra sinergia detectada es la relativa al concepto "made to measure" o "by design".
En Compliance, la Fiscalía ha advertido reiteradamente que el Modelo de Prevención y Control que utilice la empresa, deberá contemplar todas y cada una de las características de la misma así como sus necesidades y riesgos concretos, siendo inútil cualquier intento de modelo generalizado y/o estandarizado.
En el caso del nuevo Reglamento, el legislador hace referencia a que el Responsable, con el fin de acreditar que actúa según la normativa, deberá adoptar políticas internas y aplicar las medidas que cumplan en particular los principios de protección de datos desde el diseño y por defecto. La protección de datos desde el diseño y por defecto, consiste en que en el caso de desarrollar, diseñar, usar aplicaciones o servicios (basados en el tratamiento de datos personales) se deberá asegurar que los productores tengan en cuenta el derecho a la protección de datos cuando lo estén desarrollando o diseñando y, por lo tanto, que aseguren, a los responsables y encargados del tratamiento, que estarán en condiciones de cumplir con sus obligaciones en materia de protección de datos.
A través de estas sinergias detectadas entre el Compliance y el nuevo Reglamento Europeo de Protección de Datos se pone de manifiesto la creciente e imparable tendencia en España y, lógicamente, en Europa, de la importancia en acreditar o probar los actos/acciones que se llevan a cabo en la compañía, así como la clara preferencia por Modelos adaptados o "made to measure" en la empresa. Se hace evidente que tanto legisladores nacionales como supranacionales van en una misma línea, pero, ¿y las empresas? ¿sabrán dirigir los esfuerzos en conseguir una verdadera cultura de cumplimiento en la empresa?