"Accountability" en protección de datos: más allá del mero cumplimiento

Aunque sería relativamente fácil pensar que se trata de otra “buzzword” o palabra de moda más o una tendencia novedosa debido a que cada vez se oye más y más hablar de “accountability”, no es así ni mucho menos. Se trata de una palabra que incluso se remonta varios siglos atrás en nuestra Historia de la Humanidad, pudiendo encontrar sus orígenes en la época del Antiguo Egipto, y vinculada, fundamentalmente, con mantener un registro de las actividades relativas al gobierno de una organización.

 

No es nada fácil traducir la palabra al español, ya que “responsabilidad” o “rendición de cuentas” podrían ser utilizadas, pero en la práctica se trata tanto de adoptar o implementar medidas dirigidas al cumplimiento como de responder por dichas medidas ante las partes interesadas, ya sean éstas, entre otras, autoridades reguladoras, judiciales, socios, accionistas o titulares de los datos personales que son objeto de tratamiento.

 

En cuando a la evolución del principio de responsabilidad (“accountability”), cabe señalar que está cada vez más presente de manera expresa en diferentes instrumentos normativos y propuestas de regulación. A modo de ejemplo, cabe citar que las Directrices de la OCDE sobre Privacidad, inicialmente publicadas en 1980 y revisadas en 2013, se refieren a los elementos clave de lo que se entiende por una organización responsable (en inglés, “accountable”); el todavía futuro Reglamento General de Protección de Datos de la Unión Europea, aunque con dudas sobre cuál será el resultado final de las negociaciones que se están llevando a cabo en el seno del Consejo de la Unión Europea, se basa en que el responsable del tratamiento, tendrá que implementar medidas apropiadas y ser capaz de demostrar el cumplimiento, y el borrador de la Casa Blanca sobre la Ley de Carta de Derechos de Privacidad del Consumidor (en inglés, Consumer Privacy Bill of Rights Act) incluye expresamente este principio indicando, de manera ejemplificativa, algunas medidas que tendrá que adoptar quien trate datos personales, en atención a los riesgos asociados a la privacidad, para garantizar el cumplimiento.

 

Incluso podrían verse ejemplos como el de México, país que adoptó en 2010 su Ley Federal de Protección de Datos Personales en Posesión de los Particulares, dedicando a este principio su artículo 14, y que posteriormente fue desarrollado en virtud del artículo 48 de su Reglamento, publicado en 2011, listando algunas medidas, sin ser una lista exhaustiva, para garantizar el debido tratamiento de los datos personales y cumplir así con el citado principio.

 

También que el Grupo de Trabajo del artículo 29 de la Directiva 95/46/CE le ha prestado atención al principio de responsabilidad, dedicándole su Dictamen 3/2010 sobre el principio de responsabilidad (WP 173), adoptado el 13 de julio de 2010. En dicho dictamen, el Grupo de Trabajo indica que “si la protección de datos no forma parte de los valores compartidos y las prácticas de una organización y no se asignan expresamente responsabilidades por la misma, se corre un gran peligro de que no se respeten adecuadamente.”

 

Como en cualquier ámbito de nuestras vidas, no sólo en materia de protección de datos personales cuando se tratan los mismos, el cumplimiento puede alcanzarse simplemente siguiendo la norma, pero ser realmente responsable (“accountable”) implica algo más. Es decir, quien trata los datos personales tiene que hacerlo de manera que las medidas que adopte o implemente, en atención al riesgo que conlleva todo tratamiento de datos personales, permitan, en la práctica, cumplir y demostrar dicho cumplimiento ante las partes interesadas.

 

Este principio de responsabilidad es también una de las cuestiones clave del Marco de Privacidad de APEC (Asia-Pacific Economic Cooperation), que fue adoptado en 2004 y que ahora es el centro de atención en la búsqueda de interoperabilidad entre las normas corporativas vinculantes (en inglés, Binding Corporate Rules, BCRs) y el sistema de reglas de privacidad transfronteriza (en inglés, Cross-Border Privacy Rules, CBPRs), que pueden facilitar en gran medida las transferencias internacionales de datos que son la realidad actual en el caso del desarrollo de relaciones comerciales y la prestación de servicios electrónicos, como por ejemplo la computación en la nube (en inglés, “cloud computing”).

 

Es así que cuando se tratan datos personales, por ejemplo para prestar servicios de computación en la nube, es necesario adoptar una aproximación a la responsabilidad basada en altos estándares de protección de datos personales, como por ejemplo ocurre con el estándar internacional ISO/IEC 27018:2014 Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors, que es el primer estándar internacional de privacidad en la nube.

 

Adoptar este estándar en materia de protección de datos y privacidad en la nube sirve como ejemplo de un prestador de servicios de computación en la nube responsable, en el sentido de ser “accountable”, lo que además ayuda a sus clientes a garantizar a su vez el cumplimiento en materia de protección de datos personales al hacer uso de servicios que cumplen con altos estándares y que son confiables. Se trata, por lo tanto, de adoptar medidas de manera que además de cumplir, permitan hacerlo de manera “responsable”.

 

Es decir, quien trata datos personales sabrá, o deberá saber, en cada caso cuáles son las medidas que tiene que adoptar para gestionar el riesgo que implica dicho tratamiento. Esta gestión implica identificar, conocer y reducir o, en su caso, transferir el riesgo. Además, dicha gestión del riesgo es sólo una parte de las medidas a adoptar para evitar causar daños al titular de los datos personales, garantizando así su derecho (fundamental) a la protección de datos personales.

 

Por tanto, actuar de manera responsable, en todas sus vertientes, ya sean éstas, por ejemplo, administrativa, profesional, de dirección o gerencial, legislativa o judicial, implica que deban cumplirse con altos estándares tanto normativos como autorregulatorios, y no sólo en materia de protección de datos personales.