¿Cómo se acredita la responsabilidad demostrada (accountability) en materia de compliance en privacidad?

El nuevo reglamento de datos personales de la Unión Europea va a significar una importante preocupación para todos aquellos sujetos que procesan datos personales de ciudadanos europeos, puesto que se trata de un régimen mucho más exigente para todos los que procesan datos personales de terceros. 

Se trata del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, publicado el 4 de mayo de 2016 en el Diario Oficial de la Unión Europea. Dicha norma empezará a tener vigencia el 25 de mayo de 2018.

La principal incertidumbre que trae este nuevo régimen es respecto al preciso alcance de las férreas obligaciones a ser cumplimentadas por los encargados del procesamiento de datos personales, desde el momento que viene a cambiar el paradigma de tutela normativa hasta ahora vigente y pasando a enfocarse en los derechos del titular de los datos personales en juego. 

Para lograr tan ambiciosos objetivos el reglamento dota a los titulares de los datos de novedosos remedios o garantías dentro del contexto digital, como portabilidad de datos, derecho al olvido, derecho de acceso y rectificación de datos.     

El nuevo régimen al establecer un novedoso patrón de acreditación del cumplimiento para los sujetos obligados (responsables del manejo de datos personales) establece que deberán arbitrar los medios con la debida antelación para lograr la adecuación de los procesos corporativos internos a los nuevos y estrictos paradigmas a ser exigidos. 

Ese nuevo criterio es conocido como de acreditación de responsabilidad demostrada, o accountability en inglés. 

La forma correcta de demostrar la debida diligencia en el cumplimiento de las obligaciones es a través de la implementación de procesos cotejables o medibles junto con una actitud proactiva propensa a cumplir con los requerimiento ya sea de los titulares de los datos en el ejercicio de sus derechos en el procesamiento de sus datos, de las empresas por el procesamiento de información comercial sensible o de las autoridades estatales de control. 

Los procesos para que sea verificable el grado de cumplimiento de obligaciones se los denomina política de compliance, y están conformados por diversas acciones complementarias entre sí. El grado de cumplimiento no sólo se proyecta y afecta al procesador de datos sino que alcanza también a sus clientes y proveedores. 

Entre la batería de remedios que deben implementarse para el logro de un adecuado programa de cumplimiento (compliance) se debe considerar al menos :

i) Diagnóstico sobre prácticas aplicadas en materia de datos personales de la compañía, apuntando a detectar los recaudos faltantes y exigidos por el nuevo reglamento europeo. Dicha tarea trae aparejado un mapeo o inventario de actividades que aparejen procesamiento de datos, y las medidas de seguridad que les resulten aplicables. 

ii) Conformar estructura de gobierno corporativo de privacidad que no se limita al nombramiento de oficial de cumplimiento en temas de privacidad, sino que comprende el involucramiento del nivel más alto de dirección para que la protección de los datos personales forme parte de la agenda del Directorio de la compañía, definiendo competencias de los funcionarios a cargo así como líneas de reporte. Sin dudas que la ubicación del oficial de cumplimiento dentro del organigrama de la compañía puede anticipar cuál va a ser la trascendencia que se le otorgará a la temática. Distinto es si el responsable de la protección de datos personales es una gerencia que no tiene línea directa con el directorio al caso en que el oficial de cumplimiento reporta directamente al presidente de la compañía. Otra alternativa viable es la delegación de estas actividades en proveedores externos especialistas en la temática. 

iii) Mecanismos de notificación y de obtención de consentimiento de los sujetos titulares de los datos personales.

El reglamento europeo exige a los controladores de datos que se informe a los titulares de datos acerca de las actividades de procesamiento a ser llevadas a cabo, incluyendo informar el tipo de dato colectado, el propósito para el cual ha sido colectado, cómo es utilizado y protegido, el nombre de la organización encargada del procesamiento del dato personal y los derechos del titular del dato personal que comprenden el derecho de acceso, de objetar y eliminar el dato. Asimismo ha variado significativamente la forma de obtención del consentimiento del titular de dato. 


iv)  Conformación de mecanismos técnicos específicos

Ante la exigencia de nuevos recaudos organizaciones y técnicos tanto los controladores como procesadores de datos deben documentar la implementación de estas medidas, primordialmente aquellas que están vinculadas con técnicas de seguridad, privacidad desde el diseño y por defecto.

v) Realización de evaluaciones de impacto de privacidad (DPIA Data Personal Impact Assesment). Si bien este recaudo es exigido por el reglamento para los supuestos (grandes volúmenes de datos, procesamientos de alta escala, datos sensibles, etc)  en que la utilización de cierta tecnología implique un serio riesgo para los derechos y garantías de sus titulares, es recomendable adoptarla como mecanismo corriente a través del cual se registran y formalizan la adopción de recaudos tendientes a resguardar los derechos y libertades en juego.

El objetivo del DPIA es identificar cualquier riesgo posible, y en caso de existir, determinar aquellas medidas necesarias para demostrar que las actividades de procesamiento de datos se encuentran en consonancia con la regulación y la efectiva protección de los datos. 

Esta evaluación debe ser previa al procesamiento de los datos a fin de evaluar las medidas y mecanismos a ser usados para mitigar los riesgos que se presenten. Aún en el supuesto que los riesgos inherentes al procesamiento no pudiesen ser evitados a través de la tecnología disponible, las autoridades de control pueden ser consultadas al respecto. Esta situación demuestra que cuanto antes se detecten y mitiguen los riesgos, en mejor situación se va a encontrar la empresa para adoptar los correspondientes cursos de acción. 

Lo expuesto es una demostración cabal que el criterio de la responsabilidad demostrada no puede ser materia de la improvisación y de adopción de medidas sobre la marcha, sino que es fruto de un proceso de diferentes etapas, muchas de las cuales son previas o desde su inicio. El ejemplo más claro de adopción de medidas de previas es la adopción del criterio de "privacidad desde el diseño".


El principio de privacidad desde el diseño reclama que las cuestiones de protección de datos y privacidad se tomen en consideración desde la fase inicial, desde el momento mismo del diseño de un producto o servicio. Con ello se consigue no solo una mayor eficacia en la protección de los derechos de los afectados, sino también evitar algo que sucede con demasiada frecuencia como es la reconvención a posteriori de la norma a la tecnología. Es decir, que una vez que el proyecto ha sido desarrollado o implantado, se aprecia su ilegalidad y ello lleva consigo altos costes para su rediseño y adaptación que podrían haberse evitado si los deberes de protección de datos se hubiesen planteado en el momento oportuno, es decir, desde el diseño. 

En la práctica la clave está en el análisis previo, en el estudio legal del caso concreto, en la elaboración de las conclusiones y pautas a llevar a cabo, debidamente documentadas y argumentadas, en definitiva, en la valoración del riesgo asumible. Se trata de conocer el riesgo del proyecto y minimizarlo, en cada una de las posibles soluciones y en el acompañamiento del proyecto desde su nacimiento, pasando por su desarrollo y lanzamiento, esto es, durante su ciclo de vida. 

Los recaudos mínimos exigibles en un DPIA son:

i) descripción de las operaciones de procesamiento de datos personales y el propósito de dicha actividad.
ii) evaluación de la necesidad y proporcionalidad de las operaciones de procesamiento respecto del propósito. 
iii) evaluación de los riesgos respecto de los derechos y libertades de los titulares de los datos personales. 
iv) aquellas medidas acordes que se proponen para mitigar los riesgos identificados, y que demuestren cumplimiento con la regulación. 



vi) Reportar los incidentes de seguridad en redes informáticas

La notificación a los posibles titulares de datos personales afectados como consecuencia de cualquier incidente de seguridad es un paso ineludible de una correcta política de compliance. Dicha notificación debe ser dada en tiempo oportuno para que el afectado pueda adoptar medidas del caso, y ser precisas en cuanto a la naturaleza del evento ocurrido (pérdida de datos, afectación de datos, modificación y otro tipo de alteración de los datos). 

Otras pautas o elementos a considerar dentro de una política de compliance

i) una cultura corporativa de cumplimiento incorporada en forma efectiva en el actuar diario de la compañia, 
ii) procesos y políticas efectivas, que incluyan un código de conducta, 
iii) ejercicio de control autónomo y con recursos financieros para llevar a buen puerto la política de compliance, 
iv) adiestramiento y docencia continua de los diferentes cuadros empresariales, 
v) adopción de incentivos y medidas disciplinarias en relación al éxito de estos programas, vi) la mitigación del riesgo de terceros proveedores a través de auditorías y control, 
vii) mecanismo interno de denuncias anónimas complementado con un proceso efectivo y confiable de investigación interna, 
viii) constante mejora y actualización del programa en virtud de las experiencias que vayan surgiendo y las particularidades del negocio, 
ix) realización de auditorías específicas de estas cuestiones cuando haya compras de compañias  


La convivencia de varios programas de cumplimiento correspondientes a diferentes áreas dentro de una misma empresa debe armonizarse evitando contradicciones y logrando la armónica compatibilidad entre los mismos.  Dicha armonía se logra ya sea verificando las áreas de interacción entre los diferentes elementos que conforman los diversos programas de cumplimiento o a través de versiones de los diferentes programas en los cuales se van actualizando con las diversas cuestiones propias de cada materia.

Las preocupaciones planteadas en este artículo pueden resultar gravitante para los intereses de  empresas locales alcanzadas por la normativa europea por estar procesando datos personales de ciudadanos europeos, o por la necesaria adecuación de la legislación interna a la que deberá someterse nuestro país para continuar siendo legislación compatible con el régimen de la Unión Europea, y bajo esta consideración facilitarse la cesión internacional de datos con la Unión Europea. La cuestión es más que relevante al haber decido la Dirección Nacional de Datos Personales la conveniencia de evaluar la necesidad de modificar la Ley de Protección de Datos Personales vigente.  

Otra iniciativa a nivel local vinculadas con programas de cumplimiento es la probable sanción como ley de un proyecto sobre responsabilidad penal corporativa donde se establece la obligación de los programas de compliance o programa de integridad.

Lo interesante de la implementación de dicho programa radica en que establece las condiciones bajos los cuales se considera que el programa de integridad es efectivo. 

El respectivo artículo de dicho proyecto de ley establece en cuanto a los programas de integridad en materia de corrupción lo siguiente:


ARTÍCULO 23.- Programa de Integridad. Se considera que un programa de integridad es efectivo cuando se adecua a los riesgos propios de la actividad que realiza la persona jurídica, a su tamaño y a su capacidad económica, a los fines de prevenir, detectar, remediar y reportar ante las autoridades correspondientes los hechos delictivos abarcados por esta ley. 
A los fines de evaluar la efectividad del programa de integridad, el juez evaluará la existencia de los siguientes elementos: 
a) un código de ética o de conducta, o la existencia de políticas y procedimientos de integridad aplicables a todos los directores, administradores y empleados, independientemente del cargo o función ejercidos, que guíen la planificación y ejecución de sus tareas o labores de forma tal de prevenir la comisión de los delitos contemplados en esta ley; 
b) reglas y procedimientos específicos para prevenir ilícitos en el ámbito de concursos y procesos licitatorios, en la ejecución de contratos administrativos o en cualquier otra interacción con el sector público; 

c) la extensión en la aplicación del código de ética o de conducta, o de las políticas  y procedimientos de integridad, cuando sea necesario en función de los riesgos existentes, a terceros o socios de negocios, tales como proveedores, distribuidores, prestadores de servicios, agentes e intermediarios; 
d) la realización de capacitaciones periódicas sobre el programa de integridad a directores, administradores, empleados y terceros o socios de negocios; 
e) el análisis periódico de riesgos y la consecuente adaptación del programa de integridad; 
f) apoyo visible e inequívoco al programa de integridad por parte de la alta dirección y gerencia; 
g) canales internos de denuncia de irregularidades, abiertos a terceros y ampliamente divulgados; 
h) una política clara de protección de denunciantes contra represalias; 
i) un sistema de investigación interna que respete los derechos de los investigados e imponga sanciones efectivas a las violaciones del código de conducta; 
j) procedimientos que comprueben la integridad y reputación de terceros o socios de negocios, incluyendo proveedores, distribuidores, prestadores de servicios, agentes e intermediarios, al momento de contratar sus servicios durante la relación comercial; 
k) la debida diligencia durante los procesos de transformación societaria y adquisiciones, para la verificación de irregularidades, de hechos ilícitos o de la existencia de vulnerabilidades en las personas jurídicas involucradas; 
l) monitoreo y evaluación continua de la efectividad del programa de integridad; 

m) establecimiento de un responsable interno a cargo del desarrollo, coordinación y supervisión del programa de integridad. 

Comentarios

Entradas populares de este blog

El Acuerdo de infraestructura de red celebrado entre Netflix y Comcast pese a no afectar directamente a la neutralidad de red demuestra la necesidad de extender el ámbito de aplicación de este principio.

Memo from European Commission regarding Net Neutrality and the regulatory proposal for a Connected Continent.