La responsabilidad proactiva es sin duda una de las novedades más significativas que aporta a nuestra cultura jurídica en el Reglamento (UE) 2016/679, en adelante Reglamento General de Protección de Datos -EDL 2016/48900-. De hecho, en ausencia de un término nacional para la traducción del término accountability esta expresión no acaba de trasladar la riqueza material del concepto para la cultura jurídica anglosajona y de una significativa parte del continente.
En primer lugar, será necesario poner de manifiesto como de la accountability deriva un cambio de cultura jurídica que se manifiesta en los modos en que los que tanto los juristas como las organizaciones deben afrontar los procesos de implementación de modelos de cumplimiento normativo. En segundo lugar, resulta necesario considerar el significado constitucional de la responsabilidad proactiva. El derecho a la protección de datos, es un derecho de naturaleza prestacional y la accountability aporta sin duda el sustrato de diseño normativo funcional a esta característica estructural. Pero no sólo eso, sino que atribuye a responsables, y por extensión también a encargados, un rol funcional muy preciso que se definirá como posición de garante.
I. La responsabilidad proactiva un cambio de cultura
Las innovaciones en la tecnología, los rápidos desarrollos producidos en la recopilación de los datos, en su análisis y en su uso, los flujos globales de los mismos y la facilidad de acceso a los datos ha provocado el nacimiento de una serie de productos, recursos y servicios disponibles para los consumidores sin precedentes en la historia. Este extraordinario crecimiento no se compadece en absoluto con los ritmos de lo jurídico y obliga a reconsiderar las estrategias más adecuadas para la garantía de los derechos. En este sentido, resulta indispensable considerar una estrategia basada en tres pilares.
a) La reivindicación del Derecho como una herramienta de ordenación de la convivencia humana que contiene principios adaptables a las distintas épocas y a sus exigencias.
El Derecho no puede abrazar la innovación como un corsé que la asfixie. Pero no es admisible sacrificar en el altar de la tecnología un modelo que pone en su centro la dignidad y la libre autodeterminación de las personas. No todo vale y no todo es admisible. Existen reglas, algunas muy antiguas como la buena fe. La más elemental fue formulada por Ulpiano entre los siglos II y III: alterum non laedere, aunque probablemente el lector millenial esté más familiarizado con el más moderno don’t be evil.
b) El desarrollo de nuevas herramientas normativas.
La consideración anterior no excluye la necesaria adaptación del Ordenamiento a las exigencias que plantea la evolución económica, social y tecnológica. En este sentido, el RGPD -EDL 2016/48900- ha constituido un significativo esfuerzo de adecuación de la norma a una realidad esquiva que requería de ciertos cambios y mejoras. Por otra parte, era necesario ofrecer un marco seguro para el desarrollo de la economía digital.
c) La definición de modelos de cumplimiento normativo centrados en el compromiso de cada uno de los agentes.
La experiencia práctica ha demostrado cómo el desarrollo de la innovación a espaldas de la norma podía resultar «rentable» en presencia de una realidad normativa fragmentada, con escasa capacidad de enforcement, y con autoridades independientes carentes de recursos y eficacia. Este problema se resuelve por el RGPD -EDL 2016/48900- con una doble estrategia de disuasión y compromiso. Por una parte, con el crecimiento exponencial del monto de las sanciones, de otra, con la imposición de un conjunto de deberes que obligan al responsable a adoptar un modelo de gestión y con la posibilidad de ofrecer modelos corporativos de cumplimiento basados en certificaciones y códigos de conducta. E incorpora una filosofía de rendición de cuentas: la accountability, que incorporó por primera vez la Organización para la Cooperación Económica y el Desarrollo («OCDE») en sus Guidelines on the Protection of Privacy and Transborder Flows of Personal Data(1), como un medio adecuado y razonable para la protección de datos, a los efectos de proporcionar una mejor y más segura gestión de los mismos, especialmente en los casos de flujos transfronterizos.
El término accountability hace por tanto referencia a la responsabilidad en la implantación de procesos de cumplimiento en materia de protección de datos, así como de mecanismos internos y externos para evaluar su fiabilidad y demostrar su efectividad cuando se solicite por las autoridades de control.
II. Significado constitucional de la responsabilidad proactiva: el responsable garante de derechos
La STCo número 292/2000 –EDJ 2000/40918- al definir el derecho fundamental a la protección de datos consideraba que su contenido esencial atribuía al interesado un haz de facultades que lo configuran como un derecho de tercera generación. Derecho caracterizado además por su naturaleza prestacional, en tanto que impone obligaciones positivas a los poderes públicos y a los sujetos de derecho privado responsables de los tratamientos. Por otra parte, es un derecho de naturaleza cualitativa protege lo que en otros lares se denomina informational privacy, esto es todo aquello que se pueda inferir mediante un tratamiento.
Todo ello confiere al afectado o titular de los datos personales un poder disposición que sólo es posible si existen ciertos deberes prestacionales del responsable del fichero. No es posible, en términos jurídicos, tratar un dato personal sin que se haya desarrollado una labor previa de diseño del tratamiento, evaluación de sus riesgos e impacto jurídico, diseño de su funcionamiento, implementación de la seguridad e inclusión en un registro de actividades del tratamiento, entre otras tareas.
Pero cabe ir más allá, los derechos del titular de los datos sólo pueden satisfacerse si la conformación del fichero es la adecuada, y ello comporta un riguroso cumplimiento de los principios del art.5 del Reglamento General de Protección de Datos (RGPD) -EDL 2016/48900-, y en particular la exigencia de veracidad y la de conservación de forma que se permita la identificación de los interesados. Por otra parte, cabe subrayar cómo el deber de seguridad, que implica un significativo esfuerzo material, cumple un papel fundamental en la garantía del derecho a la protección de datos.
Por tanto, cuando se trata de tutelar este derecho, no basta con operar de modo reactivo frente a posibles vulneraciones. Existe un conjunto de obligaciones de naturaleza preventiva ordenadas a tutelarlo incluso antes del momento de la recogida de la información y durante todo su ciclo de vida. Evidentemente esto sitúa al responsable del tratamiento ante la necesidad de satisfacer con carácter previo un conjunto de obligaciones de profundo calado.
En este territorio se sitúa ineludiblemente la STCo 96/2012 (BBVA-ADICAE) –EDJ 2012/98391- del Tribunal Constitucional. El origen de la controversia radica en la negativa a facilitar un requerimiento judicial de cesión de datos a ADICAE ofreciendo el banco un medio alternativo para lograr la finalidad solicitada por ADICAE sin que fuera necesaria una cesión masiva de datos. BBVA, propuso notificar la existencia de las acciones a todos los interesados mediante un procedimiento auditable, asumiendo los costes y en los términos que el Juzgado estimase oportuno. Evidentemente se trataba de un procedimiento capaz de obtener exactamente el mismo resultado buscado por el demandante sin necesidad de que este accediera a un elevado volumen de datos personales evitando además los riesgos de cumplimiento normativo vinculados a la cesión.
Recurrida en amparo la resolución judicial, el Tribunal Constitucional realiza una consideración muy interesante al reconocer, en el fundamento jurídico segundo de la sentencia, legitimación activa a BBVA:
«En definitiva, la demandante es titular del derecho a la tutela judicial efectiva e invoca un interés legítimo también en relación con esta queja, interés que efectivamente concurre, pues, sin perjuicio de que los datos personales objeto de cesión sean de la titularidad de las personas físicas a que se refieren, la entidad bancaria demandante de amparo es la titular de los ficheros en que se contienen esos datos y por ello la responsable de su adecuado tratamiento, uso y custodia, conforme a lo establecido en la Ley Orgánica de protección de datos de carácter personal (LOPD -EDL 1999/63731-), lo que conduce a rechazar la pretendida falta de legitimación de la demandante para recurrir en amparo, alegada tanto por la asociación ADICAE como por el Ministerio Fiscal».
El argumento es sencillo, por obvio, un responsable de fichero debe cumplir la LOPD -EDL 1999/63731- y si una resolución judicial le impide hacerlo vulnera su derecho a la tutela judicial efectiva en relación con sus deberes de cumplimiento normativo. En la sentencia en ningún momento se acude al concepto de accountability. Sin embargo, cuando el Tribunal Constitucional admite la legitimación activa de la entidad bancaria en cuanto que «titular de los ficheros» y responsable de un «adecuado tratamiento, uso y custodia» de los datos personales resulta difícil sustraerse a trasladar y relacionar este pronunciamiento con la idea de «responsabilidad general del responsable». Si admitimos como elemento legitimador la relación de naturaleza instrumental que vincula las obligaciones del responsable con la garantía última de los derechos del titular de los datos personales es ineludible considerar que, en un futuro, y partiendo de la STCo 96/2012 –EDJ 2012/9839-, esta responsabilidad posea una indudable relevancia constitucional.
Sin embargo, cabe insistir en sede de conclusiones, que esta responsabilidad no debería ir más allá de un cumplimiento normal de los deberes legales que se imponen en esta materia. Pero a la vez, que define una nítida posición de quienes traten datos personales como garantes de los derechos de los interesados en el contexto del concreto tratamiento realizado. Y esta interpretación, puede sustentarse materialmente en las distintas obligaciones que establece el Reglamento General de Protección de Datos, pero muy significativamente en las vinculadas al análisis de riesgos y a la notificación de violaciones de seguridad. Así, el responsable debe tomar en consideración «los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas», y deberá notificar una violación de la seguridad cuando «constituya un riesgo» o «entrañe un alto riesgo», para los derechos y las libertades de las personas físicas
III. Del diseño de un plan a la prueba del cumplimiento normativo
En su documento sobre accountability el antiguo Grupo de Trabajo del art.29 (el GT29)(2) señalaba la dificultad de incorporar a otras lenguas europeas un término procedente del mundo anglosajón. Para el GT29 «el término apunta sobre todo al modo en que se ejercen las competencias y al modo en que esto puede comprobarse», y sitúa su sentido en un contexto de «gobernanza». El documento incorporaba una lista «ilustrativa» de actividades necesarias para lograr tales objetivos:
«• establecimiento de procedimientos internos previos a la creación de nuevas operaciones de tratamiento de datos personales (revisión interna, evaluación, etc.);
• establecimiento de políticas escritas y vinculantes de protección de datos que se tengan en cuenta y se valoren en nuevas operaciones de tratamiento de datos (p.ej., cumplimiento de los criterios de calidad de datos, notificación, principios de seguridad, acceso, etc.) que deben ponerse a disposición de las personas interesadas;
• cartografía de procedimientos que garanticen la identificación correcta de todas las operaciones de tratamiento de datos y el mantenimiento de un inventario de operaciones de tratamiento de datos;
• nombramiento de un funcionario de protección de datos y otras personas responsables de la protección de datos;
• oferta adecuada de protección de datos y formación a los miembros del personal; esto debe incluir a los procesadores (o responsables del proceso) de datos personales (como los directores de recursos humanos) pero también a los administradores de tecnologías de la información, conceptores y directores de unidades comerciales; deben asignarse recursos suficientes para la gestión de la privacidad, etc (...);
De algún modo, el RGPD incorpora las dos dimensiones de la accountability. Primero, la capacidad de probar el cumplimiento normativo en el art.5.2 cuando se afirma que «el responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 (los principios de protección de datos) y capaz de demostrarlo». En segundo lugar, definiendo el conjunto de acciones a deberán ser implementadas y que se definen como obligaciones generales del responsable del tratamiento y encargado del tratamiento en su Capítulo IV.
Desde un punto de vista práctico, el cumplimiento del objetivo de la responsabilidad proactiva reconduce a un modelo que ha alcanzado una cierta madurez en otros ámbitos del Derecho, pero que sobre todo se corresponde con estándares bien conocidos por el sector de la privacidad(3).
Estos modelos se basan en el denominado Ciclo o Circulo de Deming utilizado en procesos de calidad que presupone una dinámica actuaciones durante el ciclo de vida de un servicio o producto para planificar su calidad y adoptar estrategias de mejora continua. Si tomamos este modelo como punto de partida, se consideran cuatro fases denominadas (PDCA-Plan, Do, Check, Act) que implican planificar las acciones (P), implementarlas (D), verificar la consecución de los objetivos propuestos (C) y aprovechar la retroalimentación obtenida para mejorar la planificación (A). Si trasladamos estos requerimientos al Reglamento General de Protección de Datos, podremos apreciar su presencia en la regulación:
(P) Planificación.
En esta fase el responsable, y en su caso el encargado, deben adoptar un conjunto de estrategias bien definidas por el Capítulo IV del RGPD -EDL 2016/48900- cuyo artículo inicial obliga a aplicar «medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme» con el propio Reglamento, y puestas en valor en el Considerando 74 de la Exposición de Motivos.
Desde un punto de vista práctico, es necesario distinguir dos supuestos diferenciados:
▪ Los tratamientos preexistentes al RGPD -EDL 2016/48900-.
▪ Los nuevos tratamientos que desarrolle una organización.
Aunque sobre unos y sobre otros se proyecten los mismos deberes, en el primer caso, la labor predominante a desarrollar es de inventario, revisión y adaptación, mientras que en el segundo se trata de una tarea que implica un diseño ex novo.
Ello no excluye, sin embargo, el desarrollo de protocolos específicos de gestión. En este sentido, no puede desconocerse la existencia de tratamientos que por su naturaleza, sensibilidad o complejidad puedan ser objeto de protocolización. A título de mero ejemplo
▪ La videovigilancia a gran escala de amplios espacios, como campus, complejos gubernamentales, grandes superficies.
▪ La aplicación de controles empresariales de la actividad laboral, y en particular la geolocalización o el uso o trazabilidad de dispositivos de uso híbrido BYOD (Bring Your Own Device) o que afecten al derecho a la desconexión laboral.
▪ La gestión de servicios de salud y la de la prevención de riesgos laborales.
▪ Las actividades de marketing a gran escala o basadas en el profiling.
Debe considerarse por tanto en esta fase, la necesidad de realizar un esfuerzo complementario de protocolización de tratamientos específicos.
(D) Implementación.
Del proceso de análisis debe surgir un plan de acción que conduzca a aplicar en la realidad práctica el diseño previamente establecido. En este sentido, debe considerarse que la accountability implica un conjunto de esfuerzos adicionales imprescindibles para su éxito.
En primer lugar, debemos entender que nos encontramos ante un proceso ineludible de gestión del cambio. Estos procesos suelen ser dolorosos y generar mucho rechazo, particularmente en las administraciones públicas. En este sentido, las organizaciones no deben considerar es proceso de cambio como un coste sino como una inversión que produce retornos en términos de mejora de procesos, calidad de la información, seguridad y confianza de los interesados. Por otra parte, implica un proceso de formación orientada a un conocimiento profundo de las estrategias desarrolladas por la organización y a un compromiso activo de las personas con la privacidad.
(C) Mantenimiento y retroalimentación.
El proceso de gestión de cumplimiento del RGPD requiere de un proceso de monitorización constante. En el propio RGPD -EDL 2016/48900- podemos identificar al menos tres tipos de actividad que claramente se ordenan a la satisfacción de este objetivo:
▪ El registro de actividades del tratamiento
(82) Para demostrar la conformidad con el presente Reglamento, el responsable o el encargado del tratamiento debe mantener registros de las actividades de tratamiento bajo su responsabilidad. Todos los responsables y encargados están obligados a cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos registros, de modo que puedan servir para supervisar las operaciones de tratamiento.
Desde el punto de vista de la accountability el registro de actividades del tratamiento debería cumplir con tres misiones esenciales:
a) Vertebrar los procesos de gestión de un tratamiento desde antes de su nacimiento.
b) Operar como un instrumento de seguimiento y control durante la vida del tratamiento.
c) Servir a la autoridad de protección de datos, a cuya disposición deberá estar cuando lo solicite, como herramienta de verificación de la diligencia del responsable o el encargado.
▪ Las tareas de auditoría.
Aunque no exista una definición de auditoría, esta puede entenderse como el «proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento», al que se refiere el art.32.1.d) del Reglamento General de Protección de Datos -EDL 2016/48900-. Este concepto, presente en distintos momentos de la regulación, desde la acreditación de la calidad del encargado, pasando por las funciones del delegado de protección de datos, o la regulación de los códigos de conducta, no cuenta con un artículo o un considerando específico, que los regule.
Ello, no obstante, de una interpretación sistemática de la práctica habitual y los estándares preexistentes, cabe considerar ciertos elementos clave para una adecuada consecución del objetivo de acreditar responsabilidad proactiva:
a) Debe realizarse a intervalos regulares y programados por la organización. Nuestra tradición nacional los cifraba usualmente en periodos de dos años. El cambio que opera el RGPD -EDL 2016/48900- consiste en no condicionar dicha obligación a la naturaleza de los datos personales, la finalidad de su tratamiento o el nivel de seguridad atribuido al sistema. Cabe pensar que, esta obligación se extenderá a cualquier tratamiento, aunque su frecuencia, intensidad y alcance pueda hacer depender del análisis de riesgos previamente realizado.
b) Deberá realizarse con posterioridad a la implantación de cambios esenciales en el sistema de información.
c) Es un proceso que debería seguir prácticas estandarizadas y ser realizado por profesionales internos o externos bajo condiciones de independencia objetiva, no guardar relación con el diseño, gestión e implementación del sistema de información, y funcional respecto de la estructura de la organización.
d) No debe limitar su alcance a aspectos puramente tecnológicos, -la seguridad-, sino extenderse a los jurídicos, -adaptación del sistema a las exigencias del ordenamiento-, y organizativos incluida la formación del personal.
En el caso de las administraciones y el sector público, referidos por el art.77.1 de la LOPDyGDD -EDL 2018/128249-, la disposición adicional primera de esta Ley obliga a aplicar el Esquema Nacional de Seguridad y además se produce un efecto arrastre respecto de los terceros que presten un servicio en régimen de concesión, encomienda de gestión o contrato. En tales casos corresponderá, aplicar los criterios del ENS(4).
▪ Los controles periódicos y la gestión de incidencias.
Por último, el desarrollo e implementación de controles periódicos y las lecciones aprendidas en la gestión de incidencias de cualquier naturaleza servirán para un adecuado mantenimiento del nivel de cumplimiento de los sistemas de información en cualquiera de sus dimensiones.
(A) Mejora continua.
Los tres elementos destacados en la sección anterior, -la gestión del registro de actividades del tratamiento, la auditoría (y las recomendaciones y conclusiones de auditoría), y la gestión y resolución de incidencias-, aportarán información necesaria para tomar decisiones que impulsen procesos de mejora continua en el cumplimiento. Dicha mejora debe ser impulsada teniendo en cuenta elementos externos adicionales como:
a) Los cambios normativos específicos o sectoriales.
b) La jurisprudencia, y muy particularmente la del Tribunal de Justicia de la Unión, el Tribunal Constitucional, el Tribunal Supremo y la Audiencia Nacional.
c) Las Guidelines y los criterios fijados por el Comité Europeo de Protección de Datos en virtud del mecanismo de coherencia contemplado en el artículo 63 del RGPD.
d) Los informes, resoluciones y guías de las autoridades de protección de datos.
e) Los criterios que puedan derivarse de códigos de conducta y mecanismos de certificación.
f) Las recomendaciones relevantes de instituciones específicas como ENISA(5) o INCIBE(6).
IV. La formación como herramienta estratégica
Un pilar básico para la accountability es sin duda la formación. En protección de datos las estrategias formativas deben tener en cuenta la necesidad de acceder de modo integral, y a la vez capilar, al conjunto de la organización. En este sentido, las necesidades varían en virtud de la condición concreta del puesto y el perfil de los usuarios.
Los modelos tradicionales de formación continuada voluntaria resultan altamente ineficientes cuando su destino es la formación estratégica al conjunto de la plantilla. En la mayor parte de formatos se opta por procedimientos basados en los modelos tradicionales de enseñanza del Derecho cuya eficiencia resulta dudosa. Conocer el articulado de una normativa compleja, no mejora generalmente en nada las capacidades de un personal del que, en la práctica, se requiere que apliquen un conjunto de conductas muy específicas y sean capaces de contactar con las figuras a las que se atribuye el soporte en la organización, como el delegado de protección de datos.
Además, las fórmulas de aprendizaje tradicional no «empoderan» al usuario. Y la realidad material de las políticas de protección de datos personales obligan a un compromiso activo. «No protegemos datos, protegemos personas». El usuario de nuestros sistemas de información debe ser capaz de entender cómo una carencia de calidad en los tratamientos puede afectar al derecho a una beca o subvención, como una inadecuada publicación en internet puede poner en riesgo a un menor o generar discriminación, o los costes de una brecha de seguridad.
Un enfoque basado en la concienciación y el empoderamiento exige ser capaces de formular preguntas y de responder a las necesidades y curiosidades del usuario. ¿Qué significa e implica la transformación digital? ¿Para qué sirve la seguridad? ¿Por qué tratamos los datos? ¿Cuándo podemos tratarlos? ¿Qué derechos tenemos en protección de datos? ¿Cómo debemos tratar los datos? Sin perjuicio de ello, la formación debe realizarse a medida de la organización. No es lo mismo un entorno local, que un sistema de salud o una universidad. Siempre se requiere un ajuste en los ejemplos de un modelo que debe renunciar al acartonamiento jurídico y adecuarse al perfil funcional de los destinatarios.
Sin embargo, no es suficiente. Es necesario desarrollar una estrategia multinivel que estratifique la formación añadiendo dos niveles adicionales:
1.-El nivel directivo: Consejero Delegado y su equipo, los Gobiernos, Consejos de Gobierno o dirección, o los miembros de las corporaciones locales.
Si el liderazgo de la organización no se compromete con una formación en esta materia difícilmente la protección de datos personales permeará el conjunto de la organización. La gestión del cambio que plantea esta materia, obliga a una formación estratégica ordenada no sólo a conocer lo básico, sino también a entender la protección de datos como inversión, y a poner en valor sus retornos, a entender que afrontamos procesos de gestión del cambio.
2.-Los cuadros intermedios.
Necesitamos formar a cuadros directivos intermedios. Se trata de que los cuadros directivos, sean capaces de conocer la regulación con un cierto grado de detalle. Ello, debería permitirles asumir responsabilidades a la hora de ejecutar decisiones en la materia. Esta estrategia permitirá sin duda que estos cuadros operen como correas de transmisión que aseguren que las recomendaciones del delegado de protección de datos y del responsable de seguridad, y que las decisiones del responsable del tratamiento se trasladen a la realidad de modo eficaz. Asimismo, les convertirá en usuarios cualificados capaces de transmitir y reportar incidencias o nuevas necesidades.
V. La responsabilidad proactiva un cambio de cultura jurídica: la iteración y el trabajo interdisciplinar: un nuevo reto cultural para los juristas
Los usuarios empoderados esperan que su delegado de protección de datos, que su soporte jurídico, baje al campo y se embarre las manos. Necesitan de algo más que el asesor distante. Conocen el rol corresponde al equipo de cumplimiento normativo, y esperan un trabajo colectivo y armonizado. Exigen que el soporte de cumplimiento descienda de los cielos, que entienda como se gestiona un proyecto, como se programa, y que sepan qué significa «iterar».
Como se ha señalado la responsabilidad proactiva implica una acción positiva previa ordenada a proporcionar condiciones adecuadas y favorables al cumplimiento normativo. Para conseguir este objetivo es necesario acompañar día a día los procesos de desarrollo de un tratamiento desde que alguien tiene la idea hasta que finalmente se aprueba y pasa a producción. Y esos procesos son dinámicos y cambiantes. Para esta tarea no sirve por tanto el abogado anclado en la vieja idea del informe jurídico centrado en el análisis dogmático de la Ley. Y mucho menos, la soberbia del profesional que espera que el equipo siga sus dictados como si de una ley mosaica escrita en piedra se tratara. La tarea del jurista moldeará las condiciones de cumplimiento en cada hito del proceso hasta llegar a un resultado final.
Pero esta flexibilidad adaptativa afecta a todo el equipo. Un proceso accountable, basado en los principios de la protección de datos desde el diseño y por defecto exige que los responsables del negocio entiendan la privacidad como una inversión, y no cómo un obstáculo, y que renuncien a la tentación de seguir atajos en el diseño. Se acabó ya el tiempo de «romper cosas».
Por último, los programadores deben rechazar de plano su inveterada reactividad ante la norma. O entendemos que el programador codifica el derecho en las entrañas del sistema o nuestros esfuerzos estarán condenados a la melancolía.
El mundo que llega, el de la transformación digital, la inteligencia artificial y la internet de los objetos, será multidisciplinar o no lo será. Los datos se usarán para el bien común en entornos respetuosos con el Derecho. Y la accountability nos muestra algo más que ciertas lecciones aprendidas para el diseño de sistemas de información, nos recuerda que si no respetamos los elementos estructurales básicos que garantizan nuestro derecho a una vida privada, nuestro sistema de libertades estará en peligro.
NOTAS:
1.- Disponible 03/02/2019 en: http://www.oecd.org/sti/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm
Véase la versión revisada. OECD Privacy Guidelines en http://www.oecd.org/internet/ieconomy/privacy-guidelines.htm
2.- Grupo de Trabajo del art.29. Dictamen 3/2010 sobre el principio de responsabilidad. Doc. 00062/10/ES GT 173, disponible (02/12/2018) en https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/index_en.htm.
3.- Así en materia de Gobernanza, puede citarse la metodología COBIT (Objetivos de Control para Información y Tecnologías Relacionadas) de ISACA, la norma ISO/IEC ISO 38500 (Corporate governance of information technology.) o los Principios de Gobierno Corporativo de la OCDE, (disponibles 02/12/2018 en https://read.oecd-ilibrary.org/governance/g20-ocde-principios-de-gobierno-corporativo_9789264259171-es#page7.
En el ámbito de la seguridad puede citarse la serie ISO/IEC 27000. Y en el plano nacional el ejemplo de la Guía CCN-STIC 804, de implantación del ENS y la herramienta PILAR que incluye un módulo de cumplimiento que permite a las administraciones verificar los requisitos establecidos en el RGPD -EDL 2016/48900-, facilitando la gestión normativa tanto del Reglamento como del Esquema Nacional de Seguridad.
4.- Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. «BOE» núm. 25, de 29/01/2010. Versión consolidada (02/12/2018) disponible en https://www.boe.es/buscar/act.php?id=BOE-A-2010-1330&p=20151104&tn=1.
5.-https://www.enisa.europa.eu/topics/data-protection?tab=publications
6.- https://www.incibe.es/protege-tu-empresa/rgpd-para-pymes
Este artículo ha sido publicado en la "Revista de Jurisprudencia", el 1 de mayo de 2019.
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación