Accountability

Hoy pretendemos explicar a los mortales este anglicismo que se va a poner muy de moda con la aplicación del reglamento europeo de protección de datos.

 

“Accountability” es lo mismo que “Responsabilidad Proactiva” y equivale a “rendición de cuentas”.

Siguiente pregunta….¿qué es rendición de cuentas?, pues en modo resumen significa que a partir de ahora eres responsable del cumplimiento de la normativa y de ser capaz de demostrarlo.

 

Por lo tanto el 25 de mayo de 2018 debes estar perfectamente adecuado en cumplimiento a lo establecido en el reglamento europeo y a requerimiento de la Autoridad de Control deberás ser capaz de demostrar ese cumplimiento para lo cual el reglamento establece una serie de herramientas, todas ellas encaminadas a demostrar ese cumplimiento.

 

Deberías tener un registro de actividades, que si bien no es obligatorio en todos los casos es muy necesario como punto de partida para saber de qué datos estamos tratando. Este registro de actividades es muy parecido a lo que veníamos haciendo en el documento de seguridad cuando describíamos los ficheros y sus principales características.

 

Por otro lado deberás tener documentadas las medidas de protección de datos desde el diseño y por defecto, lo que implica por un lado desarrollar tratamientos bajo las premisas del reglamento desde que se diseña y revisarlo mientras lo realices y por defecto, aplicando siempre pensando en el interesado ofreciéndole garantías de confidencialidad y seguridad adecuadas.

 

Deberás aplicar medidas de seguridad adecuadas a cada tratamiento, pero estas ya no están detalladas ni por niveles de seguridad ni como mínimos exigibles, sino que atendiendo a los posibles riesgos que se deriven de cada tratamiento deberás aplicar las medidas que consideres oportunas para garantizar en todo momento la seguridad, la integridad y la confidencialidad de los datos con los que trabajas.

Esos riesgos pueden ser: discriminación, suplantación de identidad, pérdidas financieras, pérdida de confidencialidad, La destrucción de datos, Pérdida o alteración accidental o ilícita de los datos personales en la transmisión, otros problemas derivados de la conservación o tratamiento La comunicación o accesos no autorizados a los datos.

 

En algunos casos concretos habrá que realizar evaluaciones de impacto a la protección de datos

  • Si elaboras perfiles sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas.
  • Si realizas tratamiento a gran escala de datos sensibles.
  • Si tu actividad principal es la observación sistemática a gran escala de una zona de acceso público.

 

 

Una evaluación de impacto es en palabras de la AEPD un análisis de los riesgos que un producto o servicio puede entrañar para la protección de datos de los afectados y, como consecuencia de ese análisis, la gestión de dichos riesgos mediante la adopción de las medidas necesarias para eliminarlos o mitigarlos.

 

 

La existencia de un DPO contribuye a la hora de rendir cuentas y será una herramienta que te ayude a garantizar tu cumplimiento del reglamento ya que su trabajo consistirá en hacerte cumplir.

 

Por último deberás elaborar un procedimiento de comunicación de violaciones de seguridad ya que a partir de ahora cuando detectes una brecha de seguridad y en función de su gravedad y en la medida en que suponga un riesgo para los derechos y las libertades de las personas físicas, deberás comunicarlo a la Autoridad de Control a mas tardar en 72 horas y llegado el caso a los propios interesados.

 

Si cumples con todo esto y el resto de principios del reglamento, casi con total seguridad podrás adherirte a un código de conducta sectorial de cumplimiento en materia de protección de datos o bien certificarte como empresa que cumple con dichas obligaciones para apuntalar definitivamente como Responsable Proactivo.

 

 

(A fecha de hoy no existen códigos adecuados al nuevo reglamento ni tampoco hay noticas sobre certificaciones, en cuanto asomen os informaremos)