La diligencia en el nuevo RGPD

La diligencia como exigencia fundamental en el nuevo RGPD a los efectos de determinar la responsabilidad del responsable o encargado del tratamiento.

Publicado el 4 de mayo de 2016 el nuevo Reglamento europeo de Protección de Datos (RGPD), el próximo 25 de mayo de 2018 deberá estar plenamente implementado en las organizaciones y empresas, con carácter general.

Vamos a pasar de una cultura de cumplimiento de la legislación sobre protección de datos española, ya con casi dos décadas de funcionamiento, derivada de la Directiva básica europea (Ley 15/1999, de 13 de diciembre de protección de datos y Reglamento de desarrollo), a un nuevo ordenamiento común para el ámbito de la UE, que va a permitir una homogeneidad en el tratamiento legal de esta materia, que cada día adquiere más importancia para la protección de los derechos fundamentales de la persona.

El nuevo Reglamento cambia el modelo fundamental de protección de los datos de carácter personal existente, basado en una regulación que, sustancialmente, se fundamentaba en  describir lo permitido y lo no permitido, en el ámbito del tratamiento de datos, que se ha mostrado insuficiente ante el auge de las nuevas tecnologías y la capacidad expansiva de los tratamientos de datos con finalidades comerciales y de todo tipo, resultando, en la práctica, de insuficiente protección para la privacidad de los ciudadanos.

El nuevo modelo se fundamenta sustancialmente en atribuir a los agentes que pretenden tratar los datos personales una responsabilidad proactiva, en lugar de la responsabilidad reactiva, es decir deberán, con carácter previo, extremar la diligencia para evitar resultados contarios a los deseados para la debida protección de los intereses de los ciudadanos en el ámbito de su privacidad.

Esta actuación de diligencia deberá poder acreditarse y no sería aceptable una mera actuación formal. Así pues, se configura como una obligación del responsable o encargado del tratamiento y a los efectos de su evaluación, en supuestos de responsabilidad, podrá tenerse en cuenta la adhesión a mecanismos de certificación y códigos de conducta y esta actuación diligente podrá conducir a resultados de exención de responsabilidad.

La obligación se establece como un principio de “responsabilidad proactiva”. Ello implica que el responsable, además de adoptar las medidas exigidas para cumplir con los principios del tratamiento, estas “deben ser eficaces” y “debe poder demostrarlo” (considerando 74 del RGPD).

Para ello la actuación diligente, que debe acreditarse, no puede consistir en meras actividades estándares o formales. Un esquema de sus ejes de actuación debería tener en cuenta:

• Como responsabilidad proactiva, la actuación diligente debe ser previa al tratamiento, consistiendo en una autoevaluación, una prevención y reparación de los posibles defectos que pudieran detectarse con carácter previo.
• Esta autoevaluación deberá contemplar sustancialmente los siguientes aspectos:
  • La finalidad estricta del tratamiento.
  • La no utilización abusiva de los datos.
  • La exactitud de los mismos.
  • Tratar a los mismos de forma leal.
  • Atender de forma eficiente al deber de informació
  • El consentimiento del afectado.
  • El deber de secreto.
  • La cesión de datos personales.
  • Los encargados del tratamiento, distinguiendo a las prestaciones de servicios sin acceso a los datos.
  • La tutela efectiva de los derechos del afectado, más allá de los tradicionales derechos ARCO.
  • La transferencia internacional de datos y el soporte que la habilita.
  • La seguridad de los datos, con atención especial a la ciberseguridad, copias de respaldo que pudieran reaccionar ante eventuales pérdidas o infecciones, etc.
• Certificación y adhesión a códigos de conducta.
• Elaboración de mapas de riesgos, detectando el mero riesgo y riesgos de tipo mayor.
• Fomentando la cultura del cumplimiento.

Podemos tomar como referente el compliance penal recogido en el art. 31 bis del Código Penal, adoptado mediante la reforma de 2015 y en el cual se introducen previsiones de utilidad a los efectos de delimitar cuando concurre la diligencia adecuada para la posible atribución de responsabilidad penal de la persona jurídica, tras actuación diligente.

El apartado 2 prevé los requisitos de exención por delitos cometidos por representantes directivos:

1.ª el órgano de administración ha adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión;

2.ª la supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado ha sido confiada a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica;

3.ª los autores individuales han cometido el delito eludiendo fraudulentamente los modelos de organización y de prevención y

4.ª no se ha producido una omisión o un ejercicio insuficiente de sus funciones de supervisión, vigilancia y control por parte del órgano al que se refiere la condición 2.ª
En los casos en los que las anteriores circunstancias solamente puedan ser objeto de acreditación parcial, esta circunstancia será valorada a los efectos de atenuación de la pena.

En este nuevo modelo penal se prevé la responsabilidad penal de la persona jurídica por delitos cometidos por personas con mayores responsabilidades en la entidad o por las personas dependientes indebidamente controladas por aquellas estableciendo requisitos para que la diligencia pueda actuar como causa de exención penal de la persona jurídica y puede servir de referencia al objeto de abordar el modelo de compliance o responsabilidad proactiva establecido en el nuevo RGPD.

Así pues, podemos concluir que el Reglamento pretende que se anticipe el momento en que el responsable del tratamiento o encargado actúe con diligencia mediante este principio de responsabilidad proactiva, evitando los riesgos, atajarlos y disponer de la capacidad de acreditar esta actuación diligente.

Aun cuando los responsables obtengan certificación o estén adheridos a códigos de conducta, ello no va a significar su exención de responsabilidad y, únicamente, será tenido en cuenta para la calificación de la misma y, en ningún caso, podrá suplir la falta de diligencia requerida.

No obstante, en este caso, el responsable podría alegar la condición de tercero de buena fe en aquellos casos en que el responsable contrata con un encargado del tratamiento que reúne los requisitos de certificación y adhesión al código de buenas conductas.

La designación de un Delegado de Protección de Datos (DPO), en sí misma no produce la exención de responsabilidad, aunque va a ser posible su valoración a efectos de acreditar la diligencia el cumplimiento de los requisitos del Reglamento que se refieren a las cualidades profesionales y, en particular, a sus conocimientos especializados de Derecho.

Así pues la aplicación de este nuevo Reglamento va a suponer un progreso en cuanto a la protección en el tratamiento de los datos personales, aunque el carácter abierto del mismo, que traslada la responsabilidad inicial del cumplimiento del mismo al responsable o encargado, presenta nuevos retos en cuanto a su interpretación, a los que deberemos estar atentos en cuanto a las soluciones que se adopten por las autoridades de control  y la Jurisprudencia, ante las discrepancias y conflictos surgidos.

Pere Rius Alonso

Abogado

Asociado a ENATIC

TICJURIS ADVOCATS, SLP

Vic

www.ticjuris.com

https://www.linkedin.com/in/pere-rius-alonso-6b6ba516/