Por: Nelson Remolina Angarita (03-II-2015)
Recientemente se publicó para discusión un borrador de lo que podría convertirse en la futura Consumer Privacy Bill of Rights Act of 2015 de los Estados Unidos de Norteamérica. Este texto fué precedido de otro de 2012 titulado “Consumer data privacy in a networked world: a framework for protecting privacy and promoting innovation in the global digital economy”
Los dos documentos contienen buenas prácticas que podrían ser complementarias a las herramientas de la regulación Iberoamericana para promover un mayor grado de debido tratamiento de los datos personales junto con la innovación y el desarrollo económico. Algunas de dichas prácticas datan de 1980 y continúan siendo importantes y relevantes para que se implementen adecuadamente. Una de ellas es, precisamente, el principio de accountability (Sec 107 del proyecto), el cual ha sido incluido en la regulación colombiana en los artículos 26 y 27 del decreto 1377 de 2013.
Según la propuesta de reglamentación, cada entidad debe adoptar las medidas pertinentes para mitigar los riesgos asociados con la privacidad y el tratamiento de datos personales de manera que asegure el cumplimiento de sus obligaciones legales. Esto significa que las organizaciones deben, entre otras, hacer lo siguiente: (1) Capacitar a su equipo humano respectos de todo lo relacionado con el tratamiento de datos personales; (2) Realizar evaluaciones independientes respecto de las medidas que ha adoptado para garantizar un debido tratamiento de los datos personales; (3) Diseñar sus procesos y aplicaciones teniendo en cuenta el principio de privacy by desing; y (4) Obligar a cualquier persona a tratar los datos conforme a la ley y las reglas de la organización.
El principio de accountability demanda menos retórica y mas acción en el cumplimiento de los deberes que imponen las regulaciones sobre tratamiento de datos personales. El éxito del mismo dependerá del compromiso real de los líderes de las organizaciones -Presidentes y miembros de Juntas Directivas- ya que sin su apoyo decidido todo esfuerzo será insuficiente para diseñar, implementar, revisar, actualizar y evaluar los PROGRAMAS DE GESTIÓN DE DATOS de las empresas y las entidades públicas (responsables del tratamiento de datos en general). Es necesario destinar recursos –económicos y humanos– para esta labor y poner a trabajar armónicamente varias dependencias de la organización ya que esto no es sólo un tema jurídico sino ante todo una cuestión de gestión gerencial ý estratégica de gobierno corporativo.
Dicho principio –accountability– fue incluido en la Resolución de Madrid de 2009 bajo el nombre de “Responsabilidad”. El mismo exige a los responsables y encargados del tratamiento: (i) Adoptar medidas apropiadas para cumplir sus obligaciones legales, y (ii) Estar en capacidad de evidenciar el correcto cumplimiento de sus deberes. Para el efecto, deben contar con mecanismos idóneos que les permitan probar lo anterior ante las autoridades y los titulares de los datos.
La OECD incorporó el -accountability principle- en sus directrices de 1980 estableciendo que el responsable del tratamiento -data controller- tiene el deber de adoptar las medidas necesarias para cumplir efectivamente sus directrices sobre protección de la privacidad y flujos transfronterizos de datos personales de la decada de los años ochenta.
En 2013 se revivió con fuerza y pautas concretas el -accountability principle- con ocasión de la revisión de los principios de la OCDE. Dentro de las novedades del “OECD privacy framework de 2013” se incluye la creación de los Programas de gestión de Privacidad -Privacy management programmes- como el mecanismo operativo a través del cual las organizaciones implementan la protección de la privacidad y el tratamiento de los datos personales. Allí se establecen en la parte 3 los deberes a cargo de los responsables del tratamiento para implementar adecuadamente el accountability principle.
El principio de accountability no es novedoso en el contexto Iberoamericano ya que fue analizado en el año 2006 por la Red Iberoamericana de Protección de Datos (RIPD). En aquel entonces se expidió un documento sobre autorregulación y protección de datos personales de la RIPD que guarda cercana relación con el accountability principle en la medida que la materialización del mismo depende, en gran parte, de lo que internamente decidan hacer las organizaciones. En otras palabras, dicho principio se engloba dentro del concepto de autorregulación y desde esa perspectiva es necesario tener presente lo siguiente que plantea la RIPD:
- “La autorregulación sólo redundará en beneficio real de las personas en la medida que sea bien concebida, aplicada y cuente con mecanismos que garanticen su cumplimiento de manera que no se constituyan en meras declaraciones simbólicas de buenas intenciones sin que produzcan efectos concretos en la persona cuyos derechos y libertades pueden ser lesionados o amenazados por el tratamiento indebido de sus datos personales”.
- “Resultad imprescindible que los instrumentos de autorregulación estén acompañados de herramientas que los hagan eficaces. Dentro de estos mecanismos se sugieren los siguientes: (1) Establecer medios ágiles, efectivos y gratuitos en caso de inobservancia del código para que la persona no sólo exija el respeto de sus derechos y libertades sino que se convierta en un “fiscalizador” de la gestión del administrador de sus datos personales (2) Consagrar mecanismos de control interno y externo de verificación del cumplimiento de los códigos, y (3) Prever sanciones por el incumplimiento de los códigos”
- “Las medidas de autorregulación deben evaluarse desde dos perspectivas concomitantes: La objetiva y la funcional. La primera apunta de determinar si el contenido de los mismos consagra un valor añadido y si es acorde con la regulación local o, en caso de inexistencia de la misma, los principios internacionales sobre protección de datos que se han establecido en documentos emitidos por, entre otros, la ONU, la Unión Europea y la OCDE. La segunda, por su parte, busca establecer el nivel de efectividad práctica de dichas normas. Un análisis de los anteriores factores permitirá determinar el verdadero grado de contribución de los instrumentos de autorregulación a la protección de los datos personales.
- “Los instrumentos de autorregulación deben establecer mediante una redacción clara y accesible la política de protección de datos que van a aplicar a los tratamientos de datos personales (…). También deben recoger los procedimientos mediante los que se va a facilitar a los afectados el ejercicio de los derechos de acceso, rectificación, oposición y cancelación de los datos.
- “Se considera oportuno que se prevean fórmulas para evaluar periódicamente la eficacia de los instrumentos de autorregulación, midiendo el grado de satisfacción de los afectados y, en su caso, actualizando el contenido para adaptarlo a la normativa general o sectorial de protección de datos existente en cada momento.”
En síntesis, el reto de las organizaciones frente al principio de accountability va mucho más allá de la mera expedición documentos porque exige que se demuestre el cumplimiento real y efectivo de lo que dicen los mismos para que ellos no sean meros “saludos a la bandera” o simple “letra muerta“. Con este principio se quiere que tantas promesas sobre tratamiento de datos sean una realidad comprobable y no meros discursos sin aplicación práctica y concreta.