El modelo de gobernanza de protección de datos contemplado en el RGPD y reafirmado en la LOPDGDD recoge en gran medida similitudes con las técnicas de compliance, en el sentido de transformar el modelo de gestión y protección de los datos personales de carácter reactivo, basado en la inscripción de ficheros ante la autoridad de control, a introducir un modelo de autogestión proactivo en el que exponemos a continuación 5 ejes que encuentran una vertebración común con el Compliance
1.- Modelo de responsabilidad proactiva
Establece el RGPD en su Considerando 74 que el responsable del tratamiento debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el Reglamento, incluida la eficacia de las medidas. Medidas que deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas físicas.
Es decir, el responsable, como máximo garante del cumplimiento normativo del modelo de protección de datos, deberá articular tanto medidas organizativas como de funcionamiento que aseguren el mismo, y además, deberá estar en condiciones de acreditar la conformidad de sus políticas internas con el marco legal. Precisamente, como eje de este principio de responsabilidad proactiva, se erige el Registro de Actividades de Tratamiento en el que se inscribirá toda la información relativa a dichos tratamientos.
2.- Gestión de riesgos
Si por algo se caracteriza el Compliance es por su directa conexión con una adecuada política de gestión de riesgos, pasando de un mapeo de los mismos al establecimiento de los diferentes instrumentos que resulten necesarios para reaccionar frente a ellos en función de su graduación, en el marco de una robusta seguridad de los datos. Gestión de riesgos inherente a los tratamientos que exige el modelo de protección de datos y de su privacidad, partiendo no sólo de la necesidad de llevar a cabo los correspondientes análisis de riesgos, sino también las respectivas evaluaciones de impacto, para valorar la particular gravedad y probabilidad del alto riesgo, teniendo en cuenta la naturaleza, ámbito, contexto y fines del tratamiento y los orígenes del riesgo y la gestión de cualquier incidente de seguridad.
3.- Sistema de denuncias internas
El artículo 24 LOPDGDD recoge la configuración de los sistemas de información de denuncias internas, piedra angular de los sistemas de Compliance. Establece que será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable.
A efectos de la protección del denunciante, deberán adoptarse las medidas necesarias para preservar la identidad y garantizar la confidencialidad de los datos correspondientes a las personas afectadas por la información suministrada, especialmente la de la persona que hubiera puesto los hechos en conocimiento de la entidad, en caso de que se hubiera identificado. Llama la atención la afirmación de que los principios recogidos en este precepto serán aplicables a los sistemas de denuncias internas que pudieran crearse en las Administraciones Públicas.
4.- Códigos de conducta y mecanismos de certificación
El modelo RGPD apuesta por la promoción de los códigos de conducta como una herramienta destinada a contribuir a la correcta aplicación del marco legal, códigos que en nuestro país serán aprobados por la Agencia Española de Protección de Datos o, en su caso, por la autoridad autonómica de protección de datos competente. La posibilidad de adhesión a estos códigos representa la asunción, voluntaria de un determinado estándar de actuación, y, además, la sujeción a la obligación de someter al organismo o entidad de supervisión las reclamaciones que les fueran formuladas por los afectados en relación con los tratamientos de datos incluidos en su ámbito de aplicación en caso de considerar que no procede atender a lo solicitado en la reclamación, sin perjuicio de lo dispuesto en el artículo 37 LOPDGDD respecto al DPD.
Asimismo contempla la creación de mecanismos de certificación como vía para acreditar el cumplimiento en materia de protección de datos y de sellos y marcas de protección como herramientas de cumplimiento normativo en las operaciones de tratamiento.
5.- Delegado de Protección de Datos
Ya he expuesto reiteradamente las similitudes entre el Compliance Officer y el Delegado de Protección de Datos (¿Puede el Delegado de Protección de Datos ser también el Compliance Officer?),caracterizados ambos como oficiales de cumplimiento normativo, pero también de asesoramiento, desde la perspectiva de una figura que actúa, en positivo, desde una posición de supervisión y, en su caso, también, como órgano que interviene en las eventuales reclamaciones, según la configuración dada al mismo por la LOPDGDD.
El estatuto que legalmente tiene reconocido tanto por el RGPD como por la normativa interna, las características en la definición de su perfil profesional y las tareas asignadas perfilan a la figura del DPD todavía en una posición de mayor refuerzo que la del Compliance Officer, sin perjuicio de la posibilidad de optar por un modelo diferenciado respecto a estas figuras.
En definitiva, la tendencia abierta por las técnicas de compliance, de autogestión de la responsabilidad corporativa, no hace sino consolidarse y permeabilizarse en el RGPD y, por extensión, en la LOPDGDD, acompañada de un severo régimen sancionador, del que están excluidas las Administraciones Públicas, y que aconseja una revisión en profundidad del modelo de protección y gestión de datos personales para enriquecer los programas de compliance ya aprobados o los proyectos en elaboración.
