El cumplimiento efectivo del RGPD depende de todos.
-Al igual que ocurre en otros ámbitos, en el caso de la protección de datos personales el cumplimiento del Reglamento 2016/679 General de Protección de Datos (RGPD) y de la Ley Orgánica 5/2018 de 5 de diciembre, de protección de datos de carácter personal y garantía de los derechos digitales (LOPDGDD) requiere que la organización adopte medidas que involucren a quienes en el desarrollo de sus funciones diarias tratan datos personales. No hacerlo supone no ser consciente de la existencia de un riesgo, como consecuencia del desconocimiento de qué hacer cuando se tratan datos personales. Por tanto, adoptar e implementar un programa de cumplimiento en materia de protección de datos es un primer paso, que requiere de medidas como la formación de quienes tratan datos personales.
-La adopción de un programa de cumplimiento es una de las medidas, pero no la única, para cumplir con la normativa sobre protección de datos. Al respecto, es necesario tener en cuenta que el artículo 24 del RGPD, relativo a la responsabilidad del responsable, indica, en su apartado 2, que “cuando sean proporcionadas en relación con las actividades de tratamiento, entre las medidas mencionadas en el apartado 1 se incluirá la aplicación, por parte del responsable del tratamiento, de las oportunas políticas de protección de datos”.
-Es decir, el programa de cumplimiento en materia de protección de datos, que puede implementarse a través del desarrollo de la correspondiente política de protección de datos, no es suficiente por sí solo, sino que requiere comunicación y formación a quienes tratan datos personales. La responsabilidad proactiva, como nuevo principio y obligación en la normativa sobre protección de datos, implica que quien trata datos personales tenga que adoptar medidas para cumplir y ser capaz de demostrar, en todo momento, el cumplimiento.
-Al respecto, si se atiende a las guías, sobre diversas cuestiones, que ha publicado la Agencia Española de Protección de Datos (AEPD), puede comprobarse que, con respecto a la normativa derogada en 2018, desde el 25 de mayo de 2018 es exigible a quien trata datos personales que cumpla con la responsabilidad proactiva, de manera que es necesario pensar más allá del desarrollo e implementación de un programa de cumplimiento y pensar en quienes tratan los datos personales para el desarrollo de sus funciones en una organización.
-En concreto, la AEPD ha indicado que la responsabilidad proactiva implica que las organizaciones conozcan los tratamientos de datos personales y “exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo”. Se trata, además, de una cuestión relacionada con la obligación prevista en el RGPD relativa a que “El encargado del tratamiento y cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo podrán tratar dichos datos siguiendo instrucciones del responsable, a no ser que estén obligados a ello en virtud del Derecho de la Unión o de los Estados miembros”.
-Una acción específica y adecuada, que no es nueva, puede ser la formación de los empleados. En este sentido, ya el Grupo de Trabajo del Artículo 29, actualmente integrado en el Comité Europeo de Protección de Datos, indicó en su dictamen 3/2010 sobre el principio de responsabilidad (WP 173, adoptado el 13 de julio de 2010, que, en virtud del principio de responsabilidad proactiva, las “medidas y procesos puede también hacerse de modo eficaz mediante la atribución de competencias y mediante la formación del personal implicado en las operaciones de tratamiento”. Sin formación, que además debe ser periódica para, en su caso, asegurarse de que las personas que tratan datos personales conocen sus obligaciones y mantienen sus conocimientos actualizados; se corre el riesgo de que un programa de cumplimiento o una política de protección de datos no sean efectivos.
-Al respecto, pueden haberse desarrollado un programa de cumplimiento o una política de protección de datos que incluya todos los requisitos, pero si quienes tienen que cumplir con la misma no entienden su significado y alcance, pueden quedar en meras declaraciones de intenciones de la organización. Esto supondría, por una parte, un riesgo de incumplimiento y, por otra parte, que las medidas adoptadas no sean las adecuadas, por no haberse tenido en consideración que deben ir acompañadas de acciones específicas que tienen por objeto asegurar el cumplimiento. Olvidar a los empleados o a otras personas que intervengan en el tratamiento de datos personales, tales como colaboradores, implica un alto riesgo de incumplimiento en materia de protección de datos ya que si la persona no sabe qué es el derecho a la protección de datos personales y qué implica, puede que se vulnere, dando lugar a la existencia de responsabilidad a la organización.
-La formación en materia de protección de datos, tanto de quienes se incorporan a la organización como de quienes llevan, incluso, años tratando datos personales, es clave también para generar confianza de diversas partes. Entre otras, si hubiera accionistas, que se hayan adoptado medidas adecuadas será una cuestión relevante para considerar por estos, si se requiere una inversión, presente o futura. E incluso se trata también de una cuestión de competitividad, ya que la organización, en el caso del sector privado, puede marcar claras diferencias con su competencia a través de las medidas que aplica para asegurarse de que, por una parte, se cumple con la normativa aplicable y, por otra parte, se respetan los derechos fundamentales.