A la hora de impulsar el cumplimiento legal vemos que las organizaciones se decantan por dos tipos de sistemas. Por un lado están las que optan por un sistema reactivo de cumplimiento. En esta estrategia la organizacioón lleva a cabo lo mínimo indispensable para adaptarse a la normativa que le sea de aplicación. Para estos sistemas las leyes ideales son quellas que describen con mucho detalle qué hacer y cómo hacerlo. El problema de estos sistemas es que sólo piensan en el aquí y ahora, por lo que viven los cambios de forma traumática, ya que siempre implica un desajuste entre la realidad de la organización y la gestión de sus obligaciones y derechos.
Por otro lado tenemos los sistemas proactivos, que impulsan el cumplimiento legal de forma preventiva. Las organizaciones que lo adoptan tienden a tener un compromiso más amplio con las leyes y la sociedad, ya que asumen el cambio como algo altamente probable frente a lo que hay que estar preparados, por lo que se preparan para todos los escenarios probables. De esta manera se gestionan los riesgos con mayor naturalidad y anticipación. Además son capaces de evidenciar que hicieron todo lo posible para prevenir cualquier tipo de irregularidad o infracción.
El Reglamento General de Protección de Datos ha querido impulsar este enfoque, obligando a responsables y encargados de tratamiento de datos personales no sólo a garantizar el cumplimiento de la normativa, sino también a estar en condiciones de demostrar que cumplen en cualquier momento, y no sólo tras pasar un proceso de auditoría.
A este enfoque lo denominamos principio de accountability o rendición de cuentas en la protección de datos de carácter personal.
En RGPD encontramos numerosas manifestaciones de dicho principio. Destacamos seis:
1.- La aplicación de la privacidad desde el diseño y por defecto.
2.- La evaluación de impacto y la consulta previa a los afectados.
3.- La autonomía y responsabilidad de la organización de definir las medidas de seguridad. técnicas y organizativas.
4.- La gestión de las incidencias y brechas de seguridad.
5.- El nombramiento de un Delegado de Protección de Datos.
6.- La adhesión a códigos de conducta y certificaciones.
En los próximos artículos iremos viendo cada una de estas manifestaciones con más detalle, y cómo se ponen en práctica en el día a día de cualquier organización.
