Modelos Compliance: Cumplimiento GDPR
Mucho se ha escrito, mucho se ha
oído y mucho se ha podido ver, incluyéndose a las respectivas autoridades de
control comentar respecto a cómo debería ser la adecuación y/o implementación
del nuevo marco regulador de protección de datos. Este artículo no pretende ir
más allá de mostrar mi humilde opinión jurídica en cuanto a lo que considero
una correcta aplicación del GDPR, la cual la supedito a la integración o
realización de los denominados modelos de compliance y, más concretamente, a la
posibilidad de integrar el modelo COSO e ISO 19600 que no son más que modelos
de control y gestión del riesgo, pudiendo partir, si se dispusiere, del Modelo
de Prevención de Delitos Penales a los que hace referencia el artículo 31 bis
del Código Penal.
Bajo mi interpretación del GDPR,
el cual es configurado de forma transversal, y centrándome en la
responsabilidad proactiva, dado que en virtud de la configuración enunciada,
los responsables de tratamiento deberán prima facie (sustantivo) asegurar la
correcta aplicación de los principios recogidos en el artículo 5 y
desarrollados mediante los requisitos y obligaciones contenidos en los
artículos 6 a 23, dando primacía al
principio de transparencia, información, consentimiento y derecho de los
afectados (garantizar el derecho de autodeterminación informativa). Sin
embargo, dicho derecho sustantivo (hardlaw) es completado, dentro del principio
de responsabilidad proactiva (Capítulo IV, especialmente, artículos 24 a 39)
mediante normativa softlaw y, considero que dicho cumplimiento está configurado
bajo los modelos de compliance.
La anterior afirmación la emito
porque de una lectura exhaustiva del artículo 24 GDPR se desprende que dicha
responsabilidad está basada en el principio de COMPLAIN & EXPLAIN: CUMPLE Y
EXPLICA, base de todo programa de cumplimiento normativo. Dicho artículo hace
mención expresa a términos como: riesgo, controles, políticas, etc. Por tanto
y, en virtud, de la configuración transversal, el GDPR obliga con carácter
general a establecer un modelo de compliance, el cual es desarrollado más
pormenorizadamente, a través de los siguientes artículos, en los cuales se
establecen especialidades en virtud del tipo de tratamiento de datos
personales. Por ello, las obligaciones formales y/o documentales, tales como el
Registro de Actividades de Tratamiento, no es el eje principal de una correcta
aplicación y garantiza el cumplimiento, dado que dicho RAT no es más que lo que
expresamente establece el propio GDPR (documento interno formal), pero no el
requisito determinante para demostrar y garantizar el cumplimiento afecto, tal
y como últimamente estoy cansado de escuchar a múltiples “consultoras.”
Comentado el precedente, qué
pretende el GDPR con la responsabilidad proactiva. Dado que los estados ya no
pueden garantizar el cumplimiento, no sólo en materia de protección de datos
sino en otros ámbitos del derecho a través del referido hardlaw pretenden
servirse de los distintos actores (empresas, administraciones públicas,
servicios, etc.), por así decirlo, para controlar el cumplimiento, dándoles
libertad para establecer un modelo o un proceso de cumplimiento (softlaw, el
cual es aceptado por la sociedad), en este caso, relacionado con la privacidad,
tomando como referencia cultura anglosajona (USA[i],
Reino Unido[ii])
pero también cultura europea (Alemania[iii])
respecto a los denominados cumplimientos normativos. Dicho softlaw,
principalmente y actualmente, toma como referencia marcos o normas
estandarizadas reconocidos internacionalmente[iv].
Entre dichos marcos y normas se encuentra el denominado marco COSO e ISO 19600
que, principalmente, recoge un proceso interno de gestión del riesgo y cómo
contralar el mismo.
Si efectuamos una extrapolación de
la finalidad del GDPR en cuanto a garantizar y acreditar la responsabilidad en
referencia al modelo COSO e ISO 19600, las similitudes son extraordinarias. El
GDPR, al igual que el modelo COSO (Coso I y III determinada el modelo, mientras
que COSO II indica cómo gestionar el riesgo) el cual es tomado como base en ISO
196000 de la misma forma que en otro tipo de ISO (calidad, medio ambiente, prevención
de riesgos, etc.), base su eficacia en los referidos modelos de cumplimiento.
Analicemos el GDPR en base a dicho modelo de gestión del riesgo: El GDPR
expresamente hace mención a las tres líneas de defensa de los modelos de
compliance: Medición del riesgo (mapa) y establecimiento de políticas y
controles a los riesgos; establecimiento y seguimiento de los controles;
monitorización y/o supervisión del modelo de cumplimiento. Las tres líneas
deben ser justificadas y documentadas, tanto en el supuesto de tratamientos que
no precisen EIDP como aquellos tratamientos que precisen de EIDP por el
carácter de alto riesgo en dicho tratamientos.
Ahora bien, como se pone lo
comentado en tierra, a nivel práctico, es decir, dicha libertad basada en un
modelo de compliance, cómo es operativo. Un modelo de cumplimiento GDPR se basa
en tres pilares: diseño, implementación y eficacia operativa y, dicho modelo no
se efectúa de la noche a la mañana y más, lamentándolo mucho, según está
configurado el propio GDPR puesto que el mismo obliga a analizar el riesgo en
virtud de operaciones, es decir, en virtud de la vida del dato (recogida, tipo
de fuente de procedencia, operaciones internas, comunicaciones y/o
transferencias, bloqueos, conservación, etc.) Relaciono el presente con las
famosas EIDP, dado que pudiere suceder que en el análisis del riesgo la
recogida no alcanzara un riesgo alto, pero la operación de comunicación a
terceros sí y, en ese caso, sería necesario dicha EIPD.
Centrándonos en el GDPR y como
base inicial, es obligatorio efectuar lo que se denomina mapeo de riesgos.
Existen varias fórmulas, pero centraré el mismo, en dos extremos: riesgo en
base a la actividad y el riesgo en base a los procesos. De dicho extremos, bajo
mi impresión, es más fácil efectuar y/o medir el riesgo en base a la actividad,
por lo tanto, en base a ella y a su afectación al responsable del tratamiento,
habrá que determinar qué riesgos asociados a la actividad pudieren ser afectos
en cuanto a la privacidad (tratamientos), dado que no es lo mismo una actividad
de un centro sanitario que la actividad de una PYME más allá del servicio que
presta, pero habrá que atender a las finalidades que se efectúan, puesto que
pudiere suceder que se efectúe en una PYME profiling o análisis de perfiles que
impliquen un aumento del riesgo y, por ende, un mayor seguimiento respecto a
los controles a establecer.
Una vez efectuado el mapeo de
riesgo y la matriz obtenida de dos coordenadas (riesgo y probabilidad), recomendando
establecer o documentar el proceso a implementar, es decir, la denominada
política de protección de datos; habrá que establecer los controles precisos a
dichos riesgos, los cuales deberían, igualmente, establecer o contener los
riesgos a las medidas técnicas y organizativas que se disponen (p.e. si disponemos de un riesgo
asociado al acceso al sistema de información por falta de establecimiento de
temporalidad de modificación de contraseñas, un control a establecer sería
recordar o establecer la temporalidad; otro control es la revisión, cada cierto
tiempo, respecto a la incorporación o testeo de las distintas cláusulas afectas
o relacionar los encargados de tratamiento). Este segundo paso es la segunda
línea de defensa, respecto a la cual ha de documentarse, por así decirlo,
obtener la evidencia a dicho seguimiento y actuación. La tercera línea de
defensa sería la verificación y/o supervisión, la cual, tal y como indica el
propio GPDR la asumiría el DPO en caso que fuere preciso o la persona respecto
a la cual el responsable del tratamiento haya designado. En este punto
concreto, se ha de resaltar, como así se establece en los programas de
compliance, que el mismo debe ser objeto principal de la dirección de la
empresa, es decir, en el primer nivel y, ese nivel, sería por ejemplo el
Consejo de Administración, al cual se habrá de reportar en relación al ámbito
de privacidad y, sobre el cual, recaerá la asunción del nombramiento del
respectivo DPO, puesto que el mismo, al igual que en otros ámbitos (PBCFT;
Delitos Penales), aquel se sitúa, tal y como el propio GDPR establece en su
artículo 38.3, en lo más alto jerárquicamente y bajo el principio de
independencia y, dichos extremos deben ser garantizados: “El responsable y el encargado del tratamiento garantizarán que el
delegado de protección de datos no reciba ninguna instrucción en lo que
respecta al desempeño de dichas funciones. El delegado de protección de datos
rendirá cuentas directamente al más alto nivel jerárquico del responsable o
encargado.” Dicho DPO será el encargado de supervisar la Eficacia Operativa
del modelo diseñado e implementado y el encargado de reportar a la alta
dirección los informes relacionados, a través de las evidencias y documentos
obtenidos a lo largo del tiempo.
La pregunta sería, se puede
establecer dicho modelo de compliance con las herramientas y/o publicaciones
que las autoridades de control han publicado. No tengo respuesta para ello,
puesto que, si bien es cierto que tanto las guías sobre medición de riesgo y
EIDP pudieren servir de base para establecer la primera línea de defensa, por
el contrario, todo modelo de compliance ha de estar VIVO y, por ello, al
contrario que sucedía con la LOPD (se efectuaba documento de seguridad y se
quedaba en el cajón cogiendo polvo), ahora por el contrario, dicho modelo
diseñado e implementado debe estar actualizado, puesto que será la defensa
principal (atenuante o eximente) en caso de procedimientos sancionadores u
otros análogos, más aún si lo extrapolamos con los principios rectores del
ámbito penal y del artículo 31 bis referenciado al inicio del presente
artículo, el cual indica que dicho programa debe estar VIVO, habiendo indicado
la propia FISCALIA que disponer de certificación de ISO 19601 no es elemento
atenuante sino que debe demostrarse que dicho modelo ha sido implantado
eficazmente, de la misma forma que el GDPR se expresa al hablar de diligencia,
supervisión y verificación. Por ello, mi primera reflexión acerca de que el
modelo de cumplimiento del GDPR pudiere formar parte integrada del modelo de
prevención de delitos penales, ampliando su alcance al establecimiento de
controles y políticas asociadas a los delitos relacionados con la privacidad.
Terminando con el presente
artículo, el cual precisaría de una mayor extensión, aunque la finalidad del
mismo ha sido “intentar mostrar un poco
de luz”, si bien habrá que dejar caminar al GDPR, sí me gustaría indicar
dos cosas: primera, poco a poco se está produciendo una cambio cultural al
respecto del presente ámbito, el cual ya empieza a tener su punto de partida
tanto en la Ley de Contratos del Sector Público como en las relaciones con
otras empresas e inversores, destacando la obligatoriedad y/o exigencia de
acreditar o valorar el riesgo asociado a una actividad empresarial concreta; y
segunda, para poder interpretar, entender y, especialmente, implementar el GDPR
es necesario conocer y desenvolverse con procesos de cumplimiento basados en el
riesgo y en la supervisión de los controles asociados a los mismos, por lo que,
bajo mi apreciación, simplemente realizar un análisis a través, por ejemplo, de
la herramienta FACILITA, descarga del RAT y check-list de verificación, no
sería suficiente, porque como he comentado, el modelo de responsabilidad del
GDPR ha de estar VIVO y las precedentes acciones son meras formalidades, amén
de otros extremos afectos que no forman parte del presente artículo. Este
artículo no es más que una simple opinión basada en la experiencia y en la
interpretación del GDPR, pudiendo no ser compartida por otros actores o
lectores.