La implantación de un protocolo de protección de datos en nuestra empresa es un paso necesario y obligatorio ya desde la antigua LORTAD de 1995, sin embargo, con el avance de nuestra sociedad, los protocolos de tratamiento de datos en nuestras empresas no sólo han ido aumentando, sino que se han ido haciendo cada vez más complejos.
Uno de los principios esenciales del Reglamento 2016/679 General de Protección de Datos (RGPD) y de la Ley Orgánica 5/2018 de 5 de diciembre, de protección de datos de carácter personal y garantía de los derechos digitales (LOPD-GDD), es el llamado principio de responsabilidad proactiva.
Este principio demanda del responsable del tratamiento que diseñe, para su empresa o entidad, cuantas medidas -técnicas, organizativas o de cualquier otra índole- sean precisas para que, con un criterio de proporcionalidad, los datos sean tratados correctamente y no se produzcan lesiones. De acuerdo con la Ley, este principio no sólo debe garantizar que se cumple la Ley, sino que se debe poder demostrar.
La adopción por parte del responsable de un protocolo de cumplimiento de la normativa de protección de datos es un requisito necesario, pero no siempre suficiente para el cumplimiento de la normativa.
En este sentido, podemos tener un protocolo perfectamente pensado y diseñado para cumplir los requerimientos propios de nuestra actividad en lo referente al tratamiento de datos, pero si este protocolo no se traslada al que lo va a tener que aplicar, si no se traslada al empleado, puede muy bien suceder que éste último no lo aplique y nuestra empresa acabe cometiendo una infracción de la protección de datos, con todo lo que eso puede significar. La mejor manera de evitar ese riesgo es mediante la formación de los trabajadores.
Ya en 2010 el Grupo de Trabajo del Artículo 29, integrado en el Comité Europeo de Protección de Datos, indicó en su dictamen 3/2010 sobre el principio de responsabilidad proactiva que las “medidas y procesos pueden también hacerse de modo eficaz mediante la atribución de competencias y mediante la formación del personal implicado en las operaciones de tratamiento”.
Efectivamente, más allá de una implantación de un protocolo general de protección de datos, una formación del personal que ha de llevar a cabo el tratamiento efectivo de esos datos en cómo debe realizar esos tratamientos y en lo que se puede y debe hacer con los datos que maneja en su día a día, puede ser la línea que separe a una empresa que cumple la Ley de otra que no lo haga.
JOSÉ ANTONIO SÁNCHEZ
Gerente y Abogado en Anima Protección de Datos
Delegado de Protección de Datos
Master IT/IP de ESADE en Propiedad Intelectual y Sociedad de la Información