La Ley Orgánica de Protección de Datos Personales, (LOPDP), dedica un capítulo para referirse al principio de responsabilidad proactiva[1], el cual contiene tres artículos referentes a (i) la autorregulación[2], (ii) los códigos de conducta[3], y (iii) a las entidades de certificación[4].

La autorregulación, los códigos de conducta y las certificaciones, como lo establece la LOPDP, son una pequeña parte de lo que realmente abarca la responsabilidad proactiva, es por ello que se debe atender al artículo 10.k de la LOPDP, el cual tiene mayor alcance de aplicación para que el responsable cumpla con la LOPDP.

Este sentido, en el artículo 10.k de la LODPD establece que:

“El responsable del tratamiento de datos personales deberá acreditar el haber implementado mecanismos para la protección de datos personales; es decir, el cumplimiento de los principios, derechos y obligaciones establecidos en la presente Ley, para lo cual, además de lo establecido en la normativa aplicable, podrá valerse de estándares, mejores prácticas, esquemas de auto y coregulación, códigos de protección, sistemas de certificación, sellos de protección de datos personales o cualquier otro mecanismo que se determine adecuado a los fines, la naturaleza del dato personal o el riesgo del tratamiento.

El responsable del tratamiento de datos personales está obligado a rendir cuentas sobre el tratamiento al titular y a la Autoridad de Protección de Datos Personales.

El responsable del tratamiento de datos personales deberá evaluar y revisar los mecanismos que adopte para cumplir con el principio de responsabilidad de forma continua y permanente, con el objeto de mejorar su nivel de eficacia en cuanto a la aplicación de la presente Ley”[5].

La LOPDP es una norma que está basada en el Reglamento General de Protección de Datos europeo (RGPD), norma altamente relevante a nivel mundial en la materia.

Se podría decir que el legislador se basó para determinar el principio de responsabilidad proactiva establecido en la LOPDP, en el considerando 74 del RGPD, el cual establece que:

“Debe quedar establecida la responsabilidad del responsable del tratamiento por cualquier tratamiento de datos personales realizado por él mismo o por su cuenta. En particular, el responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el presente Reglamento, incluida la eficacia de las medidas. Dichas medidas deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas físicas”.

Una vez analizado, tanto el artículo 10.k de la LOPDP como el considerando 74 del RGPD, se podría decir que el principio de responsabilidad proactiva está concatenado al tratamiento en relación con los deberes del responsable, y al cumplimiento, no solo de los principios determinados en la LOPDP, sino a la LOPDP en su totalidad, tomando en cuenta los estándares y mejores prácticas[6].

Por otro lado, se debe tomar en cuenta que el cumplimiento de la norma por parte del responsable, de acuerdo con el principio de responsabilidad proactiva, no es suficiente. El responsable deberá, no solo cumplir con la LOPDP, sino que deberá ser capaz de demostrar ese cumplimiento.

Lo mencionado se deslinda, de entre otros artículos, del artículo 10.k antes citado, en el cual se establece que “[e]l responsable del tratamiento de datos personales deberá acreditar el haber implementado mecanismos para la protección de datos personales”[7], y del artículo 47.2 de la LOPDP, en el cual se dispone que el responsable del tratamiento está obligado a “…garantizar y demostrar que el tratamiento de datos personales se ha realizado conforme a lo previsto en la presente Ley, en su reglamento, en directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales, o normativa sobre la materia”[8].

Con el fin de cumplir con el principio de responsabilidad proactiva, el responsable deberá evaluar, bajo su propio riesgo, la necesidad de llevas a cabo una evaluación de riesgos. Por lo que, la LOPDP obliga al responsable a ser reflexivo sobre las valoraciones de (i) la naturaleza del tratamiento (videovigilancia, elaboración de perfiles, geolocalización, etc.), (ii) los riegos para los derechos y libertades de los titulares, (iii) la gravedad de los riesgos, y de su probabilidad, entre otros aspectos a tomar en cuenta. Esto será necesario para que el responsable pueda adoptar las medidas organizativas, jurídicas y técnicas adecuadas.

De acuerdo con Antonio Troncoso Reigada “hay que analizar qué cosas pueden llegar a pasar para evitar que pasen-, obligándose incluso a valorar el riesgo en términos de probabilidades.”[9].

A la fecha, la LOPDP no tiene un reglamento (por expedirse) que defina el alcance de cómo debe actuar el responsable o encargado para el cumplimiento de la LOPDP; sin embargo, si bien es necesario para ciertos aspectos este reglamento, para la aplicación de las medidas organizativas, jurídicas y técnicas, el reglamento sobra.

Santiago Andrade

---

[1] Capítulo VIII, Ley Orgánica de Protección de Datos Personales.

[2] Art. 52, Ley Orgánica de Protección de Datos Personales.

[3] Art. 53, Ley Orgánica de Protección de Datos Personales.

[4] Art. 54, Ley Orgánica de Protección de Datos Personales.

[5] Art. 10, Ley Orgánica de Protección de Datos Personales.

[6] Art. 10.k, Ley Orgánica de Protección de Datos Personales.

[7] Ídem.

[8] Art. 47.2, Ley Orgánica de Protección de Datos Personales.

[9] Antonio Troncoso Reigada, Comentario al Reglamento de Protección de Datos y a la Ley Orgánica de Protección de Datos y Garantías de los Derechos Digitales, p. RB-42.9, primera edición, 2021.