En el apartado “Comprender la protección de datos: el Reglamento de la UE en pocas palabras”, se indicó que la plena responsabilidad de los responsables del tratamiento era la primera de varias medidas adoptadas por el RGPD para limitar el poder obtenido por el responsable del tratamiento y equilibrarlo con el poder de los interesados. Para más detalles, véase el apartado 1.6.1 “Los responsables del tratamiento son plenamente responsables”.

El RGPD define el principio de la siguiente manera:

Definición en el Art. 5(2) DEL RGPD: El responsable del tratamiento será responsable del cumplimiento del apartado 1 (“responsabilidad”) y podrá demostrarlo.

El apartado 1 hace referencia a los principios que se han tratado en los seis apartados anteriores, a saber

• Legalidad, equidad y transparencia;
• Limitación de la finalidad;
• Minimización de datos;
• Precisión;
• Limitación de almacenamiento; y
• Integridad y confidencialidad.

Para reformular el Art. 5(2), el responsable del tratamiento es plenamente responsable de dos cosas:

• El cumplimiento de estos seis principios,
• Demostrar el cumplimiento.

Por lo tanto, la rendición de cuentas no es un nuevo principio que los controladores deban cumplir, sino que instruye a los controladores sobre cómo deben aplicarse los seis principios.

Tenga en cuenta que tener que demostrar el cumplimiento es un gran paso más allá de tener que cumplir. En particular, hace recaer la “carga de la prueba” en el responsable del tratamiento; un responsable del tratamiento que no pueda o no quiera demostrar el cumplimiento, estará infringiendo el RGPD.

¿Qué significa cumplir?

Aunque el art. 5(2) sólo habla del cumplimiento de los seis principios, en realidad debe extenderse a todo el RGPD. Esto está motivado por el hecho de que todos los demás artículos están destinados a proporcionar detalles a los principios o a describir con más detalle cómo deben aplicarse.

En todo el RGPD se establece una manera de lograr el cumplimiento, a saber, mediante la aplicación de medidas técnicas u organizativas. En el art. 24, que describe las obligaciones de un responsable del tratamiento, el primer párrafo afirma explícitamente que así es como los responsables del tratamiento cumplen (y demuestran que cumplen) el RGPD; el art. 25(1) establece que la protección de datos desde el diseño se reduce a la aplicación de dichas medidas a lo largo del ciclo de vida de la actividad de tratamiento; el art. 25(2) hace hincapié igualmente en el uso de dichas medidas para la protección de datos por defecto; el art. 28(1) establece que también los procesadores deben aplicar dichas medidas; el art. 32 establece que también el cumplimiento de los requisitos de seguridad se logra mediante la aplicación de dichas medidas; y el art. 89(1) establece que las garantías necesarias para el “tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos” garantizan la aplicación de dichas medidas.

Dado que las medidas técnicas y organizativas son tan importantes para lograr el cumplimiento, el análisis de cada uno de los seis principios anteriores terminó con ejemplos de dichas medidas.

El cumplimiento de los requisitos de protección de datos puede considerarse un proceso. Siguiendo el concepto de protección de datos desde el diseño (véase el art. 25(1) del RGPD), en cada fase del ciclo de vida de la actividad de tratamiento se evalúan los riesgos para los derechos y libertades de las personas físicas y se aplican las medidas de mitigación adecuadas. El RGPD utiliza una definición muy amplia del término medidas técnicas y organizativas. Básicamente, incluye todo lo que un responsable del tratamiento hace para cumplir con el RGPD. Por lo tanto, incluso la etapa de evaluación antes mencionada puede considerarse una medida en sí misma.

¿Qué significa demostrar el cumplimiento?

Teniendo en cuenta que el cumplimiento se consigue mediante la aplicación de medidas adecuadas, no es de extrañar que la demostración del cumplimiento documente dichas medidas.

Esto se desprende, por ejemplo, del art. 30(1)(g) que ordena enumerar las medidas pertinentes para la seguridad en los registros de tratamiento. También es fundamental en el art. 35 sobre la evaluación de impacto de la protección de datos, que es posiblemente la principal herramienta prevista por el RGPD para demostrar el cumplimiento. En particular, el art. 35(7)(d) pide a los responsables del tratamiento que declaren las medidas que han aplicado para garantizar la protección de los datos personales y demostrar el cumplimiento del RGPD.

En el apartado “Principales herramientas y acciones”, más adelante, se puede encontrar un análisis más detallado de la documentación del tratamiento en general, y de las evaluaciones de impacto de la protección de datos en particular. En ambos apartados se subraya la importancia de las medidas técnicas y organizativas.

Economía de escala para el cumplimiento y su demostración

Como se ha argumentado anteriormente, el cumplimiento se consigue aplicando medidas técnicas y organizativas. De la discusión anterior se desprende que el cumplimiento puede requerir un número importante de estas medidas. Esto puede dificultar la evaluación de la protección real que ofrecen estas medidas y si esta protección se aplica de manera uniforme y coherente.

Para mitigar esta dificultad, el RGPD ofrece algunos tipos de “mecanismos de abstracción” que permiten considerar un conjunto de medidas relacionadas como una sola unidad. En particular, el RGPD prevé dos de estos mecanismos en su art. 24 que describe la “Responsabilidad del responsable del tratamiento”:

• Políticas de protección de datos (véase el art. 24(2) RGPD), y
• códigos de conducta aprobados (véase el art. 24(3) y 40).

Una política de protección de datos es un mecanismo que permite sistematizar la aplicación de medidas. Esto garantiza un conjunto uniforme y coherente de medidas en situaciones similares. Por ejemplo, en lugar de tener que evaluar qué medidas de seguridad son apropiadas para cada uno de los muchos servidores muy similares, se puede redactar una sola política y aplicarla a todos los servidores. Evidentemente, sobre todo en las operaciones de procesamiento complejas y extensas, esto aporta una economía de escala potencialmente muy significativa que puede incluso abarcar múltiples actividades de procesamiento independientes del mismo controlador.

El mecanismo de los códigos de conducta aprobados extiende esta economía de escala más allá de un único responsable del tratamiento a todo un sector de tratamiento. Estos códigos de conducta son elaborados por asociaciones y otros organismos que representan a categorías de responsables o encargados del tratamiento (véase el art. 40(2) del RGPD). Cuando un código de conducta no se refiere a actividades de tratamiento en varios Estados miembros, la autoridad de control competente puede aprobarlo (véase el art. 40(5) del RGPD) y posteriormente registrarlo y publicarlo (véase el art. 40(6) del RGPD). Cuando un proyecto de código de conducta se refiere a actividades de tratamiento en varios Estados miembros, se utiliza un proceso similar en el que participa el Comité Europeo de Protección de Datos (véase el art. 40(7) del RGPD). Evidentemente, los códigos de conducta proporcionan también una economía de escala a las autoridades de control que tienen que supervisar el cumplimiento del RGPD.

Tanto los códigos de conducta aprobados como la certificación (según el artículo 42 del RGPD) pueden ayudar a los responsables del tratamiento a demostrar el cumplimiento (véase el artículo 24, apartado 3, del RGPD). 24(3) del RGPD).