La accountability, ¿herramienta sancionadora?
José Leandro Núñez García
Abogado – Socio en Audens
No son pocas las expresiones anglófonas que, por unos motivos o por otros, tienen difícil traducción en nuestro país. Una de ellas, últimamente, se ha puesto de moda en el ámbito de la protección de datos: la palabra accountability, que se tiende a traducir como “responsabilidad” o “rendición de cuentas”. Lo cierto es que el concepto va un poco más allá de estos dos términos: les recomiendo que un artículo de la Fundación Luis Vives donde se explica en qué consiste exactamente, y que contiene esta (en mi opinión) acertadísima descripción:
“es una decisión voluntaria de la propia organización, que asume como compromiso ético de su actuación, proporcionando información sobre los diversos aspectos de sus políticas y prácticas de actuación, y que por lo tanto, va mucho más allá que el concepto de rendición obligatoria de cuentas”.
En la práctica, y desde el punto de vista de la privacidad, la accountability tendría dos grandes vertientes: por un lado, la implementación de una cultura de respeto a este derecho fundamental en el seno de la organización, acompañada del establecimiento de todo tipo de garantías para preservar los principios y obligaciones que del mismo se derivan; por el otro, el compromiso de ser transparente en las actuaciones diarias, generando mecanismos que permitan calibrar y controlar hasta qué punto las garantías anteriores funcionan correctamente, y poniéndolos a disposición de las autoridades en caso de que éstas así lo requieran.
La cuestión es: ¿podría un modelo como ese, basado en un mero compromiso ético, aplicarse en la Europa continental? ¿Y en España, por ser más concretos? La respuesta se halla, quizás, en una frase atribuida a Abraham Lincoln: una ley sin régimen sancionador es simplemente un buen consejo. Pero, ¿por qué no hacer convivir ciertos aspectos de la accountability con la legislación tradicional?
Lo cierto es que son varios los países europeos que incluyen, en su normativa nacional, beneficios para aquellas empresas que demuestren un serio compromiso con el cumplimiento de la legislación. Sin ir más lejos, y desde la reforma de la LOPD de 2011, España es uno de ellos (si bien con consecuencias prácticas poco destacables): a la hora de graduar las sanciones, párrafos como el 45.4.i) o el 45.5.d) permiten rebajar la cuantía de las multas basándose en conceptos como la “diligencia exigible” o el “reconocimiento espontáneo de culpabilidad”. Dos ejemplos de conductas típicamente encuadrables en el concepto de accountability.
También los Estándares Internacionales de Privacidad aprobados en la Conferencia Internacional de Madrid (2009) abordan esta materia, dedicando su artículo más extenso (el 22º) a invitar a los legisladores a incentivar este tipo de prácticas. De hecho, proponen incluso una serie de medidas a título enunciativo, entre las que se incluyen la privacy by design, la formación al personal o la designación de “oficiales de privacidad”.
Algunas de estas prácticas han sido incluidas en el proyecto de Reglamento que actualmente se discute en Bruselas. Sin embargo, el enfoque planteado por el legislador europeo es bien diferente al modelo “ético” o “incentivador” que hemos visto hasta ahora: antes al contrario, centra sus planteamientos desde una perspectiva coercitiva, englobando estas medidas bajo una etiqueta bien distinta: responsibility. Y tipificando la inobservancia de las mismas con el escalafón de sanciones más alto de los previstos: hasta un millón de euros o un 2% de la cifra de negocios global. Ahí es nada.
Si bien es cierto que ya aproveché la mesa redonda a la que APEP y Denae tuvieron a bien invitarme (hace ya casi un año) para manifestar mi sorpresa por un planteamiento (el de incentivar a estacazos) tan aparentemente poco coherente con el objetivo planteado en origen, lo cierto es que no son pocos los que mantienen en que únicamente la obligatoriedad de estas medidas daría lugar a una aplicación más o menos generalizada de las mismas. Si ello se traduce en un incremento de la cultura de respeto a la privacidad en las empresas, es algo que comprobaremos en el futuro. Entretanto, tendremos que esperar a ver la versión final del Reglamento para comprobar por qué postura opta finalmente el legislador: palo o zanahoria. ¿Ustedes con cuál se quedarían?