Responsabilidad de los administradores, ‘accountability’ y ‘compliance’ en el tratamiento de datos personales
27 de Octubre de 2022
Nelson Remolina Angarita
Profesor asociado y director de la Escuela de Posgrados y de Educación Continua de la Facultad de Derecho de la Universidad de los Andes
Desde el 2013, Colombia ha sido pionera en regular la responsabilidad demostrada (accountability) en el tratamiento de datos personales. Posteriormente, se han sumado Brasil (2018) y Ecuador (2021). Esta institución está incorporada en el proyecto de ley de protección de datos de Argentina (2022). Adicionalmente, las siguientes organizaciones han expedido regulaciones o recomendaciones sobre ese tema: la Red Iberoamericana de Protección de Datos, GPA (Global Privacy Assembly), la Ocde, el Parlamento Europeo y el Consejo de la Unión Europea, la OEA y la CAN.
Recientemente, la CAN, por ejemplo, ordenó a los operadores de comunicaciones “adoptar medidas útiles, eficientes, necesarias y pertinentes para acreditar el cumplimiento” de lo dispuesto en la Decisión Andina 897 del 14 de julio del 2022 (Dec. 897/22, art. 4º, par. 2º). La OEA, por su parte, reiteró, el año pasado, que los responsables y encargados del tratamiento de datos personales deben “adoptar e implementar medidas técnicas y organizacionales que sean apropiadas y efectivas para asegurar y poder demostrar”[1] el debido tratamiento de los datos personales.
El principio de responsabilidad demostrada busca que los mandatos constitucionales y legales sobre tratamiento de datos personales sean una realidad verificable y redunden en beneficio de la protección de los derechos de las personas. Por eso, es crucial que los administradores de las organizaciones sean proactivos respecto del tratamiento de la información, de manera que, por iniciativa propia, adopten medidas estratégicas capaces de garantizar los derechos de los titulares de los datos personales y su gestión siempre sea respetuosa de los derechos humanos.
Según la Ley 222 de 1995, que modifica el libro II del Código de Comercio, expide un nuevo régimen de procesos concursales y dicta otras disposiciones, los administradores (representante legal, el liquidador, el factor, los miembros de juntas o consejos directivos) tienen la obligación de cumplir las leyes 1266 del 2008, 1581 del 2012 y cualquier otra norma. Por eso, el artículo 23 de la citada norma establece que los administradores no solo deben “obrar de buena fe, con lealtad y con la diligencia de un buen hombre de negocios”, sino que, en el ejercicio de sus funciones, deben “velar por el estricto cumplimiento de las disposiciones legales o estatutarias” (L. 222/95, art. 23, num. 2).
Cumplimiento
Obsérvese que la regulación no exige cualquier tipo de cumplimiento de la ley, sino uno calificado, es decir, correcto, riguroso o ajustado con exactitud a lo establecido en la norma. Velar por el estricto cumplimiento de la ley requiere que los administradores actúen de manera muy profesional, diligente y proactiva para que en su organización la regulación se cumpla de manera real (no formal), efectiva y minuciosa. Por eso, los administradores deben cuidar con esmero este aspecto y no solo ser guardianes, sino promotores de la correcta y precisa aplicación de la ley. Esto, desde luego, los obliga a verificar permanentemente si la ley se está cumpliendo en todas las actividades que realiza su empresa u organización.
Nótese que el artículo 24 de la ley en comento presume la culpa del administrador “en los casos de incumplimiento o extralimitación de sus funciones, violación de la ley o de los estatutos”. Dicha presunción de responsabilidad demanda que los administradores estén en capacidad de probar que han obrado con lealtad y la diligencia de un experto, es decir, como un “buen hombre de negocios”, tal y como lo señala el precitado artículo 23. Adicionalmente, no debe perderse de vista que los administradores jurídicamente responden “solidaria e ilimitadamente de los perjuicios que por dolo o culpa ocasionen a la sociedad, a los socios o a terceros” (L. 222/95, art. 24).
Según la Sentencia T-227 del 2003 de la Corte Constitucional, “existe un deber constitucional de administrar correctamente y de proteger los archivos y bases de datos que contengan información personal o socialmente relevante”. Adicionalmente, quienes recolectan, tratan o usan datos personales no son dueños de esa información, sino meros tenedores que están en el deber de administrar de manera correcta, apropiada y acertada la información de las personas, porque su negligencia o dolo en esta materia afecta los derechos humanos de los titulares de los datos.
El ‘accountability’
El término “accountability”, a pesar de los diferentes significados, ha sido entendido en el campo de la protección de datos como el modo en el que una organización debe cumplir (en la práctica) las regulaciones sobre el tema, y la manera en que debe demostrar que lo puesto en práctica es útil, pertinente y eficiente. La responsabilidad demostrada –accountability- demanda implementar acciones de diversa naturaleza[2] para garantizar el correcto cumplimiento de los deberes que imponen las regulaciones sobre tratamiento de datos personales. El mismo, exige que los representantes legales pongan en marcha medidas apropiadas, efectivas y verificables que les permitan evidenciar la observancia de las normas sobre la materia[3].
Dichas medidas deben ser objeto de revisión y evaluación permanente para medir su nivel de eficacia y el grado de protección de los datos personales.
La responsabilidad demostrada precisa menos retórica y más acción en el cumplimiento de los deberes que imponen las regulaciones sobre tratamiento de datos personales. Requiere apremiar acciones concretas por parte de las organizaciones para garantizar el debido tratamiento de los datos personales. El éxito del mismo dependerá del compromiso real de todos los miembros de una organización, especialmente, de los directivos de las organizaciones, pues, sin su apoyo sincero y decidido, cualquier esfuerzo será insuficiente para diseñar, llevar a cabo, revisar, actualizar y/o evaluar los programas de gestión de datos.
Adicionalmente, el reto de las organizaciones frente al principio de responsabilidad demostrada va mucho más allá de la mera expedición de documentos o redacción de políticas. Como se ha manifestado, exige que se demuestre el cumplimiento real y efectivo en la práctica de sus funciones.
El ‘compliance’
La responsabilidad demostrada se articula con el concepto de “compliance” en la medida en que este hace referencia al “conjunto de procedimientos y buenas prácticas adoptados por las organizaciones para identificar y clasificar los riesgos operativos y legales a los que se enfrentan y establecer mecanismos internos de prevención, gestión, control y reacción frente a los mismos”[4].
También se ha afirmado que “compliance es un término que hace referencia a la gestión de las organizaciones conforme a las obligaciones que le vienen impuestas (requisitos regulatorios) o que se ha autoimpuesto (éticas)”[5]. Adicionalmente, se precisa que “ya no vale solo intentar cumplir” la ley, sino que las organizaciones “deben asegurarse que se cumple y deben generar evidencias de sus esfuerzos por cumplir y hacer cumplir a sus miembros, bajo la amenaza de sanciones, si no son capaces de ello. Esta exigencia de sistemas más eficaces impone la creación de funciones específicas y metodologías de compliance”[6].
Por tanto, las organizaciones deben “implementar el compliance” en su estructura empresarial con miras a acatar las normas que inciden en su actividad y demostrar su compromiso con la legalidad. Lo mismo sucede con accountability respecto del tratamiento de datos personales.
Nota: Estos temas son objeto de estudio y análisis en diferentes programas de la Escuela de Posgrados y en los programas de Educación Continua de la Facultad de Derecho de la Universidad de los Andes. Los invito a que formen parte de esta comunidad académica.
[1] OEA (2021) “Principios actualizados sobre la privacidad y la protección de datos personales, con anotaciones”.
[2] Estas medidas pueden ser de naturaleza administrativa, organizacional, estratégica, tecnológica, humanas y de gestión que involucran procesos y procedimientos.
[3] Remolina Angarita, Nelson (2013), Tratamiento de datos personales: aproximación internacional y comentarios a la Ley 1581 de 2012. Primera edición. Editorial Legis, pág. 287.
[4] World Compliance Association (WCA). http://www.worldcomplianceassociation.com/.
[5] Bonatti, Francisco. Va siendo hora que se hable correctamente de compliance (III). Entrevista del 5 de noviembre del 2018 publicada en Canal Compliance
[6] Ídem
Opina, Comenta