La revolución tecnológica de la que somos partícipes, es la causa de que se tengan que utilizar herramientas más útiles en la privacidad desde el diseño y durante todo su ciclo su vida.
Como consecuencia, el pasado 29 de octubre de 2014, la Agencia Española de Protección de Datos (AEPD) publicó una guía para una Evaluación de Impacto en la Protección de los Datos personales (en adelante, EIPD). En su desarrollo se ha querido contar con la opinión de la sociedad gracias a las aportaciones de ciudadanos y empresas que participaron en la consulta pública del primer borrador.
Actualmente, en España no existe una obligación legal de realizar Evaluaciones de Impacto de esta naturaleza, aunque de ser aprobado el Reglamento General de Protección de Datos para la Unión Europea, en su artículo 33, establece que sí será de carácter imperativo el llevar a cabo un ejercicio de análisis de los riesgos que un determinado sistema de información, producto o servicio puede entrañar para el derecho fundamental a la protección de los datos de los afectados y así afrontar y gestionar esos peligros mediante la adopción de las medidas necesarias para eliminarlos o corregirlos.
Este análisis es aconsejable realizarlo en las etapas iniciales, para identificar los posibles riesgos y corregirlos anticipadamente, y poder así influir en el resultado del proyecto, de esta forma evitamos costes derivados de descubrirlos a posteriori, así como el posible daño reputacional de la empresa.
Es importante destacar que las EIPD, en España no son herramientas conocidas, a pesar de que ésta medida podría entenderse prevista en el apartado 22 de los Estándares Internacionales sobre Protección de Datos Personales y Privacidad (Resolución de Madrid de 5 noviembre de 2009), que fueron adoptados durante la 31ª Conferencia Internacional de Autoridades de Protección de Datos y Privacidad, cuyo texto relativo a medidas proactivas, hace referencia a “la puesta en práctica de estudios de impacto sobre la privacidad previos a la implementación de nuevos sistemas y/o tecnologías información destinados al tratamiento de datos de carácter personal”. Sin embargo, estas herramientas sí que están plenamente asentadas en países como Reino Unido con su Privacy Impact Assessment Handbook versión 2.0.
El objetivo de la AEPD con la publicación de esta guía consiste en que todas aquellas empresas que tratan datos de carácter personal además de cumplir con la LOPD deben aplicar a sus políticas de privacidad nuevos enfoques proactivos con el fin de proteger los derechos de los ciudadanos.
Este marco de referencia permite demostrar a las empresas que se ha adoptado la debida diligencia en la implementación de medidas para cumplir con las exigencias legales relativas a la protección de datos, si bien, no exime de responsabilidades en caso de vulneración de la normativa.
La realización de una EIPD puede suponer una ventaja competitiva entre organizaciones que la apliquen, ya que es un excelente ejercicio de transparencia, ayudando a mantener una relación de confianza con sus clientes al indicar de forma clara y accesible los fines para los que se tratan datos personales. Asimismo, a nivel interno dentro de la propia organización, permite educar y motivar a los empleados para estar alerta sobre posibles problemas o incidentes en relación con el tratamiento de datos personales.
¿Qué requisitos mínimos debe tener una EIPD? Resumiendo la propia guía destacamos los siguientes: Debemos elaborar una descripción general de las operaciones de tratamiento que llevemos a cabo, en segundo lugar, un análisis de los riesgos para los derechos y libertades de los ciudadanos, en tercer lugar, identificar las medidas para hacer frente a estos riesgos así como las garantías, y por último, establecer medidas de seguridad y mecanismos que garanticen la protección de datos personales.
En la Guía se señalan situaciones recomendables para realizar una EIPD, entre las que figuran las siguientes: cuando se vayan a utilizar tecnologías que se consideran especialmente invasivas con la privacidad, como la videovigilancia a gran escala, minería de datos, biometría, técnicas genéticas, geolocalización, o cuando se traten grandes volúmenes de datos a través de sistemas como el Big Data , internet de las cosas, o las Smart Cities, o siempre que se realicen cambios en los procesos (como por ejemplo recoger nuevas categorías de datos, la ampliación de las finalidades para las que fueron recogidos, entre otros ) o por último cuando se vayan a utilizar formas de contacto con los afectados que se podrían considerar especialmente intrusivas.
La AEPD establece unas fases principales a la hora de llevar a cabo una EIPD, cuyo resultado puede verse en la siguiente imagen:
En definitiva, nos encontramos con una publicación de especial impacto, valga la redundancia, con gran relevancia ya que la Privacidad y la Protección de Datos deben ser un valor a tener en cuenta en cualquier entidad, tanto pública como privada.
Departamento Legal
Áudea Seguridad de la Información.