PIAs o la evaluación de impacto en la protección de datos
Javier Puyol, abogado y socio de Ecix Group
Tal como señala la Agencia de Protección de Datos, una PIA o una Evaluación de Impacto en la Protección de los Datos Personales (EIPD) es, en esencia, un ejercicio de análisis de los riesgos que un determinado sistema de información, producto o servicio puede entrañar para el derecho fundamental a la protección de datos de los afectados y, tras ese análisis, afrontar la gestión eficaz de los riesgos identificados mediante la adopción de las medidas necesarias para eliminarlos o mitigarlos.
La gran ventaja derivada de la realización de una EIPD en las etapas iniciales del diseño de un nuevo producto, servicio o sistema de información es que permite identificar los posibles riesgos y corregirlos anticipadamente, evitando los costes derivados de descubrirlos a posteriori, cuando el servicio está en funcionamiento o, lo que es peor, cuando la lesión de los derechos se ha producido. En estos casos no solo se incurre en costes económicos, sino también de imagen para la organización cuya reputación se ve afectada.
Además, la realización de una EIPD es un excelente ejercicio de transparencia, base de una relación de confianza. Ayuda a planificar las respuestas a posibles impactos en la protección de datos de los afectados, a gestionar las relaciones con terceras partes implicadas en el proyecto y a educar y motivar a los empleados para estar alerta sobre posibles problemas o incidentes en relación con el tratamiento de datos personales.
De acuerdo con un documento elaborado al respecto por el Regulador de Protección de Datos Británico, cuando se va a realizar un PIA, se debe partir de identificar para su estudio siete fases o elementos determinantes, pero siempre tratando de utilizar un modelo flexible que se pueda adecuar al modelo y estructura de la organización.
Estas siete fases o elementos son los siguientes:
1.- ¿Por qué es necesario un PIA?
Saber las razones por la que debemos realizar un PIA sobre el proyecto, servicio o tratamiento de datos personales. Para ello, podemos utilizar las siguientes preguntas que nos ayudarán a saber si realmente es necesario, sobre todo en aquellos casos en los que no se cuente con un DPO:
¿Se van a recabar datos de carácter personal?
¿Se van a comunicar datos personales a terceros o a quien no ha tenido acceso a la información?
¿Se va a utilizar tecnología que puede ser considerada como invasiva para la privacidad?
¿Estamos ante algún supuesto de “especial consideración” de privacidad como podrían ser los datos de salud?
¿Se va a contactar con los titulares de los datos de alguna forma que podría ser invasiva?
2.- Describir los flujos de información.
Se trata de conocer cómo se van a recabar los datos de carácter personal, para qué se van a utilizar, con qué finalidad, y quién tiene acceso a la misma. En otras palabras, contestar al “¿Por qué?, ¿Para qué? y ¿Quién?”. No es más que el proceso que debe realizarse en toda auditoría de ficheros de medidas de seguridad media y alta, ya que si bien el Reglamento de desarrollo de la LOPD se refiere únicamente a auditar las citadas medidas, estimamos que como condición previa hay que conocer y describir los flujos de datos personales que forman parte del sistema que se quiere auditar.
3.- Identificar los riesgos que afecten a la privacidad.
Pueden ser de tres tipos:
– Sobre los afectados (como la invasión en su vida privada, comunicar datos a terceros cuando no sea necesario, no haber realizado un procedimiento adecuado de anonimización, mantener los datos más tiempo que el estrictamente necesario para la finalidad que se recogieron);
– Riesgos corporativos (como pérdida de reputación o una multa por brechas de seguridad);
– Riesgos legales (como no cumplir con la legislación de protección de datos, o servicios de la sociedad de la información).
Además, también facilita una serie de preguntas que están relacionados con el cumplimiento de los principios de protección de datos que permitirán identificar estos riesgos, como pueden ser:
a.- Principio de finalidad.
Los datos personales serán usados únicamente para la finalidad para la cual han sido recabados, y nunca para una finalidad que sea incompatible. Así, nos podríamos preguntar si ¿Cubre el proyecto o servicio todas las finalidades para la cual han sido recabados los datos personales o existen otras que no han sido contempladas en la recogida de datos?
b.- Principio de calidad de los datos personales.
¿Son los datos adecuados para las finalidades para las cuales van a ser utilizados?
¿Se van a recabar datos que no van a ser utilizados?
c.- Principio de no mantener los datos personales más allá del tiempo necesario.
¿Durante cuánto tiempo se van a almacenar los datos?
Transcurrido el tiempo de almacenamiento, ¿Permite el software que use el producto o servicio el borrado de los datos?
d.- Principio de garantizar los derechos ARCO.
¿El producto o servicio hace viable que se puedan ejercitar los derechos ARCO por los interesados dando respuesta a los mismos?
Si el producto o servicio está destinado al marketing ¿Pueden negarse los afectados usando un sistema de opt-out?
d.- Principio de medidas de seguridad.
¿Se han instalado las medidas adecuadas para prevenir los riesgos de seguridad?
¿Se ha formado al personal para que trate los datos personales adecuadamente y sin que existan accesos indebidos?
e.- Principio de transferencias internacionales.
¿El producto o servicio requiere transferir datos a países que no forman parte del Espacio Económico Europeo?
En caso afirmativo, ¿Cómo se garantiza la protección de datos de los interesados en el país receptor?
4.- Establecer soluciones para garantizar la privacidad.
Una vez que hemos identificado los riesgos para la privacidad, tal y como hemos descrito en el punto anterior, lo más lógico es desarrollar las medidas correspondientes para eliminar o mitigar dichos riesgos. Sobre la reducción de riesgos, el documento del ICO matiza que la realización de un PIA no tiene por qué eliminar completamente los riesgos sobre la privacidad de los afectados, sino reducirlos a un nivel aceptable que permita para la organización la implementación del producto, servicio o tratamiento de datos personales.
En este sentido, y según el riesgo que se haya identificado podemos valorar la posibilidad de desarrollar, (que luego serán adoptadas, en su caso, en la siguiente la fase 5), alguna de las siguientes soluciones:
– No recabar o almacenar determinados tipos de datos;
– Establecer el período máximo de almacenamiento así como un procedimiento de destrucción de los datos una vez que se haya cumplido el citado período;
– Implementar las medidas de seguridad y formar al personal;
– Desarrollar y poner en práctica un procedimiento de anonimización de los datos;
– Desarrollar el producto o servicio de forma que se garantice el ejercicio de los derechos ARCO;
– Establecer protocolos en caso de cesiones de datos personales;
– Adoptar las medidas necesarias para que los afectados sepan para qué se recaban los datos personales, y que en caso de duda, puedan contactar con la organización para, de esta forma, recibir las aclaraciones pertinentes.
Asimismo, se debe valorar el coste y beneficio de implementar estas soluciones, teniendo en cuenta que en algunos casos, existirá un coste económico, por lo que habrá que realizar una comparativa entre costes y beneficios (por ejemplo, sobre las medidas de seguridad que pueden evitar una fuga de datos personales y consecuentemente, una pérdida de reputación para la empresa).
5.- Implementar las soluciones para garantizar la privacidad.
Una vez que hemos recogido cuales serían las formas o herramientas necesarias para garantizar la privacidad, hay que decidir cuáles de ellas implementamos, ya que como se ha comentado anteriormente, no necesariamente hay que poner en funcionamiento todas, ya que la empresa puede asumir determinados riesgos, cuando los mismos sean considerados como aceptables. No obstante, puede ocurrir que existan riesgos que no sólo sean inaceptables sino que, incluso, no se puedan eliminar, por lo que sería necesario estudiar la viabilidad del proyecto, servicio o tratamiento de datos, o no directamente, no llevarlo a cabo.
En esta fase, el documento del ICO incide en que, además de implementar las soluciones, es importante registrar cada uno de los riesgos y las soluciones adoptadas, así como quien es el responsable de ponerlas en funcionamiento.
Todo ello, se incluirá en el informe final del PIA, el cual se recomienda como buena práctica que se publique para dar una mayor transparencia y que los afectados sepan cómo afecta el producto, servicio o tratamiento, a su privacidad. Además, esta publicación puede servir como estrategia de marketing de la empresa, organización, o Administración pública.
6.- Participación de los agentes implicados.
Conocemos que es práctica habitual que cuando se pone en marcha un producto o servicio que afecte a la protección de datos personales, el cumplimiento de esta norma se deja para el final al grito de “¡Nos falta la LOPD!”. Para evitarlo, al igual que ocurre con la Privacidad por Diseño y por Defecto, se recomienda que en cualquier fase de realización del PIA, que anteriormente hemos descrito, fluya la información tanto a nivel interno como externo de la organización.
Respecto al interno, tenemos la tradicional, aunque a veces no tenga lugar, relación entre los diseñadores del producto, servicio o tratamiento, y el departamento legal de la empresa, que puede ser completado en el caso de que exista un DPO, un departamento de Tecnologías de la Información que ofrecería su ayuda en materia de seguridad, o si se decide contratar a empresas que actúen como encargados del tratamiento, que éstos también participen.
Respecto al externo, permitiría conocer la opinión de los afectados cuyos datos van a ser tratados, así como dar una mayor transparencia. Este tipo de consultas suele ser más frecuente en el sector público, sobre todo en supuestos en que existe una obligación legal al respecto. Otra opción es que exista una participación, por ejemplo, de organizaciones que representen a usuarios y consumidores.
7.- Integración del PIA en la gestión.
Otro elemento importante es que el PIA forme parte de la propia gestión de la empresa u organización, ya que es la forma más segura de garantizar la privacidad de productos y servicios, puesto que “el management” involucra a los mismos. Es decir, integrar la privacidad, a través de la realización de los PIA, en el citado “management”.
Por último, debe tenerse en cuenta tal como señala la Agencia Española de Protección de Datos que las evaluaciones de impacto en la protección de datos personales forman parte esencial de una nueva generación de herramientas y metodologías que buscan una aproximación proactiva a los retos de implantar garantías que salvaguarden el derecho fundamental a la protección de datos en nuestras modernas sociedades de la información, constituyéndose, además, en un elemento destacado de la Privacidad desde el Diseño.
Igualmente, cada vez se abre paso con más fuerza la idea de que los responsables de tratamientos de datos personales han de ser capaces de demostrar su compromiso con los derechos de los ciudadanos y el cumplimiento de sus obligaciones legales (accountability). En este sentido, una Evaluación de Impacto de Protección de Datos desarrollada con seriedad es un instrumento ideal para que los responsables puedan mostrar esa diligencia y desarrollar los métodos y procedimientos adecuados.
