Luís Ángel Martínez
Sistemas y Seguridad
Descubre cómo la realización de Evaluaciones de Impacto puede resultar clave para la ciberseguridad de tu empresa.
El Reglamento UE 2016/679, en el apartado 1 del artículo 35, sección 3, del capítulo “Responsable del tratamiento y encargado del tratamiento”, trata sobre la Evaluación de Impacto relativa a la protección de datos, estableciendo: “la obligación que tienen los responsables de los tratamientos de datos de realizar una EIPD con carácter previo a la puesta en funcionamiento de tales tratamientos cuando sea probable que éstos por su naturaleza, alcance, contexto o fines entrañen un alto riesgo para los derechos y libertades de las personas físicas, alto riesgo que, según el propio Reglamento, se verá incrementado cuando los tratamientos se realicen utilizando “nuevas tecnologías”. Pero, ¿qué es una Evaluación de Impacto en la protección de datos?
Siempre que puedo, me gusta utilizar algún símil para facilitar cualquier explicación. Además, cuando tratamos temas como la responsabilidad proactiva, el análisis de riesgos o la evaluación de impacto en la protección de datos, suelo usar un ejemplo cotidiano como es el de ir de a comprar fruta y verdura.
Olvidémonos, por un momento, que somos una empresa y pongámonos en modo particular. Estamos en nuestra vida privada, somos personas que vivimos en la época de los grandes avances, del mundo hiperconectado, de la globalización y … de los datos.
Muchos somos los que pensamos que información es el «oro» del siglo XXI y, en muchos casos, el tratamiento de los mismos es la «técnica minera» para su explotación.
Lo que hacemos, lo que decimos, lo que leemos, lo que compramos, donde viajamos, incluso lo que sentimos o cómo nos encontramos, son elementos que nos definen como personas. Toda esta información que, en ocasiones, hasta nosotros mismos tratamos a la ligera, sin darle la importancia que merece y compartiendo al mundo abierto en Internet, es oro para los mineros del siglo XXI.
Disfrutamos de servicios en línea, a veces presumiendo delante de los amigos con un: «mira lo que tengo y no me cuesta». No nos damos cuenta que, realmente, de gratis tienen poco, porque el precio somos realmente nosotros, nuestra información. Y no hace falta irnos al mundo de Internet. En la vida «analógica» también se trata información: nuestra historia clínica, nuestra vida laboral… podríamos estar poniendo ejemplos todo el día.
Como hemos dicho antes, nuestra información es lo que somos y, por tanto, la forma en la que se trata puede afectar a nuestra vida y por ende a nuestros derechos y nuestras libertades. Por eso, hay unas preguntas clave que deberíamos hacernos siempre, antes de entregar nuestros datos libremente: ¿Para qué se van a tratar mis datos? ¿Cómo se van a tratar? ¿Quién los va a tratar? ¿Puede afectar dicho tratamiento a mis derechos y libertades?
Para que los que tratan nuestros datos actúen de forma transparente y responsable, para que las personas tengamos el control sobre nuestros datos personales y, entre otras cosas, el tratamiento que se hace de los mismos, se ha construido la nueva legislación en materia de protección de datos.
Es evidente que tratamientos con aparentemente la «misma finalidad», vista desde nuestra perspectiva particular, no tienen por qué tener las mismas implicaciones a nivel de privacidad, ni la misma afectación a nuestros derechos y libertades. De hecho, la realidad nos demuestra constantemente que no lo tienen.
Por poner un ejemplo concreto, supongamos que quiero comprar fruta y verdura. Puedo hacerlo de tres formas diferentes:
- Ir el sábado por la mañana a la Plaza Mayor y comprar en alguno de los puestos ambulantes
- Ir a la tienda del barrio, que tengo a la vuelta de la esquina
- Ir a una gran superficie para hacer la compra que, además, me da la «facilidad» de pagar a final de mes cuando he cobrado la nómina y, encima, esta facilidad no me cuesta nada con mi tarjeta de fidelización «gratuita».
En el primero de los casos, lo más probable es que la persona que me atienda en el puesto de la plaza, ni sepa cómo me llamo, ni mucho menos dónde vivo. Tal vez, si soy un habitual, pueda saber qué tipo fruta puede gustarme más y pueda inducirme a comprar tal o cuál pieza. El tratamiento que de mis datos personales puede llegar a hacer ese profesional es muy bajo, por no decir nulo.
Si hablamos de la tienda del barrio, es más probable que sepan dónde vivo, tal vez tengan mi teléfono y conozcan mi nombre porque alguna vez me hayan llevado la fruta a casa o porque le haya dicho: «avísame cuando te lleguen los fresones». Ya comienza a existir un tratamiento de mis datos más evidente.
Y si hablamos de la gran superficie, de las tarjetas de fidelización y compra… qué os voy a contar. Con los datos que tratan sobre nosotros, pueden llegar a elaborar un perfil completo sobre mí, como consumidor. Además de saber mis datos personales básicos, saben lo que me gusta, lo que gasto habitualmente… en fin…
Lógicamente el tratamiento de datos es totalmente diferente en los tres casos y, por tanto, también lo es la afectación que puede tener el mismo sobre mi vida privada. Es evidente, por ello, que las medidas que debe aplicar cada uno para respetar y proteger mi privacidad nada tienen que ver.
Volvamos ahora a nuestra posición como empresa.
Seamos conscientes de que somos los responsables de cómo y para qué se van a tratar los datos de nuestros clientes y, de la misma manera que nos gusta que se respete nuestra intimidad y nuestros derechos y libertades como personas, ¿no deberíamos prestar el mismo respeto por las personas cuyos datos tratamos?
Hay ocasiones en las que los datos que tratamos pueden tener una clara afectación a los derechos y libertades de las personas. Imaginemos la elaboración de perfiles, que hemos comentado antes, o el tratamiento de las historias clínicas por parte de un hospital, por poner tan solo un par de ejemplos. Son tratamientos que pueden afectar a nuestros clientes, a su vida y sus derechos, a su libertad.
Es por ello que, antes de iniciar este tipo de tratamientos, hay que hacer una evaluación sobre las implicaciones que puede tener el mismo. Una evaluación previa, que nos permita determinar si estamos preparados para poder tratar esos datos de forma responsable y segura, para evitar que los titulares de los mismos puedan ver afectados sus derechos y libertades.
Tendremos que analizar todas las fases del tratamiento. Entre otras cosas, deberemos estudiar los niveles de acceso y las responsabilidades de las personas que van a trabajar sobre los datos; los procesos, tanto a nivel técnico como organizativo, que se van a ver implicados; las empresas proveedoras y los servicios, tanto internos como externos, que se van a utilizar; tendremos que llevar a cabo un estudio detallado de los riesgos potenciales, estudiando si estos son asumibles o no… Para ello, es necesario contar con un equipo de trabajo formado no solo por los responsables e implicados en el diseño del tratamiento, sino también por un equipo multidisciplinar de expertos, tanto a nivel tecnológico como de aplicación de la normativa en materia de protección de datos.
Además, hemos de ser conscientes de que los resultados de ese análisis podrían concluir que el tratamiento de datos objeto del estudio no es viable para poder garantizar los derechos y libertades de las personas cuyos datos van a ser tratados. Si el tratamiento fuera viable, debemos tener presente que esto es solo el comienzo, pues el sistema deberá estar en mejora continua y ser evaluado periódicamente, para descubrir nuevos riesgos potenciales.