LegalToday

Por y para profesionales del Derecho

Portal jurídico de Thomson Reuters, por y para abogados

25/06/2022. 05:49:25

LegalToday

Por y para profesionales del Derecho

Herramientas tecnológicas para la gestión de la privacidad

Desde los inicios legislativos en materia de protección de datos personales y, por tanto, de los primeros proyectos de adecuación de compañías y organizaciones a las legislaciones en estas materias, se buscan herramientas tecnológicas que ayuden o puedan constituir un marco de trabajo para las gestión del sistema de privacidad. Sin ir más lejos, la propia Agencia Española de Protección de Datos (en adelante, AEPD) ha desarrollado una serie de aplicaciones, de carácter gratuito y en modalidad “ SAAS “, entre las que destacan “FACILITA” , “GESTIONA EIPD” , “EVALÚA RIESGO RGPD”,  disponibles en su portal web.

Profesionales de la protección de datos, responsables y encargados del tratamiento, además de diversos Delegados de Protección de Datos, reconocen la necesidad de usar este tipo de herramientas, pero se enfrentan a la difícil tarea de seleccionar o crear herramientas de “legaltech” que les faciliten su trabajo y que sirvan principalmente para establecer y automatizar un Sistema de Gestión de la Privacidad basado en los principios de la privacidad desde el diseño y por defecto.

Partiendo de todo lo aprendido en estas más de dos décadas sobre la implantación de sistemas de protección de datos en múltiples organizaciones, públicas y privadas, de todos los tamaños e incorporando los interesantes contenidos de la  última “Guía de la Agencia Española de Protección de Datos para la gestión del riesgo de los tratamientos de datos personales “, publicada el pasado mes de Junio,  que viene a incorporar una serie de criterios e interpretaciones de la propia Autoridad de Control así como del Comité Europeo de  Protección de Datos y el Supervisor Europeo, en este  artículo, intentaremos definir qué tecnologías y utilidades tendrán que incorporar en el futuro este tipo de herramientas.

Abordaremos en primer lugar la integración de estas herramientas en la gestión de la organización, recordamos que una parte fundamental de las “PGP-LT” (definir el acrónimo) es el Análisis de Riesgos para los derechos y libertades de los individuos, según lo manifestado en las directrices del WP248 a los derechos de protección de datos y a la intimidad(1)que nos indican, según lo establecido en la Norma ISO31000:2018 de Gestión de Riesgos, que esta gestión no debe realizarse de forma aislada y tiene  que integrarse en la gobernanza y políticas de la Organización para que pueda ser eficaz y, sobre todo, eficiente, y no como hasta el momento en un simple trámite de cumplimiento formal de la normativa legal vigente.

Por lo tanto, para el desarrollo o evaluación de cualquier herramienta PGP, es de vital importancia que tengamos en cuanta en un inicio las siguientes consideraciones:

Para los desarrollos propios de este tipo de herramientas, un código de programación conocido como puede ser  JAVA, PYTHON, C++ ,VISUAL BASIC ,.NET,JAVASCRIPT,C#,PHP,  que nos permita poder evolucionar y mantener la aplicación a lo largo del tiempo y con unos costes razonables.

Es una opción interesante y recomendable para empresas de menor tamaño el uso del modelo de Software como Servicio (SaaS),  basado en la nube, en el que el proveedor mantiene, evoluciona y se preocupa por la seguridad y continuidad del negocio y lo pone a disposición de sus clientes, a través de Internet con un sistema de pago.

En ambos casos es muy necesario que los sistemas dispongan de “web services”, tecnología que utiliza un conjunto de protocolos y estándares que sirven para intercambiar datos entre aplicaciones, puesto que como se comentó al inicio, esta gestión no debe realizarse de forma aislada, tiene que integrarse en la gobernanza y políticas de la entidad.

Una vez analizada la tecnología pasamos a analizar las funcionalidades de las principales herramientas disponibles en el mercado.

En el mapa de soluciones actual, podemos clasificar simplificadamente estas en tres tipos de aproximaciones, atendiendo a su procedencia de desarrollo, a las metodologías propias de las profesionales y a las compañías que las impulsan.

En primer lugar encontramos aquellas aplicaciones desarrolladas por empresas jurídicas, que ofrecen soluciones tecnológicas para despachos profesionales: su principal ventaja son las potentes bases de datos jurídicas y las herramientas de formación.

Una segunda categoría, serían las impulsadas desde la gestión del conocimiento (Knowledge Management), que tienen como ventaja la integración con los usuarios de la organización y el fácil acceso a todo tipo de documentos que puedan ser necesarios en las tareas de gestión de la protección de datos.

Un tercer tipo de herramientas, parten de  software de cumplimiento normativo, que tienen como objeto detectar y aclarar los riesgos legales y técnicos, y poder establecer un control para el correcto cumplimiento de las diferentes normativas legales (“Compliance”), y que tienen como mejor activo la incorporación del ciclo PDCA:: Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar), también conocido como Ciclo de Deming.

Cada una de ellas, precisamente por su origen y punto de partida y objetivos, tienen ciertas limitaciones para adaptarse a las nuevas necesidades impuestas por el enfoque legislativo actual fijado por el Reglamento General de Protección de Datos (RGPD) y Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD), en relación a los principios de privacidad  desde el diseño y por defecto.

A continuación, se incorporan algunos de los principales retos a los que nos tenemos que enfrentar para poder resultar verdaderamente útiles en el mantenimiento del sistema de privacidad y soporte al Delegado de Protección de Datos:

Usuarios cansados de múltiples herramientas,cada vez más reacios a incorporar nuevas aplicaciones que burocratizan el trabajo diario, con la cada vez mayor carga de tareas de reporte interno que ya soportan, y es muy recomendable que estas soluciones incorporen el Inicio de Sesión Unificado (Single Sign-On, SSO) para acceder a varios sistemas con una sola identificación, y que no sean redundantes en tareas.

Las herramientas de Ticketing, como elemento vertebrador y no redundante. Atendiendo a nuestra experiencia en implantación, este ha de ser el punto de partida desde donde planificar e iniciar todo el proceso de implantación del Sistema de Gestión de la Privacidad: el usuario no quiere trabajar doble a la hora de reportar incidencias, posibles riesgos, consultas, tramitar ejercicios de derechos o brechas de seguridad; si no facilitamos estas tareas, no obtendremos entradas al sistema y, por tanto, no resultara útil para la organización 

Integración con otras herramientas. De igual forma si existiesen otras aplicaciones que realizan algunas de estas funciones, éstas se deberán integrar en la medida de lo posible, para lo cual resulta de especial interés conocer, de forma previa a la adquisición de una tecnología, su facilidad de interconexión. Así, los webs Services  juegan un papel fundamental. Acorde a lo comentado, deberán estar integrados en el mapa de procesos y tecnológico de la organización, con el doble objetivo de no duplicar tareas y para poder ser alimentado de forma que resulte realmente útil.

E-learning y concienciación, como parte fundamental para lograr los objetivos de un verdadero sistema de gestión de la privacidad, que de igual forma tendrá que estar integrado dentro del ecosistema formativo de la organización. 

  • Reporte: El Delegado de Protección de Datos (DPD) está obligado a reportar y elevar a la Dirección el estado de adecuación del sistema y los análisis de riesgos correspondientes; por tanto, estas herramientas deben incorporar utilidades que faciliten este trabajo.

Irrumpen, además, tres nuevas tecnologías que cambiarán por completo el panorama tecnológico para las herramientas de gestión de la privacidad: la Inteligencia Artificial, Blockchain y el Machine Learning.

Como conclusión, podemos señalar que la mayor parte de las herramientas de gestión de la privacidad desarrolladas hasta el momento  no están constituyendo una gran ayuda para el mantenimiento del sistema de privacidad , ni tan siquiera facilitando el  fácil desarrollo de las tareas encomendadas a los Delegados de Protección de Datos.

El círculo virtuoso de un usuario formado y concienciado en materia de privacidad con unas herramientas sencillas que le faciliten el inicio de las acciones de reporte propias de un sistema bien diseñado está aún lejos de conseguirse.  El nuevo reto es  utilizar las tecnologías  legaltech que nos faciliten estas tareas,   la concienciación del usuario, los sistemas de alerta temprana y un reporte lo más automatizados posible , que permita al Delegado de Protección de Datos o responsable/encargado de tratamiento  cumplir las  tareas que le son encomendadas así como  descargar al trabajador de una añadida nueva responsabilidad , la protección de datos personales.

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.

Blog

Logo PRODAT

Te recomiendo

Correo electrónico: info@prodat.es
Web: www.prodat.es

PRODAT es una organización especializada en servicios de Consultoría, Auditoría y Outsourcing en el ámbito de la Ley Orgánica de protección de datos de carácter personal (LOPD), Reglamento 2016/679 general de protección de datos de la Unión Europea, ISO 27001, Ley de servicios de la sociedad de la información y del comercio electrónico y Compliance.

PRODAT opera en todo el territorio nacional a través de una red de 20 oficinas y en la actualidad cuenta con más de 40 consultores que utilizan las mismas metodologías y herramientas informáticas.

Fundada en 1997, en la actualidad es una organización firmemente asentada en el mercado.