LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

30/01/2023. 09:34:20

LegalToday

Por y para profesionales del Derecho

Blog ECIJA 2.0

Del cumplimiento al diseño: nuevas tendencias en el tratamiento de datos personales por start-ups

asociado de Information Technology y Privacidad de ECIJA

La proliferación y consolidación de start-ups que recurren a la recogida y tratamiento de datos de carácter personal para la prestación de sus servicios a través de soluciones tecnológicas innovadoras (big data, mobile apps, wearable devices, web apps, etc.) es un fenómeno que previsiblemente irá en aumento durante el próximo año 2015. Véanse en este sentido aplicaciones como Fever, la red social de voluntariado, HelpUp, o Fitbit que monitoriza –entre otros- la actividad física de sus usuarios o la calidad de su sueño a través de dispositivos (por ejemplo, pulseras) que éstos llevan incorporados durante la utilización del servicio.

Boceto de negocios en la pared

A este respecto, debemos tener presente que junto al tratamiento de datos de carácter marcadamente personal (por ejemplo, nombre, apellidos, fecha de nacimiento, dirección de correo electrónico, etc.) estas compañías suelen requerir el acceso y tratamiento de otros datos cuya pertenencia a dicha categoría no siempre resulta tan obvia (por ejemplo, la dirección IP, datos biométricos, datos de geolocalización, etc.). Así, por ejemplo la aplicación Wallapop utiliza el sistema de geolocalización del smartphone del usuario permitiéndole comprar y vender productos a personas que estén geográficamente cerca de su ubicación.

Así las cosas, en este tipo de iniciativas los datos de carácter personal se configuran como un activo más de la compañía (junto a otros activos intangibles tradicionales como las marcas comerciales o los derechos de propiedad intelectual), que puede ser valorable desde un punto de vista económico. Así, uno de los aspectos que son tenidos en cuenta a la hora de adquirir una compañía o una rama de negocio o actividad es qué información contiene la base de datos personales asociada y qué se puede hacer con ella (entendido como finalidades legítimas de tratamiento debidamente aceptadas por los usuarios).

El problema radica en que los datos personales no siempre han sido recabados observando las obligaciones impuestas por la normativa aplicable (por ejemplo, deber de información, consentimiento, etc.), o no se encuentran debidamente actualizados (en conculcación del principio de calidad de los datos), y en consecuencia, carecerían de valor en tanto no puedan ser utilizados con finalidades comerciales o en que su uso pueda implicar sanciones económicas que desaconsejan su tratamiento.

Ante la situación descrita en el párrafo anterior cabrían dos soluciones; una medida correctora (y de eficacia limitada) tendente a solucionar un problema ya creado regularizando la base de datos y tratando de "recuperar" -en la medida de lo posible- los datos que ya han sido recabados, y otra medida de naturaleza preventiva dirigida a evitar que dicha situación llegue siquiera a materializarse.

Entre este segundo grupo de medidas, resulta de vital importancia que a la hora de confeccionar el correspondiente business plan de una start-up de esta naturaleza se tengan en cuenta otros aspectos de ámbito jurídico que permitan proteger potenciales activos de la compañía, entre los que destaca la base de datos de carácter personal asociada al negocio que va a ser desarrollado desde el momento mismo del diseño de un producto, servicio o de una nueva funcionalidad de un servicio preexistente.

Una herramienta muy útil para garantizar este concepto de privacidad desde el diseño (privacy by design) son las Evaluaciones de Impacto en la Protección de Datos (Privacy Impact Assessments), -en España no existe actualmente una obligación legal de realizar Evaluaciones de Impacto en la Protección de Datos Personales, aunque podrá existir en el futuro cuando se apruebe la Propuesta de Reglamento General de Protección de Datos para la Unión Europea-definidas en la Guía para una Evaluación de Impacto en la Protección de Datos Personales publicada por la Agencia Española de Protección de Datos (AEPD) como "un ejercicio de análisis de los riesgos que un determinado sistema de información, producto o servicio puede entrañar para el derecho fundamental a la protección de datos de los afectados y, tras ese análisis, afrontar la gestión eficaz de los riesgos identificados mediante la adopción de las medidas necesarias para eliminarlos o mitigarlos". 

Pese a que la información contenida en la guía es densa y puede parecer dirigida únicamente a proyectos de grandes transnacionales, llevar a cabo este tipo de ejercicios analíticos (habituales en países anglosajones) no sólo permitirá reducir sustancialmente el riesgo de sanción (evitando, así, el daño reputacional asociado), sino que permitirá sacar el máximo partido y rentabilidad a la información que se recabe con ocasión de la prestación de los servicios o la comercialización del producto.

En definitiva, la tendencia parece dirigirse a tratar de atajar los problemas en origen, esto es, no adaptar un determinado producto o servicio a la normativa en materia de protección de datos personales (que en ocasiones resulta de una dificultad extrema), sino que el diseño y desarrollo de dicho producto o servicio se lleve a cabo en consonancia con los principios que rigen el tratamiento de datos personales y teniendo en cuenta el impacto que el mismo pueda tener para la privacidad de sus usuarios.

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.