El pasado 18 de marzo celebramos en la sede de ECIJA en la Torre de Cristal de Madrid, un desayuno de trabajo que bajo el título “Evaluaciones de Impacto en Protección de Datos Personales”, donde se analizaron y se debatieron, junto a los asistentes, la naturaleza y origen de las evaluaciones de impacto, y las ventajas y valor añadido que su ejecución aporta a las empresas, a pesar de no tratarse, hasta el momento, de una obligación exigible legalmente.
Pese a que actualmente no existe una obligación legal expresa de llevar a cabo Evaluaciones de Impacto en materia de Protección de Datos Personales, sí se trata de una buena práctica integrada en la denominada privacidad por o desde el diseño (privacy by design), y que como tal, ya se encuentra recogido su carácter obligatorio en la Propuesta de Reglamento Europeo de Protección de Datos.
En este sentido, ya han sido publicadas diversas Guías por diversos organismos de control, como:
- La "Guía para una Evaluación de Impacto en la de Protección Datos Personales" por parte de la Agencia Española de Protección de Datos a finales de octubre del pasado año.
- -The Information Commissioner's Office (ICO) inglesa, publicó en Diciembre de 2007 una Guía relativa a las evaluaciones de impacto y a finales de febrero de 2014 publicó un Código de Buenas Prácticas en la realización de evaluaciones de impacto en material de protección de datos (Conducting Privacy Impact Assessments Code of Practice).
- La Commission Nationale de l'Informatique et des Libertés (CNIL) francesa, publicó en junio de 2012 una Guía denominada "Metodología para la Gestión del Riesgo de Privacidad" (Methodology for Privacy Risk Management).
- La Bundesamt für Sicherheit in der Informationstechnik (BSI) alemana, publicó en noviembre de 2011 unas directrices para la ejecución de EIPD (Privacy Impact Assessment Guideline).
Asimismo, se trataron los aspectos a tener en cuenta para llevar a cabo la implantación de procedimientos de análisis de impacto en materia de privacidad sobre un determinado sistema de información, producto o servicio que vaya a desarrollarse, y que puede entrañar riesgo para la protección de datos y la privacidad de los afectados, así como los relativos a las acciones para llevar a cabo la gestión y minoración de dichos riesgos mediante la adopción de las medidas pertinentes en todas las fases del tratamiento, tanto desde el punto de vista jurídico, como técnico, como meramente organizativo.
Pese a que a que la información contenida en las diferentes guías puede parecer dirigida únicamente a proyectos de grandes compañías transnacionales, no cabe duda de que llevar a cabo este tipo de ejercicios analíticos (muy habituales en países anglosajones) permite a las compañías (de cualquier sector, actividad y dimensión) reducir sustancialmente el riesgo de sanción así como los posibles daños reputacionales asociados),evitando así mismo los costes y esfuerzos asociados a la adecuación de un sistema, servicio o producto que ya se encuentra desarrollado.
La ejecución de este tipo de análisis y evaluaciones de impacto en la fase de diseño de nuevos productos, servicios y sistemas de información, supone a las compañías importantes beneficios y ventajas:
- Implantación e interiorización de la cultura de la privacidad desde el diseño ("Privacy by Desing") y la seguridad por defecto ("Security by Default") en las compañías.
- Transparencia y Trazabilidad de los tratamientos de datos personales efectuados, tanto internamente en las compañías (mejorando la eficacia de los procesos de cumplimiento normativo), como con respecto a los usuarios finales y consumidores.
- Supone un evidente aumento nivel cumplimiento normativa protección datos personales, y en consecuencia
- Una reducción / minoración riesgos (legales, seguridad, económicos, reputacionales…)
- Todo ello supondrá un aumento confianza de los consumidores, y en consecuencia un aumento de las ventas.
Para llevar a cabo evaluaciones de impacto deben analizarse y documentarse, al menos, los siguientes aspectos:
- Resumen del proyecto / tratamiento, y sus características.
- Descripción detallada de los aspectos que tengan que ver con; generación de perfiles, tratamiento de datos especialmente protegidos, toma de decisiones o acciones, etc… Es decir, de las acciones que puedan suponer un impacto en la privacidad de los afectados por suponer tratamientos especialmente intrusivos.
- Descripción detallada de las categorías de datos personales incluidos en los tratamientos evaluados.
- Descripción detallada de quién accederá a cada categoría de datos personales y los motivos y justificaciones para ello.
- Diagramas que incluyan los flujos de datos personales.
- Información y diagramas adicionales para ilustrar aspectos como el control de acceso o la conservación o destrucción de datos personales objeto de tratamiento.
El evento concluyó con un productivo "networking" en el que ponentes y asistentes debatieron, no tanto acerca de la necesidad de realizar este tipo de análisis (cuyo valor añadido quedó acreditado durante la jornada y en las experiencias de los asistentes), sino sobre acciones concretas a llevar a cabo en las distintas fases del ciclo de vida de sistemas, productos y servicios con implicaciones en materia de protección de datos, como; medidas técnicas y jurídicas a tener en cuenta en las distintas fases de los proyectos y que han de ser implantadas, los posibles medios para la comunicación interna y externa (usuarios finales, consumidores…) tanto de las evaluaciones de impacto como de las posibles incidencias relacionadas con el tratamiento de datos (data breach), etc.