CÓMO REALIZAR UNA EVALUACIÓN DE IMPACTO EN PROTECCIÓN DE DATOS (EIPD) EN EL MARCO DEL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS DE LA UNIÓN EUROPEA (RGPDUE) PARTE 1
@eduardchaveli Socio General Manager de @govertis
- INTRODUCCIÓN: EL ANÁLISIS DE RIESGOS, ALGO CADA VEZ MÁS HABITUAL EN LAS LEYES
Este es el primero de algunos artículos en los que voy a abordar las bases para la elaboración de una Evaluación de Impacto en Protección de Datos (EIPD) en el marco del Reglamento (UE) 2016/679, de 27 de abril, Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, conocido como Reglamento General de Protección de Datos de la Unión Europea (RGPDUE).
La evaluación de impacto supone la realización de un análisis de riesgos. Se trata de algo habitual de encontrar en algunos ámbitos por exigencia del “negocio”: Hablamos del ámbito financiero, sector asegurador etc.
Adicionalmente los estándares internacionales (como por ejemplo ISO) han abordado la elaboración de normas en materia de gestión de riesgos. Para quienes no tengan conocimiento de ello simplemente decir que las normas ISO son desarrolladas por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission).
ISO es un organismo encargado de promover el desarrollo de normas internacionales de fabricación (de productos y servicios), comercio y comunicación, consiguiendo la estandarización de normas para organizaciones tanto públicas como privadas a nivel internacional.
IEC por su parte es una organización de normalización en los ámbitos eléctrico, electrónico y en las tecnologías relacionadas.
Ambos organismos desarrollan algunas normas de forma conjunta: Las normas ISO/IEC (Para más información sobre ISO puede accederse a la siguiente url: http://www.iso.org/ )
Dichas normas son voluntarias y no pueden imponerse a ningún país, sin perjuicio de que hay supuestos en los que las legislaciones nacionales deciden (en algunas materias) dotarlas de rango legal al establecer en sus legislaciones la obligatoriedad de las mismas. Tal es el ejemplo de Chile y Perú que, a pesar de la voluntariedad de lo que suponen la adopción de las medidas identificadas en los estándares internacionales, han decidido promover el uso de la norma ISO/IEC 27002 declarándola oficial e incorporándola a su propia legislación, la cual marca actualmente los mínimos obligatorios de seguridad y confidencialidad de la información que deben cumplir las instituciones públicas del Estado. Y la verdad es que no me parece mala praxis que en ciertos ámbitos se siga dicha práctica de que las legislaciones nacionales se remitan a los estándares internacionales pues estos acumulan conocimiento contrastado.
En concreto existe una ISO específica sobre gestión del riesgo: la ISO 31000:2009. Podemos decir que es la norma base que debemos considerar en materia de gestión del riesgo; sin perjuicio de la posterior aplicación o concreción a otros marcos normativos específicos (como por ejemplo la ISO/IEC 27001:2013 de Seguridad de la información o la ISO 22301:2012 continuidad de negocio).
También en el ámbito de la privacidad, aunque sea en el concreto aspecto del cloud computing, existe una ISO específica: la ISO/IEC 27018:2014
Los estándares internacionales son buenas prácticas y por algo lo son. Veo/leo gente que las critica y no puedo sino pensar que es fruto del desconocimiento.
De hecho en materia de privacidad (después volveremos a este concepto) es interesante saber que está prevista la aprobación de una norma ISO relativa a la realización de evaluaciones de impacto: la “futura” ISO/IEC DIS 29134.
Como hemos comentado la gestión de riesgos ha estado históricamente más asociada a ciertos sectores y también desarrollada en normas ISO pero hace unos años empezó a “aterrizar” en disposiciones legales. En concreto en materia de seguridad de la información en el ámbito público mediante la aprobación del Real Decreto 3/2010, de 8 de enero que regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, recientemente modificado por el Real Decreto 951/2015.
Asimismo esta necesidad de análisis de riesgos también está impregnando otros marcos más “jurídicos” como pueden ser el blanqueo de capitales o el compliance penal.
Y por fin ha llegado también a la protección de datos.
Para realizar una evaluación de impacto en protección de datos (EIPD) me gustaría realizar una primera reflexión, que puede parecer obvia pero que creo muy importante: ¿Qué tengo que conocer para hacer una EIPD?
Para ello tengo que conocer metodología de gestión de riesgos y también conocer la protección de datos. Ambos son necesarios.
- DETERMINACIÓN DEL OBJETO: TRATAMIENTOS Y OPERACIONES DE TRATAMIENTO
Lo primero que deberemos hacer para realizar una EIPD es determinar el objeto.
Para determinar el objeto si acudimos a la teoría veremos que puede proyectarse sobre muchas cosas: Para cada elemento relevante de un dispositivo, para cada módulo relevante de un sistema, para cada actividad de un proceso de negocio y para cada tarea que incida en un flujo de información.
Pero ¿cuál es elemento nuclear en protección de datos?. El RGPDUE habla de tratamiento y de operaciones de tratamiento. Como sabemos el RGPDUE sin eliminar el concepto de fichero pone el énfasis en el concepto de tratamiento. También podemos descender a las operaciones de tratamiento pero creo más normal y habitual que la evaluación de impacto se realice sobre los tratamientos.
Pero ¿qué es un tratamiento?
Para ello debemos distinguirlos de otros conceptos que lo circundan “por arriba y por debajo”.
Por arriba y aunque el RGPDUE le haya quitado protagonismo continua existiendo el concepto de fichero que el RGPDUE define como “todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica”.
Por “debajo” del concepto de tratamiento encontramos las operaciones de tratamiento que menciona el RGPDUE pero que no define.
Según el RGPDUE:“«tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, efectuadas o no mediante procedimientos automatizados, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”;
Y esta información de los ficheros, sobre los que se realizan operaciones de tratamiento se contiene en soportes tanto automatizados como no automatizados.
Creo que poniendo un ejemplo se podría entender bien:
- Existe un fichero o conjunto de datos personales típico que es el de personal.
- Tratamientos típicos de dicho fichero pueden ser algunos como control horario, gestión de nóminas, formación de empleados etc.
- Y dichos tratamientos conllevan operaciones. Si ponemos por ejemplo el zoom en el tratamiento gestión de nóminas esta conlleva operaciones concretas como puede ser grabar los datos, procesarlos, imprimir las nóminas, enviarlas, pagarlas etc.
Pues bien, como hemos dicho y volviendo a las EIPD, las mismas se pueden proyectar bien sobre tratamientos o sobre operaciones de tratamiento. No obstante, normalmente será suficiente no granular tanto y mantenerlos en el nivel tratamiento. Sigamos en principio esta línea.
Dentro de los tratamientos hay que distinguir entre:
A. Tratamiento en desarrollo y tratamientos en producción
Los tratamientos en producción son aquellos que ya se están llevando a cabo. La entrada en vigor del RGPDUE va a obligar a realizar un análisis de los mismos conforme al nuevo marco y el resultado de la misma supondrá que puedan continuar, dejar de tratarse o dejarse en stand by como posteriormente se indica.
Los tratamientos en desarrollo podrán y deberán analizarse previamente a su puesta en producción.
B. Uno o varios
Como dice el artículo 35.1. RGPDUE in fine “Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares”
Entendemos que no sólo podrían agruparse en una misma EIPD operaciones de tratamiento sino también tratamientos.
- SUPUESTOS DE OBLIGACIÓN (Art. 35.3 RGPDUE) Y CONVENIENCIA
El RGPDUE contempla supuestos en los que es obligatorio realizar una EIPD; Y por otro lado existen supuestos en los que aunque no exista una obligación de realizar dicha EIPD obviamente esta podrá realizarse si se considera conveniente. Dicha conveniencia por tanto queda a interpretación de la organización, aunque vamos a intentar realizar algunas aportaciones.
Los supuestos de obligación están regulados en el artículo 35.3 del RGPDUE y la verdad es que no son del todo claros.
Entiendo que podrían clarificarse del siguiente modo:
- Operaciones de tratamiento que implican llevar a cabo una evaluación sistemática y exhaustiva de aspectos personales relativos a personas físicas que se basen en un tratamiento automatizado como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente o perjudiquen de alguna manera.
- Tratamientos a gran escala relativos a alguna categoría especial de datos, y/o de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas.
Por lo que respecta al concepto de categoría especial de datos, conforme al art. 9 RGPDUE tendrán la consideración de categorías especiales de datos, “aquellos que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física”.
Por su parte el concepto de “tratamiento a gran escala” viene definido en el CONSIDERANDO 91 del RGPDUE que dispone:
“Aquellas que persigan tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrían afectar a un gran número de interesados y entrañen probablemente un alto riesgo, por ejemplo, debido a su sensibilidad, cuando, en función del nivel de conocimientos técnicos alcanzado, se haya utilizado una nueva tecnología a gran escala y a otras operaciones de tratamiento que entrañan un alto riesgo para los derechos y libertades de los interesados, en particular cuando estas operaciones hacen más difícil para los interesados el ejercicio de sus derechos. (…) También es necesaria una evaluación del impacto relativa a la protección de datos para el control de zonas de acceso público a gran escala, en particular cuando se utilicen dispositivos optoelectrónicos (…) El tratamiento de datos personales no debe considerarse a gran escala si lo realiza, respecto de datos personales de pacientes o clientes, un solo médico, otro profesional de la salud o abogado. (…)
- Tratamientos que supongan un control sistemático, o monitorización, a gran escala de áreas de acceso al público, en su caso, utilizando dispositivos optoelectrónicos.
Ninguna definición aporta el RGPDUE sobre este concepto aunque puede ayudarnos la siguiente definición de “optoelectrónica” como “el nexo de unión entre los sistemas ópticos y los sistemas electrónicos. Los componentes optoelectrónicos son aquellos cuyo funcionamiento está relacionado directamente con la luz”. Por tanto entrarían dentro de estos los tratamiento de video vigilancia, vigilancia electrónica, etc.
- Uso de tecnologías especialmente invasivas como la video vigilancia a gran escala, aeronaves no tripuladas (drones), la vigilancia electrónica, la minería de datos, biometría, técnicas genéticas, geolocalización o la utilización de radiofrecuencia (RFID).
- Tratamiento grandes volúmenes de datos personales a través de tecnologías como la de datos masivos (Big data), internet de las cosas (Internet of Things), o el desarrollo y la construcción de ciudades inteligentes (Smart Cities)
Además de estos supuestos de inclusión hay un supuesto expreso de exclusión: Los tratamientos relativos a clientes o pacientes llevado a cabo por un solo profesional de la salud o un solo abogado (CONSIDERANDO 91)
Asimismo dispone el RGPDUE que la autoridad de control publicará una lista de tipos de operaciones de tratamiento que requieran una EIPD y podrá establecer un lista de supuestos que no.
Esperemos que estas listas aporten un poco de claridad en este punto.
Como hemos avanzado el RGPDUE establece supuestos de obligación pero hay que considerar también la posibilidad de existencia de supuestos en los que sin existir exigencia la EIPD sea conveniente. Los supuestos pueden ser variados pero se me ocurren al menos los siguientes:
- Tratamiento de datos de menores de 14 años.
- Cuando se plantee el uso de información personal de la que ya se dispone para finalidades o usos distintos a los previstos inicialmente y/o que proceda de fuentes u orígenes distintos mediante el cruce de información enriqueciendo el tratamiento original.
- Cuando se trate del uso de tecnologías que podrían ser percibidas como especialmente intrusivas para la privacidad.
- La utilización de datos personales no disociados o no anonimizados de forma irreversible con fines estadísticos, históricos o de investigación científica.
- Realización de una transferencia de datos a países que no forman parte del Espacio Económico Europeo (EEE) y que no hayan sido objeto de una declaración de adecuación.
- Cuando los datos personales vayan a ser revelados a organizaciones o personas que anteriormente no han tenido acceso a esa información
Pero, como he indicado, pueden existir otros muchos.
……
Expertos en Ciberseguridad, Privacidad, IT GRC y Cumplimiento Normativo unificando la perspectiva Legal y Tecnológica.
