29 octubre 2014
La AEPD presenta la ‘Guía para una Evaluación de Impacto en la Protección de Datos Personales’
La Agencia Española de Protección de Datos (AEPD) ha presentado hoy su Guía para una Evaluación de Impacto en la Protección de Datos Personales, un documento con el que pretende promover que las organizaciones, sobre todo aquellas que hacen un uso más intensivo de los datos personales, no sólo cumplan la ley sino que apliquen a sus políticas de privacidad nuevos enfoques proactivos.
Una Evaluación de Impacto en la Protección de Datos (EIPD) es un ejercicio de análisis de los riesgos que un sistema, producto o servicio puede implicar para la protección de datos y, tras haber realizado ese análisis, afrontar y gestionar esos peligros antes de que se produzcan. Las evaluaciones de impacto, una herramienta poco conocida en España pero plenamente asentada en países anglosajones, forman parte de nuevos enfoques como el de la Privacidad desde el Diseño, que propugna que las cuestiones de privacidad y protección de datos se tomen en consideración desde la fase inicial del nuevo producto o servicio y se mantengan a lo largo de todo su ciclo de vida.
El objetivo es, por un lado, conseguir una protección más activa del derecho fundamental a la protección de datos y, por otro, potenciar las políticas preventivas entre las organizaciones para evitar tanto costosos rediseños de los sistemas una vez han sido desarrollados como posibles daños a la reputación y la imagen por un tratamiento inadecuado de los datos personales.
La publicación de la Guía, que puede utilizarse como marco de referencia flexible para un tratamiento responsable de los datos personales, tiene lugar después de que la Agencia sometiera a consulta pública durante seis semanas una versión preliminar del texto. Los comentarios y sugerencias recibidas se han tenido en cuenta para la redacción de esta versión final, que proporciona un sistema estructurado en el que apoyarse para realizar una EIPD, incluyendo documentos, plantillas y anexos útiles.
La Guía para una Evaluación de Impacto en la Protección de Datos Personales indica algunas de las situaciones en las que sería recomendable llevar a cabo este análisis: cuando se vayan a utilizar tecnologías que se consideran especialmente invasivas con la privacidad, como la videovigilancia a gran escala, minería de datos, biometría, técnicas genéticas, geolocalización, o cuando se traten grandes volúmenes de datos a través de sistemas como el big data o la internet de las cosas, entre otros ejemplos.
La Guía también señala cómo pueden gestionarse los riesgos, facilitando un listado de medidas que podrían ser tomadas por la organización para evitarlos o mitigarlos. Un ejemplo de esos riesgos podría ser la utilización de los datos recogidos para finalidades no especificadas y que podrían permitir monitorizar el comportamiento, realizar perfiles o tomar decisiones económicas o sociales sobre las personas en función de la información recopilada. La Agencia apuesta porque las organizaciones suministren información transparente y clara sobre los fines para los que tratarán la información, en particular, a través de una política de privacidad visible y accesible.
La Guía, que se ha presentado en un acto en el que han participado destacados representantes tanto del sector público como privado, supone una apuesta firme por parte de la Agencia para que las organizaciones protejan de forma más eficaz los derechos de los ciudadanos, fomentando una cultura de protección de datos más allá del mero cumplimiento normativo. La Agencia considera que, para garantizar ese cumplimiento se hace cada vez más necesario un compromiso responsable por parte de las organizaciones para evitar o minimizar los riesgos antes de que se produzcan.
La profunda transformación que se está produciendo en el tratamiento de la información personal, que adquiere cada vez un mayor valor económico, sumada a la continua irrupción de nuevas tecnologías en un entorno marcado por la globalización, requiere complementar los planteamientos tradicionales en cuanto a protección de datos con nuevas herramientas. En este sentido, la realización de evaluaciones de impacto en las organizaciones, aunque no podrá ser considerada como un criterio de exención ante eventuales responsabilidades en caso de vulneración de la normativa de protección de datos, sí será tenida en cuenta por la AEPD como un elemento relevante para valorar si se ha adoptado la debida diligencia en la implementación de medidas para cumplir con las exigencias legales.
En España no existe por el momento una obligación legal de realizar Evaluaciones de Impacto de esta naturaleza, aunque podrá existir en el futuro cuando se apruebe la Propuesta de Reglamento General de Protección de Datos para la Unión Europea. En cualquier caso, con independencia de la exigencia normativa, se trata de una metodología que ha alcanzado ya un grado de desarrollo suficiente como para considerarla plenamente incorporable a nuestro país. La Agencia considera que la aplicación de estas políticas proactivas de protección de datos puede suponer una ventaja competitiva entre las organizaciones que las apliquen, además de ser un excelente ejercicio de transparencia.