Confilegal
Confilegal
Menú
Portada / Firmas
Firmas

La protección de datos y la llamada «protección activa (I)

La protección de datos y la llamada «protección activa (I)
Javier Puyol es el socio director de Puyol Abogados, una boutique legal especializada en el mundo de las nuevas tecnologías y el cumplimiento normativo. Confilegal.
27/12/2016 05:55
|
Actualizado: 01/7/2022 08:38
|

En esta noticia se habla de:

Durante la última década, tal como pone de manifiesto la Fundación Telefónica[i] se han producido fenómenos tan relevantes como el crecimiento exponencial del número de usuarios de Internet, la proliferación de ordenadores, smartphones y otros dispositivos avanzados, la extensión de la banda ancha móvil, y la multiplicación de servicios como correo y comercio electrónicos, cloud computing, redes sociales y otros muchos directamente asociados a la web.

Todo ya generado importantes beneficios económicos sociales, al punto de haberse incorporado como parte fundamental de la vida diaria de los ciudadanos, y permitido mayores posibilidades de comunicación, colaboración o partición.

La evolución tecnológica ha incrementado al mismo tiempo, la capacidad de recogida, uso y almacenamiento de datos personales, en gran medida por motivos de eficiencia, comerciales o de seguridad, por parte de múltiples agentes públicos.

Éste proceso tiene lugar en un entorno abierto y global, donde se difuminan las barreras territoriales y los sistemas legales que regulan la privacidad y el intercambio de datos de índole personal.

Consecuentemente con ello, de estas circunstancias se infiere la necesidad de proceder a reforzar las garantías que deben presidir la privacidad materializada, especialmente, en los datos de carácter personal que la misma lleva consigo.

Este importante papel en defensa y protección de la privacidad necesita instrumentos y medidas adecuadas a los tiempos que corren, entre los cuales, cobra una gran importancia la existencia de una armonización legislativa seria y definitiva en esta materia, constituyendo con toda probabilidad un fiel reflejo de ello, el nuevo Reglamento General de la Unión Europea sobre protección de datos de carácter personal, el cual tiene un afán homogeneizador de las diferentes legislaciones internas de cada uno de los estados miembros de la Unión.

En la interpretación y aplicación del nuevo Reglamento, se hace muy importante la voz de la Agencia Española de Protección de Datos, quien ha señalado que uno de los aspectos esenciales del nuevo Reglamento General de Protección de Datos de la Unión Europea, se basa en la necesidad de que, por parte de las organizaciones, y demás personas jurídicas o físicas que tratan datos de proceder preventivamente en su relación y gestión de dichos datos, y eso, es lo que dicha Agencia ha venido a denominar como “responsabilidad activa”[ii].

Este concepto es equiparable a una responsabilidad de carácter preventivo, que trata de evitar que se produzcan lesiones y vulneraciones a la normativa vigente en materia de protección de datos de carácter personal.

Las empresas deben tomar medidas

En aras de garantizar, precisamente, de manera adecuada los derechos de los ciudadanos, y respetar los demás derechos fundamentales que se encuentran vinculados con la protección de datos de carácter persona, se determina que las empresas deben adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías que el Reglamento establece.

Con toda probabilidad, entre las medidas a medidas a adoptar, se encuentran la necesidad de implantar y transmitir la necesaria confianza y transparencia por parte de las empresas, en toda clase de tratamientos de datos que afecten a la privacidad de las personas.

La confianza constituye el elemento clave para los colectivos sociales, los usuarios y toda clase de asociaciones profesionales, y está vinculado al uso que cualquier sociedad haga de manera colectiva o individual de las tecnologías.

Es cierto también, que la confianza está muy vinculada la seguridad, la cual sustituye una de las principales barreras de entrada de los usuarios al uso generalizado de estas nuevas tecnologías emergentes. Apple, por ejemplo, ha asumido el lema que afirma, que la privacidad empieza por una buena seguridad[iii].

Al lado de la confianza, y la seguridad, se alza la trasparencia, en la que el Reglamento Europeo deposita buena parte de sus esperanzas, como un elemento incentivador de la seguridad jurídica y personal que debe presidir tanto Internet, como el comercio electrónico, y en definitiva cualquier clase de tratamiento de datos de carácter personal.

Parea ello, el Nuevo Reglamento entiende que actuar sólo cuando ya se ha producido una infracción es insuficiente como estrategia, dado que esa infracción puede causar daños a los interesados que pueden ser muy difíciles de compensar o reparar.

En este sentido, la Agencia Española señala que el Reglamento prevé un conjunto de medidas que, precisamente, tratan de establecer garantías adecuadas en el tratamiento de los datos de carácter persona, y por ello, se mencionan expresamente como tales.

Entre otros instrumentos legales contenidas en el indicador Reglamento General, cabe citar, entre otras medidas y garantías, como comienzo de estas reflexiones, las llamadas “protección de datos desde el diseño”, y la “protección de datos por defecto”.

La privacidad desde el diseño consiste en la implantación de políticas y medidas que permitan a las empresas acreditar el cumplimiento del marco legislativo desde el momento en el que se diseña un nuevo producto o servicio que implique un tratamiento de datos.

Persigue además obtener una ventaja económica para las empresas, al permitir identificar, corregir y/o mitigar en las etapas iniciales del diseño de un nuevo producto o servicio, posibles riesgos que puedan derivarse de la misma antes de que el sistema se desarrolle, lo que implica, una solución de elevados costes para las empresas por el rediseño y adaptación de la tecnología.

Las entidades, tanto cuando actúan como responsables de los ficheros como encargados del tratamiento, deberán adoptar políticas internas y aplicar medidas y procedimientos jurídicos, técnicos y organizativos apropiados y proporcionados, tanto en el momento de la determinación de las finalidades y los medios de un tratamiento de información personal como del tratamiento propiamente dicho.

La implementación de estos principios exigirá que la protección de datos se integre en todo el ciclo de vida de cualquier producto o servicio a través del que se realice un tratamiento de datos personales, desde la primera fase de diseño hasta su despliegue final, su utilización y su eliminación definitiva, centrándose sistemáticamente en proporcionar amplias garantías respecto de la exactitud, la confidencialidad, la integridad, la seguridad física y la supresión de los datos personales[iv].

Documentar las medidas de seguridad

En este sentido, UBT Compliance[v], ha afirmado que el cumplimiento de este principio se encuentra estrechamente relacionado con la obligación de diligencia debida (accountability), pues esta implica una rendición de cuentas de los responsables del tratamiento.

Conforme a dicha obligación, es requisito indispensable documentar y acreditar la implantación de medidas de seguridad, así como de todas aquellas medidas preventivas dirigidas a garantizar el cumplimiento normativo en el ámbito de protección de datos.

Complementariamente a ello, la llamada “protección de datos por defecto” exige, tal como exige el citado Reglamento Europeo, que el responsable del tratamiento aplique las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento.

Esta obligación se aplica a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas tienen que garantizar, en particular, que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.

Por todo ello, puede afirmarse[vi], que dicha privacidad por defecto viene a consistir, básicamente, en velar por que las medidas preventivas definidas en la fase de planificación previa se mantengan vigentes y sean eficaces a lo largo de toda la vida útil del sistema, red o proceso.

Garantizando en todo su alcance, que, por defecto, sean objeto de tratamiento los datos mínimos para la finalidad establecida y que los mismos no sean accesibles, sin mediar la intervención del interesado.

Es decir, el principio de privacidad por defecto guarda una gran similitud con el principio de calidad de los datos que se recoge en el artículo 4 de la Ley Orgánica de Protección de Datos.

Sobre el que introduce, sin embargo, dos novedades esenciales, como son, por un lado: el carácter no reactivo de las medidas aplicables para cumplir con este principio, sino que vengan prefijadas desde la fase de planificación del tratamiento.

Y, por otro lado: la necesidad de que este cumplimiento desde el diseño, sea acreditable.

Y, por lo tanto, la aplicación del principio de privacidad desde el diseño y del de privacidad por defecto, exigen de los responsables una serie de implicaciones, que podríamos resumir en las siguientes:

a). Gestionar los mínimos datos posibles para alcanzar la finalidad establecida

b). Limitar los accesos a los datos, aplicando medidas proporcionales a la sensibilidad de los mismos.

c). Proporcionar al titular de los datos los medios de control efectivo sobre los datos.

d). Garantizar que en todo momento el interesado disponga de información suficiente y veraz sobre el tratamiento.

e). Realizar evaluaciones de impacto (PIA´s), que serán obligatorias en los casos en los que el tratamiento entrañe un alto riesgo para los derechos de los titulares.

Desde una perspectiva eminentemente práctica, debe señalarse con Orts[vii], que realmente, se trata de tener en cuenta la normativa de protección de datos de la misma manera que se tiene en cuenta cualquier otro tipo de normativa cuando se decide emprender un proyecto nuevo: a todos les resulta totalmente asumido que para abrir un negocio hay que contar con una licencia de actividad, disponer de una serie de permisos, cumplir con la normativa de prevención de riesgos laborales, disponer de salida de emergencia, etc.

En un proyecto tecnológico, un proyecto de comercio electrónico, una app, una web corporativa, nuevo software de gestión, un sistema operativo, etc., ha de ocurrir de la misma manera: se ha de contar con este tipo de premisas a la hora de su planificación. Además, hay que tener en cuenta que de esta manera se conseguirán abaratar costes, ya que siempre resulta más barato trabajar desde el diseño que tener que hacer modificaciones en un proyecto ya iniciado para cumplir con la legislación.

En alguna manera, la implantación de medidas preventivas que traten de garantizar adecuadamente los tratamientos de datos de carácter personal, no sólo supone respetar los derechos y libertades a los que los ciudadanos tienen derecho, sino que desde el punto de vista estrictamente empresarial, constituye cada día más, un factor de evidente rentabilidad en el ejercicio de cualquier actividad económica, especialmente, con referencia a las de naturaleza reputacional, donde el elemento confianza y el respeto a la organización, es evidente que sale reforzado en sobre manera.

[i] Cfr.: FUNDACION TELEFONICA. «El debate sobre la privacidad y seguridad de la red: regulación y mercados». Coordinadores PEREZ, Jorge y Badía, Enrique. Madrid 2.012.

[ii] El Consejo de Europa ha llamado también a los Gobiernos a «actuar resolutivamente y a prevenir las violaciones de este derecho fundamental -la privacidad-» sin descuidar «la protección activa y la promoción de la libertad de expresión».

[iii] APPLE. Privacidad.

[iv] Cfr.: ZORRAQUINO RICO. “La protección de datos desde el diseño”. PWC. Blog PWC Tax & Legal Services: Derecho de Nuevas Tecnologías.

[v] El principio de Privacy by Design busca dar respuesta a las nuevas formas de tratamiento de datos presentes en nuestra sociedad “digitalizada”, así como a los retos y amenazas que las mismas presentan, a través de la implantación y supervisión de garantías durante todo el tratamiento, con carácter preventivo y revisable. Así mismo, exige a los responsables identificar, previamente: la forma del tratamiento, las obligaciones inherentes y los intervinientes en el mismo, a fin de conocer el alcance de dicho tratamiento y permitir llevar a cabo la planificación previa.

Cfr.: UBT COMPLIANCE. “Reglamento Europeo de la protección de Datos ¿Qué es la privacidad desde el diseño?”. 

[vi] Cfr.: UBT COMPLIANCE. Obra citada.

[vii] Dicho autor, asimismo ha afirmado que siempre ha de defenderse que la mejor forma de adaptarse a la normativa es incluirla dentro de la planificación empresarial. Del mismo modo, también se podrá entender el cumplimiento de la normativa como un valor añadido de nuestro modelo de negocio. Adelantarse en este sentido es una ventaja competitiva a todos los efectos, que también otorga confianza y ofrece una garantía a los clientes y usuarios acerca de los productos y servicios que se ofrecen.

Cfr.: ORTS FERRER, Alvaro. “El principio de “privacidad” desde el diseño”. El derecho-com. 7 de octubre de 2.013.

 

Otras Columnas por Javier Puyol Montero:
Opinión | Los ciberataques también son posibles contra los teléfonos móviles
Opinión | Neurotecnología: ¿Estamos listos para el próximo gran desafío ético y legal?
Opinión | Ciberseguridad e Inteligencia Artificial: vinculaciones
Opinión | La Inteligencia Artificial y la función de juzgar
La estrategia española de transformación digital y el «Sandbox» sobre la Inteligencia Artificial
Tiempo de recuperación tras un ciberataque
Últimas Firmas
  • Opinión | Circunstancias atenuantes: disminuir la pena por resarcir los daños
    Opinión | Circunstancias atenuantes: disminuir la pena por resarcir los daños
  • Opinión | Turno de oficio en 2024: ¿Por qué seguimos en huelga?
    Opinión | Turno de oficio en 2024: ¿Por qué seguimos en huelga?
  • Opinión | ¿Cumple el fichaje de Broncano con la Ley de Contratos del Sector Público?
    Opinión | ¿Cumple el fichaje de Broncano con la Ley de Contratos del Sector Público?
  • Opinión | Atentados suicidas: ¿Los autores materiales son pretendidos mártires o víctimas de chantajes?
    Opinión | Atentados suicidas: ¿Los autores materiales son pretendidos mártires o víctimas de chantajes?
  • Opinión | Huelga del turno de oficio: más legal, imposible
    Opinión | Huelga del turno de oficio: más legal, imposible