El propósito fundamental del
Reglamento General de Protección de Datos es la garantía de los
derechos y libertades de las personas físicas en cuanto al
tratamiento de sus datos personales. Para ello la norma europea
establece una serie de Principios fundamentales recogidos en su
artículo 5:
1. Los datos personales deben recogerse
bajo unos fines determinados, explícitos y legítimos, no pudiendo
utilizarse posteriormente para otros fines (Limitación de la
finalidad)
2. Deben ser los datos personales
exactos y actualizados (Exactitud)
3. Deben ser tratados de forma lícita,
leal y transparente (Licitud, lealtad y transparencia)
4. Al igual que deben recogerse bajo
una determinada finalidad, también es necesario que sean tratados de
manera adecuada, pertinente y limitada en función del propósito
establecido (Minimización de datos)
5. La recogida, almacenamiento y
tratamiento de los datos personales deberá realizarse durante un
tiempo determinado hasta que no sea necesario en base al fin
establecido (Limitación del plazo de conservación)
6. La gestión de los datos personales
debe llevarse a cabo bajo unas medidas de control que garantice la
seguridad (Integridad y confidencialidad)
Este último
principio garantiza y salvaguarda todos los anteriores, obligando a
los responsables de tratamiento a proteger
desde el diseño y por defecto todos los ficheros que contengan datos
personales (art. 25 del
RGPD):
“Teniendo en cuenta el estado de
la técnica, el coste de la aplicación y la naturaleza, ámbito,
contexto y fines del tratamiento, así como los riesgos de diversa
probabilidad y gravedad que entraña el tratamiento para los derechos
y libertades de las personas físicas, el responsable del tratamiento
aplicará, tanto en el momento de determinar los medios de
tratamiento como en el momento del propio tratamiento, medidas
técnicas y organizativas apropiadas, como la seudonimización,
concebidas para aplicar de forma efectiva los principios de
protección de datos, como la minimización de datos, e integrar las
garantías necesarias en el tratamiento, a fin de cumplir los
requisitos del presente Reglamento y proteger los derechos de los
interesados.”
Por tanto, el responsable del
tratamiento debe desde el principio identificar, evaluar y tratar las
posibles amenazas para evitar:
1. El acceso ilegítimo a los datos
2. La modificación no autorizada de
los datos
3. La eliminación de los datos
¿Qué es la EIPD?
Es una herramienta preventiva que ayuda
al responsable del tratamiento a identificar, evaluar y gestionar los
posibles riesgos a la hora de tratar los datos personales. El Grupo
de Trabajo 29 lo define como “un escenario que describe un
evento y sus consecuencias, estimado en términos de impacto y
probabilidad”. Es decir, el EIPD analiza todos los tipos de
amenazas y estudia la forma de prevenirlas, abordarlas, controlarlas
y eliminarlas.
¿Cuando debe hacerse una Evaluación
de Impacto de Protección de Datos?
El art. 35 del RGPD
establece tres casos en los que son necesarios la evaluación:
1. Aquellos que traten aspectos
personales con base tecnológica y elaboración de perfiles sobre
cuya base se tomen decisiones que produzcan efectos jurídicos para
los interesados de manera sistemática y exhaustiva.
2. El tratamiento de datos sensibles a
gran escala que hagan alusión a la raza, ideología, creencias,
datos genéticos, salud, vida, orientación sexual…
3. La observación sistemática a gran
escala de una zona de acceso público.
¿Quién o quienes deben hacer la
EIPD?
Antes de comenzar con la evaluación es
necesario determinar quién se va a involucrar en
las distintas fases. Inicialmente, el art. 35.2 RGPD
establece que el responsable recibirá asesoramiento del
Delegado de Protección de Datos. Por tanto es el
responsable del tratamiento el que debe realizar la EIPD.
Además del responsable del
tratamiento, con el apoyo y colaboración del encargado del
tratamiento y el asesoramiento del DPD, también pueden intervenir
terceras personas con distintas funciones y responsabilidades. Al
conjunto de personas que intervienen en el EIPD se les denomina RACI:
- (R)esponsible: es el
responsable de llevar a cabo la tarea (Responsable del
tratamiento)
- (A)ccountable: es el
responsable de que la tarea se realice. No tiene que llevarla a cabo
ni rendir cuentas sobre la ejecución de la tarea (Responsable del
tratamiento)
- (C)onsulted: es la persona a
la que debe ser consultada para realizar la tarea (Delegado de
Protección de Datos, Encargado del tratamiento y terceros
especialistas)
- (I)nformed: es a quien debe
ser informada sobre la realización de la tarea (Delegado de
Protección de Datos)
Para una mejor evaluación, podrá
requerirse el asesoramiento de personal especializado o responsables
de áreas que puedan verse afectadas.
Fases para la elaboración de la
EIPD
La evaluación se lleva a cabo en
diferentes fases:
A) Describir el ciclo de vida de
los datos
El
art. 35.7.a) del RGPD establece que es necesaria “una
descripción sistemática de las operaciones de tratamiento previstas
y de los fines del tratamiento, inclusive, cuando proceda, el interés
legítimo perseguido por el responsable del tratamiento”. Por
tanto, hay que definir las distintas etapas del ciclo de vida de los
datos:
- Captura de datos: como se
obtienen los datos, las técnicas empleadas (formularios, muestras,
encuestas, grabaciones de audio o vídeo, fuentes públicas, etc.) Es
importante tener en cuenta el principio de minimización de los
datos, esto es, recopilar solamente aquellos que son necesarios.
- Clasificación: determinar las
categorías para clasificar los datos y almacenarlos (datos
generales, relativos a la salud, datos especialmente protegidos,
etc.)
- Uso: qué operaciones se van a
llevar a cabo sobre los datos personales.
- Cesión de los datos a un tercero
para su tratamiento: determinar a qué persona física o jurídica
se va a llevar a cabo el traspaso, comunicación, cesión, entrega,
consulta, interconexión, transferencia, o difusión de datos
personales.
- Destrucción: como se van
a eliminar los datos contenidos en los sistemas o archivos de forma
que no puedan ser recuperados.
A lo largo del ciclo de vida de los
datos intervendrán una serie de personas. A todas ellas hay que
identificarlas así como delimitar sus funciones y responsabilidades.
También deben identificarse los
equipos o elementos tecnológicos utilizados para el tratamiento de
datos, sobretodo el software y hardware.
B) Evaluar la necesidad y la
proporcionalidad de las operaciones de tratamiento con respecto a su
finalidad
Una vez definido como se van a recoger
los datos, su tipología, uso, cesión y destrucción, hay que
centrarse directamente sobre los datos en sí.
En primer lugar, debe identificarse
todos los datos que van a ser objeto de tratamiento: nombre,
apellidos, dirección, teléfono, sexo, edad, estado civil, correo
electrónico, imagen, profesión, etc.
Una vez especificado cada dato se
especificará la finalidad por la que se recogen los mismos y la
fuente. Por ejemplo, la videovigilancia en un centro comercial. Las
imágenes captadas por una cámara de vídeo se consideran datos
personales ya que identifican a personas. En el caso de un centro
comercial, la finalidad sería la de prevención y grabación de
posibles actos delictivos. La fuente sería equipo de vídeo. La
finalidad, como se ha dicho, es la de prevención y registro de
posible acto delictivo, por lo que un uso distinto como el control de
los empleados o violación de la intimidad en lugares privados sería
ilícito ya que no obedece a la finalidad establecida y violan los
derechos fundamentales.
Seguidamente, hay que ver si los datos,
la finalidad del tratamiento y los medios para obtenerlos son
lícitos. El art. 6 del RGPD establece los supuestos:
- el interesado dio su consentimiento
para el tratamiento de sus datos personales para uno o varios fines
específicos;
- el tratamiento es necesario para la
ejecución de un contrato en el que el interesado es parte o para la
aplicación a petición de este de medidas precontractuales;
- el tratamiento es necesario para el
cumplimiento de una obligación legal aplicable al responsable del
tratamiento;
- el tratamiento es necesario para
proteger intereses vitales del interesado o de otra persona física;
- el tratamiento es necesario para el
cumplimiento de una misión realizada en interés público o en el
ejercicio de poderes públicos conferidos al responsable del
tratamiento;
- el tratamiento es necesario para la
satisfacción de intereses legítimos perseguidos por el responsable
del tratamiento o por un tercero, siempre que sobre dichos intereses
no prevalezcan los intereses o los derechos y libertades
fundamentales del interesado que requieran la protección de datos
personales, en particular cuando el interesado sea un niño.
Hay que recordar que para obtener datos
personales a través del consentimiento del interesado es obligatorio
que el responsable del tratamiento pueda demostrar que dicho
consentimiento se ha obtenido de forma inequívoca y libre (art. 7
del RGPD).
Otro aspecto importante es determinar
si son necesarios todos los datos ya que el art. 5.1.c) del
RGPD deja bien claro que deben ser “adecuados, pertinentes y
limitados a lo necesario en relación con los fines para los que son
tratados”, principio de minimización de datos. Un ejemplo
que se da con cierta frecuencia es en los portales de búsqueda de
empleo en Internet y empresas a través de su departamento de RRHH es
pedir a los candidatos ciertos datos como el número de la Seguridad
Social. En todo currículum vitae es lógico que se pidan datos
identificativos (nombre, apellidos, DNI y fotografía), datos de
contacto (dirección postal, teléfono o email) y datos académicos y
laborales. Sin embargo, para la selección solo es necesario un
mínimo de información personal que permita evaluar a los
candidatos. Posteriormente, si son contratados, sí es necesario
añadir más información para fines administrativos como la
elaboración de nóminas, beneficios fiscales (por ejemplo, si el
nuevo empleado tiene una minusvalía), etc.
Por consiguiente, hay que determinar
exactamente qué datos son los estrictamente necesarios sin perjuicio
de que posteriormente sea necesario recabar más datos previo
consentimiento del afectado.
Para el tratamiento también hay que
valorar si los medios utilizados para la obtención de los datos y el
tratamiento de estos son proporcionales. Tomando el supuesto de la
vigilancia en el acceso a un edificio a través de una cámara de
vídeo, hay que plantearse tres preguntas: ¿es idónea? ¿es
necesaria? ¿es estrictamente proporcional?
- Juicio de idoneidad: se
refiere a si la medida puede conseguir el objetivo propuesto. En el
ejemplo, ¿instalar en la entrada del edificio una cámara de
videovigilancia permite alcanzar el objetivo de controlar el acceso a
personas potencialmente peligrosas? La respuesta es positiva siempre
y cuando el tratamiento de las imágenes sea para registrar futuros
delitos y no para el control de las personas que acceden al edificio.
- Juicio de necesidad: plantea
la cuestión de si existe o no otra opción más moderada para
conseguir el propósito. Siguiendo con el ejemplo, instalar una
cámara de videovigilancia puede ser la mejor opción frente a la
contratación de un vigilante de seguridad o de un Conserje debido a
su alto coste y limitación de horario.
- Juicio de proporcionalidad en
sentido estricto: propone la idea de si la medida es equilibrada
entre el interés general y el personal. El hecho de instalar una
cámara de videovigilancia en la entrada del edificio tiene más
beneficios y ventajas tanto a nivel general como particular ya que
permite cierta seguridad. Incluso si el inmueble tiene una cochera
también sería proporcional, necesaria e idónea instalar otra
cámara para asegurar que nadie robe o produzca desperfectos en los
vehículos. Sin embargo, sería desproporcionado instalar cámaras de
videovigilancia en escaleras, ascensores y pasillos de todo el
edificio ya que ocasiona un perjuicio a los inquilinos y terceras
personas invadiendo su intimidad.
C) Evaluación de los riesgos
para los derechos y libertades de los interesados
Una vez definido el sistema de recogida
y tratamiento de los datos personales así como sus fines, tras
evaluar la necesidad y proporcionalidad del tratamiento, hay que
identificar, analizar y valorar las amenazas y sus consecuencias
negativas para los derechos y libertades de las personas afectadas.
El primer paso es identificar el
origen de los riesgos, conocer las amenazas que se puedan
producir en todo el ciclo de vida de los datos y las consecuencias
que puedan tener sobre los derechos y libertades de los afectados.
Como procedimiento para identificar el origen del riesgo podemos
encontrar: a) a través de situaciones anteriores; b) a través de
preguntas enfocadas a hipotéticas situaciones; y c) por razonamiento
inductivo.
A continuación hay que realizar un
análisis de las situaciones que generan riesgo, esto es,
comprender el riesgo lo más detalladamente posible para poder tomar
las decisiones correctas. Hay que tener en cuenta que una situación
puede generarse por muchas causas y tener distintas consecuencias.
Por este motivo, debe comprenderse las posibles consecuencias que
traigan distintas situaciones y la probabilidad de que estas se
produzcan para medir el nivel de riesgo.
Una vez realizado el análisis, se
valoran los riesgos en función de las medidas de seguridad
materiales y humanas que se implanten. Se estudiarán las
consecuencias y los diferentes efectos que puedan producirse en las
distintas magnitudes. Hay que recordar que inicialmente un riesgo
puede tener consecuencias leves pero que a la larga derive en un
problema importante.
Por último, establecer medidas de
control que ayuden a disminuir la probabilidad y el impacto del
riesgo.
Tomemos como ejemplo el envío de un
correo electrónico. A simple vista puede parecer que no entraña
riesgos para la protección de los datos personales. Sin embargo,
puede derivar en consecuencias muy negativas. Para comprender la
evaluación de riesgos hay que partir de la idea de que la dirección
de correo electrónico es considerado como un dato personal protegido
por la legislación y su tratamiento inadecuado puede tener
sanciones.
Bien, para enviar un email existen
varias casillas o campos que son obligatorios rellenar: “Para”
y “Asunto”. En la primera se pone la dirección de correo
electrónico del destinatario. Si queremos enviar, por ejemplo, una
oferta a una serie de clientes, lo más lógico es poner en dicha
casilla todas las direcciones de los clientes (origen del riesgo).
Esta opción tiene un riesgo para la privacidad ya que al enviar el
email todos los destinatarios podrán ver no solo su dirección sino
también la del resto de clientes (análisis de la situación que
genera el riesgo). Si no se pone un control a esta forma de envío
el problema inicial es que cada cliente podrá ver el resto de
direcciones y así conocer quién utiliza los servicios de la
empresa. Sin embargo, el impacto puede ser mayor si a uno de los
clientes le gusta la oferta y decide compartirla con su red de
amigos. En este caso los amigos recibirán el mensaje con las
direcciones de los clientes de la empresa junto a la nueva lista de
amigos. Y el impacto sería aún mayor si no es un cliente el que
envía la oferta a sus amigos sino todos los clientes. Al final se
crea una red donde la lista de correos electrónicos visibles para
todos es hace inmensa (valoración de los riesgos). La forma
de disminuir el riesgo y evitar que se magnifique es poniendo una
serie de medidas de seguridad. Además del campo “Para”
donde todo destinatario puede ver la lista completa de direcciones,
existen otras dos opciones: “CC” y “CCO”. “CC”
significa con copia y sirve para que el mensaje llegue a terceras
personas una copia del mensaje aunque no sean los destinatarios
directos. Esta opción entraña riesgo ya que también es visible
para todos los que reciban el correo electrónico. La última opción
es “CCO” que viene a ser copia oculta. Cuando en este
campo se ponen varias direcciones de correo electrónico los
destinatarios solo podrán ver su dirección mientras que las del
resto de clientes queda oculta. Cada cliente creerá que ese mensaje
con la oferta solo le ha llegado a él. La forma de disminuir el
riesgo es utilizando la opción “CCO” y creando un filtro
que impida enviar mensaje cuando, por error, se utiliza las opciones
“Para” y “CC” (establecer medidas de control
o tratar los riesgos).
D) Medidas de seguridad y control
para garantizar la protección de datos personales
Tras las distintas evaluaciones hay que
establecer todas las medidas de control y seguridad para tratar los
riesgos identificados. La Agencia Española de Protección de
Datos aconseja que se incluya la siguiente información a la hora
de determinar las acciones de prevención e intervención:
- Control
- Descripción del control
- Responsable de implantación
- Plazo de implantación
Supervisión de EIPD
Aunque desde el diseño pueda hacerse
una óptima evaluación de impacto sobre protección de datos es
difícil definir todas las situaciones hipotéticas de amenazas que
pongan en riesgo la información. Las empresas, los sistemas de
tratamiento de la información, las telecomunicaciones y las
herramientas de gestión evolucionan, se mueven siempre en un entorno
dinámico, por lo que pueden surgir nuevos riesgos no contemplados.
Por este motivo es importante que cada cierto tiempo se realice una
revisión de la evaluación para afrontar nuevas amenazas.
Naturalmente, en España contamos con
la Agencia Española de Protección de Datos (AEPD)
que, como autoridad de control, no solo vela por el cumplimiento de
la normativa europea y española en protección de datos, también
tiene la misión de ayudar a las empresas en la implantación y
gestión eficiente de medidas de seguridad. A este organismo se le
puede consultar además de mantenerse informado a través de su
página web www.agpd.es