Privacidad desde el diseño y evaluación de impacto | María Arias Pou

Privacidad desde el diseño y evaluación de impacto

Llevamos tiempo hablando de Privacy by design y de Privacy Impact Assessment, PIA, esto es de la privacidad desde el diseño y la evaluación de impacto en protección de datos o análisis ‘previo’ de riesgos. En el entorno del cumplimiento normativo en el que estamos avanzando y donde cada vez es más importante la planificación previa, los abogados TIC observamos como poco a poco, a veces muy lentamente, va calando en los proyectos tecnológicos la concienciación de los agentes en la necesidad de ‘tener en cuenta’ las normas aplicables antes de acometer el proyecto. En mi opinión esta es la dirección correcta. La Agencia Española de Protección de Datos ha insistido en ello en el marco de la séptima sesión anual abierta que se celebró el pasado 21 de abril.


Pensemos en un proyecto de comercio electrónico. La normativa que le resulta aplicable excede de la referente a la protección de datos personales, pero limitándonos a esta podemos decir que el prestador de servicios, el editor de la página web, deberá considerar cuestiones relacionadas con la privacidad de los usuarios y consumidores que se acerquen a comprar a su portal, por ejemplo y entre otras: recogida de datos en el formulario de registro; envío de comunicaciones comerciales sobre productos, bienes o servicios del portal; uso de cookies para análisis estadístico, de comportamiento y para recuperar cestas no culminadas, entre otras; para facilitar el proceso de pago, relación con los proveedores que dan soporte al portal y que para ello van a tener acceso, en mayor o menor medida, según el caso, a los datos personales de los usuarios, etc.
En definitiva la privacidad desde el diseño reclama que las cuestiones de protección de datos y privacidad se tomen en consideración desde la fase inicial, desde el momento mismo del diseño de un producto o servicio. Con ello se consigue no solo una mayor eficacia en la protección de los derechos de los afectados, sino también evitar algo que sucede con demasiada frecuencia: la reconvención a posteriori de la norma a la tecnología de tal forma que, una vez que ésta ha sido desarrollada o implantada, se aprecia su ilegalidad y ello lleva consigo altos costes para su rediseño y adaptación. Así lo expone la Agencia Española de Protección de datos en su Guía para una Evaluación de Impacto en la Protección de Datos Personales.
Y entre las herramientas más útiles para avanzar en la privacidad desde el diseño se encuentran las Evaluaciones de Impacto en la Privacidad o en la Protección de Datos, que implican, en esencia, un ejercicio de análisis de los riesgos que un determinado sistema de información, producto o servicio puede entrañar para el derecho fundamental a la protección de datos de los afectados y, tras ese análisis, una gestión eficaz de los riesgos identificados mediante la adopción de las medidas necesarias para eliminarlos o mitigarlos. Es decir, exige una reflexión seria y responsable sobre los tratamientos de datos personales que se vayan a llevar a efecto y, así, detectar y minimizar los riesgos para los derechos de los afectados que los mismos pudieran entrañar.
Los beneficios del realizar la evaluación de impacto en su debido momento son grandes. Para un prestador de servicios aminorar el riesgo en esta materia tiene consecuencias legales, económicas y algo que día a día va ganando importancia en el ámbito del comercio electrónico, consecuencias reputacionales. Una plataforma de comercio electrónico conforme con la normativa vigente aporta seguridad al consumidor o usuario, mejora su experiencia y cada vez es más valorado.
En la práctica del cumplimiento normativo y en el caso concreto que analizamos, de la evaluaciones de impacto, la clave está en el análisis previo, en el estudio legal del caso concreto, en la elaboración de las conclusiones y pautas a llegar a cabo, debidamente documentadas y argumentadas, en la valoración del riesgo asumible, por qué insistir, se trata de conocer el riesgo del proyecto y minimizarlo, en cada una de las posibles soluciones y en el acompañamiento del proyecto desde su nacimiento, pasando por su lanzamiento y durante su ciclo de vida. Sin perjuicio de que estas evaluaciones puedan ser acometidas sobre proyectos activos en la empresa sobre los que se quiera aminorar el riesgo.

El principio de privacidad desde el diseño es, en mi opinión, trasladable a otras exigencias legales, pero de esto hablaré en los siguientes post.

Sin comentarios | Leído 228 veces

Tu puedes enviar una respuesta, or trackback desde tu propio site.

Enviar Comentario

*