Una nueva realidad para la privacidad

La disrupción tecnológica es continua, y de su mano siempre tenemos que cuidar de los datos personales que se ven involucrados. La evolución de la normativa en materia de privacidad ha sido vertiginosa en los últimos tiempos, viéndose la importancia de haberla reformulado para hacerla más flexible frente a los avances tecnológicos, y aportando la perspectiva de gestión de riesgos. Las circunstancias de las últimas semanas, y las perspectivas de futuro a medio y largo plazo, han supuesto un incremento aún más acusado de las necesidades de evoluciones tecnológicas que pudieran parecer ciencia ficción no mucho tiempo atrás.

En este contexto, se hace clave ser capaces de determinar si las actividades de tratamiento implicadas se realizan de forma proporcional, estableciendo un balance apropiado entre el beneficio obtenido y el impacto causado a los interesados.

A lo largo de esta publicación, vamos a tratar de reflexionar acerca de los riesgos que pueden suponer para la privacidad ciertas actividades de la nueva realidad:

• ¿Cómo se tratan los datos en un probador virtual? ¿Se compartirán nuestras medidas 90-60-90? ¿Se respetará mi gusto por la ropa de un color determinado? ¿Sabrán en qué momentos o épocas del año me gusta ir más a las tiendas de ropa?
• ¿Me puedo negar a tomarme la temperatura para acceder a un negocio? Si no estoy de acuerdo, ¿pueden negarme la entrada?
• Si mis hijos hacen la EBAU de manera telemática y controlan su identidad mediante reconocimiento facial, ¿es esto proporcional? ¿No hay soluciones menos invasivas?
• El uso de la tecnología bluetooth para aplicaciones que ayuden a hacer seguimientos de los contagiados y saber si he compartido espacio con alguno parece muy interesante, pero ¿estoy seguro de que no usan mis datos y movimientos para otras finalidades? ¿De verdad los datos estarán anonimizados?

Los avances tecnológicos y la capacidad de innovación para mejorar nuestras vidas son grandes noticias. No en vano, nunca hemos de olvidar el respeto por la máxima protección de los datos que se ven envueltos en estas actividades. Para ello, es necesario realizar un enfoque integral y desde las etapas más tempranas de nuestros proyectos de innovación para evitar o mitigar riesgos. De este modo se consigue también ganar en eficiencia, pues no nos lleva a dar pasos hacia atrás en el diseño, cuando surgen problemas que no habíamos contemplado con anterioridad.

Todo este enfoque integral debe partir de la descripción y entendimiento del nuevo proceso o actividad que pretendemos poner en marcha. En este punto, el mecanismo implementado de privacidad desde el diseño, debería ponerse en marcha con el asesoramiento de las figuras clave. Se valorarán aspectos tales como la base jurídica, la finalidad, los plazos de conservación o la minimización, los cuales, entre otros, deberán ser incorporados en nuestro registro de actividades de tratamiento.

Una vez dado este primer paso, ha de realizarse también el análisis de riesgos pertinente, teniendo en cuenta los riesgos derivados de las tecnologías que vayamos a utilizar, como, por ejemplo, las relacionadas con un data lake, o si pensamos realizar el procesamiento en la nube. Con el resultado de este análisis de riesgos, identificaremos qué operaciones podrían conllevar la ejecución de una evaluación de impacto (o PIA, por sus iniciales en inglés Privacy Impact Assessments) para realizar una evaluación de las amenazas y para definir controles o medidas concretas para mitigarlas.

Asimismo, debemos confrontar si necesitaremos terceras partes involucradas en el proceso y, en su caso, homologarles dentro de nuestro procedimiento de compras para asegurarnos que cumplen los requisitos mínimos con respecto al RGPD. Una vez sepamos que ofrecen garantías adecuadas, formalizaremos la relación contractual y estableceremos la posibilidad de realizarles auditorías para, de acuerdo con el principio de responsabilidad proactiva, poder demostrar que nuestros proveedores son confiables. También deberemos valorar si se van a realizar transferencias internacionales para formalizar y llevar a cabo las acciones pertinentes.

Con respecto a las posibles medidas técnicas y organizativas que ya tenemos definidas o que pensamos que van a ser necesarias para proteger los datos de los clientes, resulta fundamental poder basarse en diferentes marcos de referencia que existen a nivel internacional, ya que ayudan a hacer un análisis más eficiente. En este sentido, uno de los estándares más demandados actualmente es el relacionado con la ISO 27701, el cual se trata de una extensión de la ISO 27001 y 27002 añadiendo una serie de criterios nuevos relacionados con protección de datos, divididos en dos vertientes según se actúe como responsable del tratamiento o encargado.

Pasaríamos en este punto a poner en marcha los posibles planes de acción que nos han surgido y a actualizar o crear políticas de privacidad y medidas de transparencia, sin olvidarnos de los derechos que tienen los interesados al respecto de este nuevo proceso que queremos realizar. Es necesario articular los procedimientos que sean necesarios para garantizarlos.

Asimismo, es necesario garantizar cómo ha de gestionarse una posible brecha de seguridad en el contexto del proceso en cuestión.

Para ponerle el broche, por supuesto se hace necesaria la labor de formación y concienciación en el uso o funcionamiento del proceso que implementamos en cuestión, y dotarnos de capacidades para revisarlo periódicamente, como por ejemplo realizando auditorías externas.