Es superfluo, en nuestros días, seguir abordando y preservando la privacidad con métodos del pasado. En un entorno digital que evoluciona con gran rapidez deben gestionarse los principales riesgos que inciden sobre los datos personales sin acudir a fáciles, pero inefectivas, generalizaciones de mínimos.
Debe hacerse para cada proyecto concreto, de los muchos que una organización ha iniciado o iniciará, desde su origen y siempre que se produzcan cambios relevantes en ellos. Nos serviremos de un PIA o, como prefiere llamarle la AEPD (Agencia Española de Protección de Datos), de una EIPD (Evaluación de Impacto en la Protección de datos) [1].
NOTA DEL EDITOR: Vivimos en la era de la información y del conocimiento por lo que la esfera íntima de las personas, en el mundo actual, comprende cada vez un mayor número de datos personales. No es de extrañar, en este contexto, que se diluyan los límites entre el derecho a la intimidad y el derecho a la protección de los datos de carácter personal, al estar nuestra intimidad cada vez más digitalizada.
En consecuencia se utiliza de forma generalizada el concepto “privacidad” para referirnos a la conjunción de ambos derechos fundamentales. De ahí que, si no queremos emplear la terminología anglosajona (PIA), pese a estar tan extendida, podemos emplear EIP (Evaluación de Impacto en la Privacidad) o, como propone la AEPD, EIPD (Evaluación de Impacto en la Protección de Datos). El tiempo se encargará de legitimar a la más utilizada.
1. PROPUESTA PARA LAS FASES DE UN PIA
Un PIA no es un informe, ni tan solo una herramienta en la que nos basaremos para proteger mejor la privacidad. Es un completo proceso que dividiremos en fases.
Si bien la complejidad del proceso de elaborar un PIA dependerá del dispositivo, sistema, servicio o proceso de negocio a evaluar, siempre estará dividido en actividades que podemos agrupar en cinco fases igual que recomienda el ICO inglés [2] [5] para el full-scale PIA:
- Fase 1. Preliminar
- Fase 2. Preparación
- Fase 3. Consultas y análisis
- Fase 4. Documentación
- Fase 5. Revisión y auditoría
En función de las circunstancias de cada proyecto se decidirá el nivel de detalle de cada una de las actividades constituyentes de cada fase, o la exclusión justificada de alguna de ellas.
Pasemos a analizarlas en detalle:
1.1. (Fase 1) Preliminar
En ésta fase se verificará si efectivamente es necesario el PIA, en cuyo caso se establece una base para poder elaborarlo con mayor eficacia y eficiencia.
Está constituida por tres actividades:
- Elaborar el Plan de Proyecto: En el constarán claramente especificados los objetivos generales del proyecto y su alineación con los de la organización, el alcance y la magnitud del proyecto, los vínculos con otros proyectos y algunos elementos clave de privacidad.
- Cumplimentar el PTA: Habitualmente un PIA lo efectuará un DPO (Data Protection Officer) de plantilla, un profesional externo o un equipo, todos ellos con profundos conocimientos en seguridad de la información y en la legislación aplicable (como puede ser el RGPDUE – Reglamento General de protección de datos de la UE). La pregunta que surge es ¿Cómo saber a priori, si no disponemos de DPO, si es necesario efectuar un PIA (completo o reducido) o bien podemos prescindir de él debido a la naturaleza de los datos tratados? Para poder contestar con rigor está tomando fuerza el PTA (Privacy Threshold Analysis – Análisis de Umbral de Privacidad), que consiste en un análisis previo basado en un sencillo documento de pocas hojas y pensado para profanos, que se utiliza a modo de “check-list”. Son pocas preguntas que solo admiten SI o NO como respuesta. A partir de un 10% afirmativo debe efectuarse un PIA. Si el umbral es mucho mayor, entonces se aconseja el PIA completo. En consecuencia el PTA suele ser el primer documento recopilado de los muchos que se precisan a lo largo del PIA.
- Recopilar documentación del proyecto: En ésta fase temprana iniciaremos la recopilación y gestión documental de toda la información relacionada con el proyecto la cual nos ayudará a desarrollar el PIA con éxito.
1.2. (Fase 2) Preparación
El propósito de ésta fase es fijar la estrategia y la táctica para que la crítica “fase 3” pueda llevarse a cabo sin problemas.
Está constituida por tres actividades:
- Diagrama de los flujos de información: Se describen y dibujan los flujos de información de naturaleza personal del proyecto (dispositivo, sistema, servicio o proceso de negocio). Se trata de una actividad sustancial que debe desarrollarse con sumo rigor ya que los “olvidos” podrían ocultar vulnerabilidades importantes que desvirtuaran los resultados finales obtenidos.
- Estrategia y plan de consultoría: Se definen las diferentes “partes interesadas” del proyecto y se elabora un plan de consultoría para poder recabarles toda la información necesaria. Debe entenderse por partes interesadas a la propia organización (Accionistas, Comité de Dirección, empleados en general… ), clientes, distribuidores, proveedores, aseguradoras, reguladores, grupos gremiales, asociaciones profesionales, grupos de opinión…
- Constitución del PCG: En función de la magnitud del proyecto, se constituirá un PCG (PIA Consulting Group – Grupo consultor del PIA), normalmente multidisciplinario que se encargará de apoyar y colaborar en el desarrollo del PIA.
1.3. (Fase 3) Consultas y análisis
A partir del marco de trabajo definido en la “fase 2”, conviene centrarse en las diferentes consultas a las partes interesadas, analizar el posible impacto del proyecto en la privacidad y modularlo mediante un análisis de riesgos. Esta fase nos dará los recursos para poder encontrar y aplicar soluciones que permitan mitigar los problemas para la privacidad que hayan podido aflorar.
Está constituida por tres actividades:
- Consultas y auditorías: En base a entrevistas y auditorías, siguiendo el plan definido en la “fase 2”, se recopila toda la información de detalle en el proyecto desde diferentes puntos de vista en el ámbito de la privacidad.
- Análisis de impacto en la privacidad: Se identifican las vulnerabilidades del proyecto y se analiza su impacto en la privacidad. Algo parecido a los controles de la norma ISO 27002. Un primer y sencillo filtro pueden ser los IPP (Information Privacy Principles), que si bien el borrador del RGPDUE no los recoge específicamente en un anexo como otras legislaciones de protección de datos (Inglaterra – Data Protection Act 1998, Victoria, Nueva Zelanda…) que vienen utilizando PIAs en la actualidad, pueden servir como una primera aproximación como veremos más adelante.
- Análisis y Gestión de riesgos: Partiendo del anterior análisis de impacto, se evalúa la probabilidad de que las amenazas sobre la privacidad se materialicen. Para cada riesgo, debe decidirse si se evita (se elimina la funcionalidad), se aplican medidas que lo mitiguen (rediseño) o bien se acepta (dejarlo como está). Ésta última opción debe justificarse.
1.4. (Fase 4) Documentación
Si bien la documentación se genera y mantiene a lo largo de todas las fases del PIA, es en ésta donde se elabora el informe final.
Está constituida por una actividad:
- Elaboración del informe PIA: Se trata de un informe resumen que abarca todas las etapas anteriores y finaliza con un apartado de recomendaciones. Una opción adicional, motivada por el delicado equilibrio entre seguridad y transparencia, consiste en editar una versión simplificada del informe PIA (tipo informe ejecutivo) que, sin desvirtuarlo, permita hacerlo público. Esta actitud de transparencia aporta beneficios a la imagen de la organización y confianza a todas las partes interesadas.
1.5. (Fase 5) Revisión y auditoría
El propósito de esta fase es asegurar que las nuevas características de diseño que surgen del PIA se implementen y sean efectivas.
Está constituida por dos actividades:
- Auditoría post-PIA: Se trata de revisar el proyecto para asegurar que se incorporen en el diseño las recomendaciones del PIA.
- Seguimiento periódico: Se tendrá en cuenta el Ciclo de Vida del proyecto, ajustando el PIA a las futuras variaciones del mismo. Como dispondremos de toda la documentación concerniente al efecto en la privacidad, mantenerlo no debería representar mayor dificultad.
2. EL PIA DEBE BASARSE EN LOS PRINCIPIOS DE PRIVACIDAD
2.1. Introducción
Si el PIA/EIP debe asegurar el cumplimiento legal, está claro que deberemos averiguar
- Para cada elemento relevante de un dispositivo.
- Para cada módulo relevante de un sistema.
- Para cada actividad de un proceso de negocio.
- Para cada tarea que incida en un flujo de información.
El impacto que tendrá en la privacidad de todos los posibles afectados. Luego, en otra actividad de la misma fase, calcularemos en base a la probabilidad de que se materialice ese impacto, el nivel de riesgo resultante, que deberá ser gestionado.
2.2. Contenido esencial del derecho fundamental
Es importante indicar que un PIA/EIP es un instrumento que ayudará a las organizaciones a cumplir con su compromiso en relación a la privacidad y, en consecuencia, con sus obligaciones legales en ese sentido.
Así, deberá contemplar de alguna manera todos los principios de la legislación vigente en materia de protección de datos. Tanto los esenciales como los de legalidad ordinaria, además de cuántos controles adicionales queramos añadir relacionados con la seguridad de los datos personales.
El contenido esencial en el derecho fundamental a la protección de datos se basa en un conjunto de reglas y principios de obligado cumplimiento para el que trata la información y que van dirigidas a proteger el dato personal considerado en sí mismo, a la vez que se limitan en el tiempo los tratamientos a que pueda ser sometido. Para ello se definen un conjunto de medidas preventivas de defensa, tanto jurídicas como organizativas y técnicas, que protejan a la información desde el mismo momento que se recaba y en los tratamientos durante todo su ciclo de vida.
Pero estos tratamientos, salvo excepciones, solamente quedan habilitados a partir delprincipio de consentimiento, formulado éste de forma libre, inequívoca y específica del interesado, que es el individuo titular de los datos y amparado por el derecho fundamental a la protección de datos.
Pero el principio de consentimiento es indisociable del derecho a ser informado, en éste caso sobre la finalidad del recabado de los datos y el alcance de su tratamiento posterior (principio de limitación de la finalidad).
Y para acabar este resumen, partiendo de que los derechos fundamentales son esenciales a la persona, tenemos el derecho de acceso como mecanismo de verificación y control de los propios datos por parte del interesado, amparado por la legislación. Aquí se incardinan relacionados los conocidos como derechos ARCO.
2.3. Principios de privacidad de la Información
Hay otros principios, además de los que acabamos de ver, que están relacionados con la protección de datos. Si bien no son esenciales, tienen que ver con la legalidad ordinaria en esta materia.
Según el ordenamiento jurídico de que se trate, especialmente en los países anglosajones, se habla en general de IPP (Information Privacy Principles – Principios de Privacidad de la Información) o de FIPs (Fair Information Practice Principles – Principios de buenas prácticas de la Información).
Si observamos el nuevo borrador del RGPDUE (Reglamento General de Protección de Datos de la UE), la (ES)LO 15/1999, de 13 de diciembre, y el (ES)RD 1720/2007, de 21 de diciembre, vemos que no incorporan un anexo de principios. El hecho de no extractarlos obviamente no significa que no existan, sino que están incorporados y deben deducirse a partir de lo que dispone su articulado. En cambio, Por citar un ejemplo, en Inglaterra la actual Data Protection Act de 1998 [3], transposición de la Directiva europea 95/46/CE, en “Schedule 1 – THE DATA PROTECTION PRINCIPLES” cita 8 principios en los anexos de la “parte 1” y los interpreta en la “parte 2”.
2.4. Algo de cronología sobre principios
Históricamente, en un informe de 1973, un comité asesor del Gobierno de los EE.UU. propuso y nombró FIPs a un conjunto de principios para la protección de la privacidad inicialmente en los datos personales de sistemas de mantenimiento de registros.
La OCDE (Organización para la Cooperación y el Desarrollo Económico) propuso directrices de privacidad similares al mismo tiempo. Un grupo de expertos del gobierno bajo la presidencia del Excmo. Sr. Juez MD Kirby, Presidente de la Comisión de Reforma Legislativa de Australia, elaboró las Directrices sobre la Protección de la Privacidad y Flujos Transfronterizos de Datos de Carácter Personal. [4] La OCDE adoptó la recomendación, que entró en vigor el 23 de septiembre 1980.
A efectos ilustrativos, los ocho principios establecidos por la OCDE son:
- Principio de limitación en el recabado de datos: Debe haber límites en la recogida de los datos personales y todo dato debe obtenerse por medios legítimos y justos y, en su caso, con el conocimiento y/o el consentimiento del interesado.
- Principio de calidad de los datos: Los datos personales deben ser pertinentes a los fines para los que se van a utilizar y, en la medida necesaria para esos fines, deben ser precisos, completos y mantenidos al día.
- Principio de especificación del propósito: Los fines para los que los datos de carácter personal son recabados deberán especificarse no más tarde del momento de la recogida de datos. El posterior uso, estará limitado a la realización de esos fines o cualesquiera otros que no sean incompatibles con ellos, debiendo ser de nuevo especificados cada vez que se cambie el propósito.
- Principio de limitación de uso: No se deberá divulgar, poner a disposición o usar los datos personales para propósitos que no cumplan lo expuesto en el principio anterior, excepto si se tiene el consentimiento del sujeto implicado o por imposición legal o de las autoridades.
- Principio de seguridad: Los datos personales deben estar protegidos por garantías razonables de seguridad contra riesgos tales como pérdida o acceso no autorizado, destrucción, uso, modificación o divulgación de los datos.
- Principio de apertura (transparencia): Debe haber una política general de transparencia sobre los desarrollos, prácticas y políticas con respecto a los datos personales. Deben estar fácilmente disponibles los medios para establecer la existencia y la naturaleza de los datos personales, y los principales propósitos de su uso, así como la identidad y la residencia habitual del responsable del tratamiento.
- Principio de Participación Individual: Las personas deberían tener el derecho: a) A obtener directamente del responsable del tratamiento, o de cualquier otra forma, la confirmación de si el responsable tiene, o no, datos respecto a ella; b) A que le sean comunicados los datos relativos a su persona en un plazo razonable; mediante un cargo, si lo hay, que no sea excesivo, de forma razonable, y en un formato que sea fácilmente comprensible para ella, c) tener la posibilidad, en caso de una solicitud presentada en virtud de los incisos (a) y (b) se le deniegue, de ser capaz de recurrir esa denegación, y d) A impugnar los datos relativos a ella y, si tiene éxito la impugnación, borrar, rectificar, completar o modificar los datos.
- Principio de responsabilidad (Rendición de Cuentas): Un responsable del tratamiento debe responder del cumplimiento respecto a las medidas que den efecto a los principios antes mencionados.
2.5. En búsqueda de una relación completa de principios
Si ponemos en común las diferentes relaciones de principios que se definen por organismos, ordenamientos jurídicos y autoridades de control de diferentes países obtenemos, por ejemplo, la siguiente tabla:
Observamos que hay muchos principios comunes pero, de la totalidad de ellos, obtenemos una lista que nos será útil para una de las fases de nuestra propuesta de PIA/EIP. No tiene por qué ser una lista cerrada ya que podemos completarla según nuestras necesidades.
2.6. Principios y controles procedentes de otras fuentes
En el apéndice J “PRIVACY CONTROL CATALOG” del documento SP800-53 [6] del NIST (National Institute of Standards and Technology), se relaciona la siguiente tabla de controles que nos pueden ser de interés para completar las relaciones anteriores según las necesidades del PIA para un proyecto concreto. Los presento traducidos del inglés al español:
ID | CONTROLES DE PRIVACIDAD |
AP | Autorización y propósito |
AP-1 | Autorización para recabar datos |
AP-2 | Especificación de la finalidad |
AR | Rendición de cuentas, auditoría y gestión de riesgos |
AR-1 | Programa de gobernanza y privacidad |
AR-2 | Impacto en la privacidad y evaluación de riesgos |
AR-3 | Requisitos de privacidad para contratistas y proveedores de servicios |
AR-4 | Monitoreo y auditoría de privacidad |
AR-5 | Concienciación y Formación en Privacidad |
AR-6 | Informes de privacidad |
AR-7 | Privacidad mejorada en el diseño y desarrollo de sistemas |
AR-8 | Registro de las revelaciones |
DI | Calidad e integridad de los datos |
DI-1 | Calidad de los datos |
DI-2 | Integridad de los datos y Junta de integridad de los datos |
DM | Minimización y retención de datos |
DM-1 | Minimización de PII (Información Identificable Personal) |
DM-2 | Retención y eliminación de datos |
DM-3 | Minimización de la PII utilizada para pruebas, Formación e Investigación |
IP | Participación individual y compensación |
IP-1 | Consentimiento |
IP-2 | Acceso individual |
IP-3 | Compensación |
IP-4 | Gestión del cumplimiento |
SE | Seguridad |
SE-1 | Inventario de Información Identificable Personal |
SE-2 | Respuesta a incidentes de seguridad |
TR | Transparencia |
TR-1 | Aviso de privacidad |
TR-2 | Sistema de registro de avisos y regulaciones de privacidad |
TR-3 | Difusión de información sobre el programa de privacidad |
UL | Limitación en el uso |
UL-1 | Uso interno |
UL-2 | Compartición de información con terceras partes |
3. ANÁLISIS DE IMPACTO EN LA PRIVACIDAD
Voy a incidir en esta actividad al considerarla el núcleo del proceso de evaluar el impacto en la privacidad (PIA), precedida por el diagrama de flujos de información y seguida del análisis y gestión de riesgos.
Hemos visto que se incardina en la fase 3 (consultas y análisis) del proceso de PIA, que es donde se analiza el impacto en la privacidad y su nivel de riesgo.
Para ello se puede elaborar una tabla donde en una coordenada estén los IPP (Principios de Privacidad de la Información) y demás controles que consideremos adecuados y en la otra los diferentes elementos, módulos, actividades o tareas en que se puede descomponer un producto, servicio, sistema, proceso de negocio.
Estos elementos surgirán del análisis de los flujos de información que, en el ejemplo que seguirá a continuación por razones de espacio y simplificación, abrevio los elementos en tres columnas como E1, E2, E3 y E4.
Para cada principio, según el elemento considerado, analizaremos si el impacto es bajo, medio, alto, muy alto o simplemente “no aplica”.
Un ejemplo podría ser:
IMPACTO EN LOS IPP (PRINCIPIOS DE PRIVACIDAD DE LA INFORMACIÓN) | |||||
NÚM | IPP | E1 | E2 | E3 | E(n)… |
1 | Informar y recabar el consentimiento. | N/A | BAJO | ALTO | BAJO |
2 | Limitación en el recabado de datos (adecuados, relevantes y no excesivos). | N/A | BAJO | ALTO | BAJO |
3 | Tratamiento leal y lícito. | MEDIO | BAJO | BAJO | BAJO |
4 | Finalidad (limitación en el propósito). | MUY ALTO | MEDIO | MEDIO | MEDIO |
5 | Calidad de los datos. | MEDIO | MEDIO | BAJO | BAJO |
6 | Participación individual (acceso, rectificación, cancelación y oposición). | BAJO | BAJO | MEDIO | BAJO |
7 | Limitación del tiempo de conservación. | BAJO | BAJO | BAJO | MUY ALTO |
8 | Asegurar un período de retención. | N/A | N/A | N/A | ALTO |
9 | Seguridad de los datos (Confidencialidad, integridad y disponibilidad). | ALTO | N/A | ALTO | ALTO |
10 | Transparencia (Políticas y procedimientos claros y conocidos). | MUY ALTO | BAJO | BAJO | MEDIO |
11 | Velar por las TID (Transferencias internacionales de datos). | MUY ALTO | MUY ALTO | N/A | N/A |
12 | Minimizar y asegurar el tratamiento de información sensible. | N/A | BAJO | BAJO | ALTO |
13 | Anonimato, disociación, identificadores únicos. | N/A | ALTO | N/A | ALTO |
14 | Velar por los datos de menores. | BAJO | BAJO | BAJO | MUY ALTO |
15 | Límites en el uso futuro de los datos. | BAJO | BAJO | BAJO | MEDIO |
16 | Límites en la divulgación futura de los datos. | BAJO | BAJO | BAJO | MEDIO |
17 | Rendición de cuentas. | MUY ALTO | N/A | N/A | ALTO |
4. ANÁLISIS Y GESTIÓN DE RIESGOS
na vez disponemos del Análisis de impacto en la privacidad, que acabamos de ver completado, le aplicaremos un análisis de riesgos.
Así, modularemos los resultados de la tabla anterior con el riesgo real de que se materialicen las amenazas que provocarán los impactos calculados anteriormente.
NOTA DEL EDITOR: Puede aplicarse cualquier metodología de análisis de riesgos, mientras sea sistemática y, en diferentes evaluaciones, de unos resultados siempre equivalentes.
En base a la tabla final obtenida, de aplicar riesgos a la tabla de impactos, es que decidiremos según el riesgo resultante y para cada elemento:
- Ignorar el riesgo: Es dejar las cosas como están. Es la posición más arriesgada y deberán justificarse los motivos documentalmente.
- Mitigar el riesgo: En base a un rediseño del elemento que lo provoca, buscaremos que éste se reduzca a niveles aceptables.
- Evitar el riesgo: Anulando, excluyendo o sustituyendo el elemento o funcionalidad del diseño. No siempre es posible ya que puede provocar una pérdida esencial de funcionalidad.
5. BIBLIOGRAFÍA CONSULTADA
AEPD (Agencia Española de Protección de Datos). “Guía para una Evaluación del Impacto en la Protección de Datos Personales (EIPD)”. Marzo de 2014. BORRADOR.
[2] ICO (Information Commissioner’s Office). “Privacy Impact Assessment Handbook version 2.0”. June 2009.
[3] Legislation.gov.uk. “Data Protection Act 1988. SCHEDULE 1. The data protection principles”.
[4] OCDE. “Directrices de la OCDE sobre protección de la privacidad y flujos transfronterizos de datos personales”. 2002.
[5] ICO (Information Commissioner’s Office). “Conducting privacy impact assessments code of practice”. Based about UK Data Protection Act.
[6] NIST (National Institute of Standards and Technology). SP800-53 Rev.4.“Security and Privacy Controls for Federal Information Systems and Organizations”.April 2013.
Francisco Javier Sempere. “Cómo realizar un Privacy Impact Assessment (PIA): Evaluación de Impacto en la Privacidad”. 13 de Marzo de 2014. Blog Privacidad Lógica.
Varios autores (entre los que me incluyo). “Reflexiones sobre el futuro de la privacidad en Europa – Capítulo 2: Privacy Impact Assessment y Privacy by Design”. Noviembre de 2013. DPI-ISMS Forum Spain.