El mapa del laberinto, guía de PIAs de la AEPD

La Agencia Española de Protección de Datos, tras un trabajo interno que hay que poner en valor y tras recabar diferentes y diversas opiniones sobre el borrador inicial, ha publicado el pasado día 28 de octubre su “Guía para una Evaluación de Impacto en la Protección Datos Personales”.

Como para hablar de algo hay que utilizar los términos correctos, se debe partir de la definición de Evaluación de Impacto en la Protección de Datos Personales (conocida también por el término inglés Privacy Impact Assessment y su acrónimo PIA). En este sentido, la Guía comienza diciendo que “Una Evaluación de Impacto en la Protección de Datos Personales (EIPD) es un análisis de los riesgos que un producto o servicio puede entrañar para la protección de datos de los afectados y, como consecuencia de ese análisis, la gestión de dichos riesgos mediante la adopción de las medidas necesarias para eliminarlos o mitigarlos”.

Como bien señala la Agencia, se trata de una herramienta poco conocida en España pero plenamente consolidada en países anglosajones. En este sentido, tenemos el ejemplo en el Reino Unido del Privacy Impact Assessment Handbook versión 2.0 publicado por su Information Commissioner’s Office, que habla de dos tipos concretos de PIA: el Full-scale PIA y el Small-scale PIA, menos formal que el anterior y a menudo empleado cuando únicamente se focalizan aspectos específicos del proyecto.

La Guía establece una serie de circunstancias en las que, sobre todo por concurrencia de varias de ellas, se hace recomendable la ejecución de una EIPD. Cabe destacar aquella relativa a que se traten grandes volúmenes de datos personales a través de herramientas de Big data, soluciones de Internet of Things o proyectos de Smart cities; o aquella que se refiere a la utilización de tecnologías que se consideran especialmente invasivas con la privacidad (videovigilancia a gran escala, drones, vigilancia electrónica, minería de datos, la biometría, las técnicas genéticas, la geolocalización, o RFID; o por último cuando se vayan a utilizar formas de contactar con las personas afectadas que se podrían considerar especialmente intrusivas.

En todo caso, la guía hace hincapié en que previo a la realización de una EIPD, se debe hacer una reflexión interna sobre su necesidad en base a factores propios del tratamiento de datos que pudiera verse afectado, pero también en base al tamaño o sector de la entidad que lo realiza y su actividad o la existencia de riesgos de seguridad que puedan comprometer la confidencialidad, la integridad o la disponibilidad de los datos personales y, especialmente, si estas situaciones de riesgo se producen cuando los datos circulan o se accede a ellos a través de redes de telecomunicaciones.

Debe señalarse, como bien reconoce nuestra Autoridad nacional en la materia, que en España no existe por el momento una obligación legal de realizar Evaluaciones de Impacto de esta naturaleza, aunque podrá existir (y todo apunta en tal sentido) en el futuro cuando se apruebe la Propuesta de Reglamento General de Protección de Datos para la Unión Europea.

Un contenido relevante de la Guía y que pone de manifiesto la voluntad de que sea un instrumento realmente útil y con un cierto grado de atrevimiento, es el relativo a la proposición de un catalogo ejemplificativo de contramedidas (para eliminar, mitigar o transferir los riesgos) con respecto a determinados riesgos que se considera que pueden ser más o menos habituales. No sin antes señalar que en todo caso se habrá de acudir al caso concreto para elegir las contramedidas específicas, en función de la naturaleza de los riesgos identificados en cada proyecto de EIPD.

Uno de los riesgos a analizar y que es objeto de un apartado específico es el relativo a Cumplimiento normativo, sobre el que se indica que siempre se debe verificar la conformidad del proyecto con las distintas regulaciones que pueden contener elementos relativos a la Privacidad y a la Protección de datos que le sean de aplicación (p.e. legislación sanitaria, de telecomunicaciones o de servicios de sociedad de la información).

Son igualmente interesantes las Conclusiones de la Guía, donde se vincula a las EIPDs con una nueva generación de herramientas y metodologías (o quizá sería mejor hablar de una nueva aproximación al hilo de las demandas sociales y legislativas), basada en un principio de proactividad, así como la necesidad de demostrar el cumplimiento y el compromiso con el cumplimiento, equiparando en cierto manera un concepto que debería estar ya interiorizado como el de diligencia con el concepto anglosajón de accountability.

En definitiva, estamos ante una publicación de gran relevancia, impacto y trascendencia. No sólo porque pone de manifiesto una intensificación de la proactividad de la propia Agencia Española de Protección de Datos, quien propone e innova desarrollando un concepto que crea tantas expectativas como confusión. También porque se establece un marco de referencia, quizá limitado por el hecho de estar fundamentalmente dirigido a negocios y empresas ubicados en España, que sin embargo aporta certezas y concreciones al debate sobre la necesidad de que la Privacidad y la Protección de datos sean un riesgo más pero también un valor más para cualquier entidad privada o pública.

Francisco Javier Carbayo

Abogado. Asociado Senior y Gerente en ECIX

@fjcarbayo

es.linkedin.com/in/franciscojaviercarbayo