Proyectos Digitales, Privacidad y Dinosaurios

“Deme un hueso y yo le diré cómo era el dinosaurio”.

Esta frase atribuida al eminente paleontólogo francés George Cuvier por parte de Valentí Puig es paradigmática cuando hablamos de proyectos digitales y la normativa europea de privacidad. Lo es por varios motivos.

Cuando despertó, la privacidad todavía seguía allí:

En primer lugar hay que decir que como en el cuento de Augusto Monterroso, muchos proyectos digitales o de digitalización se inician con cierta ingenuidad respecto a las implicaciones jurídicas en protección de datos.

Por supuesto puede haber algunos casos en que estos proyectos no impliquen tratamiento de datos pero son mucho más frecuentes los casos en los que implican un amplio tratamiento de datos personales (a fin de cuentas, ahora hasta los datos que típicamente aparecen en las típicas tarjeta de empresa son considerados datos personales, a diferencia de lo que ocurría antes del 25/05/2018). Darse cuenta de la inevitabilidad del cumplimiento del Reglamento General de Protección de Datos (RGPD) y de sus numerosas obligaciones es relevante, ya que el hecho de no haberlo previsto desde el primer momento incrementa la dificultad de cumplir con dichas obligaciones y aumenta sus correspondientes costes jurídicos.

Privacidad de datos desde el diseño y por defecto y compilación de software

Piensen que la relación entre el proceso de elaboración de software y protección de datos es tan intensa que incluso la Autoridad Noruega de Protección de datos publicó una guía para que los programadores tangan claro como cumplir con una única de las obligaciones de protección de datos: la protección de datos desde el diseño y por defecto.

Esta obligación –que nos sirve tal hueso fosilizado para entender la magnitud de la tragedia- implica cuatro grandes cosas:

• Como luego se explica, a documentar la necesidad, o no, de realizar una evaluación de impacto en protección de datos.
• A preparar el proyecto/software de manera que (i) ni se traten más datos personales de los necesarios (tanto la tipología como la cantidad) (ii) ni se haga de más formas de las estrictamente necesarias (por ejemplo que no tengo acceso a datos personales más personas de las necesarias) (iii) ni se haga durante más tiempo del estrictamente necesario.
• A que las medidas de seguridad de la información sean apropiadas para mitigar los riesgos detectados (es decir que el Software sea tan seguro como necesiten los riesgos vinculados al tratamiento de datos personales).
• A que la configuración del software que un usuario por defecto reciba sea la más restrictiva a efectos de privacidad y el usuario activamente debe configurar la herramienta digital para realizar mayores tratamientos de datos personales (por ejemplo que la herramienta digital casi no permitiera accesos a los datos personales por defecto y que sean los usuarios los que activamente aumentan los niveles de accesos a los datos personales).

Como es lógico es mejor que estos aspectos se tengan en cuenta antes de “picar” muchas líneas de código. Si no es así, es posible que gran parte del trabajo puro de compilación de software deba repetirse. Pero no sólo ello, el lector atento habrá empezado la complejidad del asunto –lo grande que es el dinosaurio- de la relación entre proyectos digitales y privacidad.

Otras obligaciones: la forma del dinosaurio

Efectivamente, muchos proyectos digitales tienen los siguientes impactos en las otras obligaciones de privacidad del RGPD:

Necesidad de documentar y razonar si es obligatorio realizar una PIA:

El artículo 35 del RGPD estipula que determinados tratamientos de datos personales deberán ser sometidos (en teoría antes de iniciarse) a una Evaluación de Impacto en Protección de Datos (sin entrar en detalles esta es una obligación jurídica en la que se lleva al máximo nivel la evaluación de impacto desde el diseño y por defecto; un proyecto que no es una auditoría pero que en algunos aspectos lo recuerda).

Sin embargo, la dificultad de ello es que el artículo 35 es muy ambiguo en la determinación de qué tratamientos sí necesitan una Evaluación de Impacto en Protección de Datos. Así, como los arqueólogos que imaginan un dinosaurio con un simple hueso, las autoridades de protección de datos europeas han clarificado mucho más la interpretación de este artículo y han dado una serie de indicaciones para saber en qué casos es obligatorio, o no, realizar una Evaluación de Impacto en Protección de datos. Son estas autoridades las que han dicho que hay que documentar si los nuevos tratamientos están sometidos, o no, a la obligación de realizar una Evaluación de Impacto en la Privacidad. Se podrá cuestionar si esta obligación es demasiada sebera, pero vale la pena cumplirla ya que a fin de cuentas las autoridades de protección de datos son los que ponen las sanciones.

De dinosaurios a aves VS de la LOPD 15/1999 al RGPD

Como es conocido la ciencia moderna nos dice que los dinosaurios se extinguieron pero que el proceso de evolución antes provocó que parte de ellos fueran cambiando hasta convertirse en las actuales aves.

Aquí difiere la metáfora que he utilizado de la evolución que hemos visto. Pues si la evolución de los dinosaurios pasó a no ser tan amenazante, desde luego la antigua LOPD 15/1999 tenía unas obligaciones más fáciles que cumplir que el RGPD y mientras que la anterior normativa la mayor sanción que se ponía imponer por una única infracción era de 600.000€ actualmente llegarían a 20 millones de € o el 4% de la facturación mundial anual.

David Molina

• Por BDO
• 16/01/2019
• proyectos digitales, Privacidad, digitalización, protección de datos, RGPD, software, dinosaurio