El uso de las nuevas tecnologías es parte ya de nuestra vida diaria y fruto de ello, cada día nacen nuevos productos y servicios ofrecidos a través de medios tecnológicos (por ejemplo, aplicaciones móviles). El problema de dichos productos y servicios es que son creados con una finalidad concreta y con un objetivo económico claro y pocas veces, mientras se diseña y crea el producto o servicio, se piensa en cómo, una vez terminado, va a afectar dicho proyecto a la privacidad del usuario que lo utilice, es decir, cómo se va a proteger la intimidad del usuario que utilice el producto.
Y es aquí, cuando nace el término o el concepto «la privacidad desde el diseño«, la idea de que el diseño del producto o servicio que vamos a crear debe tener en cuenta, desde un principio, la protección de la privacidad del usuario. En caso contrario, nos encontramos que una vez terminado el proyecto no somos capaces de encajar su diseño (ya terminado) con el cumplimiento de la normativa de protección de datos.
Para evaluar si nuestro producto o servicio cumple con «la privacidad desde el diseño» podemos utilizar varias herramientas, una de ellas son las Evaluaciones de Impacto en la Privacidad o en la Protección de Datos.
¿Qué son las Evaluaciones de Impacto en la Privacidad o en la Protección de Datos?
Según la Agencia Española de Protección de Datos, la Evaluación del Impacto en la Protección de Datos (EIPD) se define como:
Es un análisis de los riesgos que un producto o servicio puede entrañar para la protección de datos de los afectados y, como consecuencia de ese análisis, la gestión de dichos riesgos mediante la adopción de las medidas necesarias para eliminarlos o mitigarlos.
Así, se trata de evaluar qué riesgos puede entrañar, para la privacidad e intimidad del usuario, el proyecto que tenemos o que queremos llevar a cabo y cómo vamos a paliarlos, es decir, qué medidas de seguridad vamos a implantar para eliminar o reducir esos riesgos lo máximo posible.
¿Es obligatorio realizar una Evaluación de Impacto en la Privacidad o en la Protección de Datos en nuestro proyecto?
Actualmente, en España no es obligatorio, si bien, está previsto que lo sea con la entrada en vigor de la propuesta de Reglamento Europeo de Protección de Datos.
No obstante, y pese a que no es obligatorio en España (por ahora) realizar este tipo de evaluaciones, si que la Agencia Española de Protección de Datos ha publicado una guía para llevar a cabo este tipo de evaluaciones y ha manifestado que su realización se tendrá en cuenta a la hora de valorar si se han tomado las diligencias debidas para adoptar las medidas de seguridad necesarias en el proyecto, para cumplir con la normativa de protección de datos.
¿Qué requisitos debe cumplir la Evaluación de Impacto en la Privacidad o en la Protección de Datos?
La Agencia Española de Protección de Datos, en la guía que ha publicado sobre cómo realizar una Evaluación de Impacto en la Privacidad o en la Protección de Datos, ha dividido la realización de la Evaluación en diferentes fases o estadios:
- Análisis de necesidad: Valorar y comprobar que nuestro proyecto precisa de la realización de una Evaluación de Impacto en la Privacidad ya que, no todos los proyectos la precisaran, ni todas las evaluaciones serán iguales, serán más o menos estrictas en función del proyecto y de cómo éste afecte a la privacidad de los usuarios.
- Constitución del equipo de trabajo y definición de sus términos de referencia: Antes de realizar una evaluación de impacto es necesario que se determine quiénes se van a encargar de realizarla a través de la formación de un grupo de trabajo que, cómo mínimo, debe estar compuesto por: el representante legal de la empresa, el asesor de protección de datos, el responsable de seguridad y los representantes cualificados del departamento TIC del proyecto. Además, debe definirse minuciosamente el proyecto que se va a evaluar.
- Descripción del proyecto y de los flujos de datos personales: Se trata de establecer, entre otros: en qué consiste el producto o servicio y qué datos personales se van a recoger, cómo se van a tratar, con qué finalidad, si son necesario o no, etc.
- Identificación y evaluación de riesgos para la protección de datos: Una vez recopilada toda la información sobre el proyecto, es necesario evaluar cuáles son los riesgos del mismo respecto a la privacidad del usuario y qué medidas están previstas para eliminar esos riegos o minimizarlos lo máximo posible.
- Gestión de los riesgos identificados: Una vez sabemos que riesgos hay, es necesario gestionarlos y siempre que, dichos riesgos supongan una vulneración de la normativa de protección de datos, será necesario eliminarlos o evitarlos, de lo contrario, podemos ser sancionados.
- Análisis del cumplimiento normativo: Evaluar en qué medida el proyecto cumple con la normativa general (protección de datos) y sectorial (sanidad, sociedad de la información, telecomunicaciones, etc.) dependiendo del tipo de proyecto y su finalidad.
- Redacción, publicación e integración del informe final: El equipo de trabajo encargado de realizar la evaluación de impacto deberá emitir un informe final con sus conclusiones. Informe que debe estar redactado en un lenguaje claro, no técnico y no jurídico, que permita su comprensión a cualquier persona que tenga acceso al mismo.
- Implantación de las recomendaciones: El informe final del equipo de trabajo debe recoger las recomendaciones necesarias (organizativas, técnicas, etc.) para que el proyecto se adecue a la normativa y, debe velar para que esas recomendaciones sean implantadas por la organización del proyecto.
- Revisión de los resultados y realimentación de la evaluación de impacto: Una vez se han implantado las recomendaciones, por último, debe comprobarse que la implantación de las medidas se ha hecho correctamente
Consulta con las partes afectadas: Durante toso el proceso de realización de una Evaluación de Impacto en la Privacidad o en la Protección de Datos es recomendable consultar con las partes que se vayan a ver afectadas por el proyecto (internas o externas), con el objetivo de poder identificar correctamente los riesgos.
¿Qué ventajas tiene realizar una Evaluación de Impacto en la Privacidad o en la Protección de Datos de nuestro proyecto?
Además de evitar la imposición de sanciones por parte de la Agencia Española de Protección de Datos, por el incumplimiento de la normativa (sanciones que pueden oscilar entre los 900 y 600.000 euros), realizar una Evaluación del Impacto en la Privacidad de nuestro proyecto nos permite:
- Transmitir una imagen seria de nuestro proyecto y comprometida con la protección de la privacidad e intimidad de los usuarios.
- Evitar que, una vez finalizado el proyecto, tengamos que rehacerlo para que se ajuste al cumplimiento de la normativa, lo que incrementa considerablemente los costes del proyecto. Si desde la concepción y desarrollo del producto o servicio sabemos qué medidas de seguridad deben implantarse en el mismo, no tendremos que modificarlo posteriormente, una vez hecho, para poder cumplir con la normativa.
¿Puedo realizar una Evaluación de Impacto en la Privacidad o en la Protección de Datos cuando el proyecto ya está hecho?
La respuesta es sí, puede hacerse en cualquier momento. No obstante, siempre será mejor hacerlo en un momento inicial de desarrollo del proyecto par evitar que, una vez finalizado, tengamos que rehacerlo y así evitar pérdida de tiempo y dinero por las modificaciones y cambios que deberán implantarse, en caso de ser necesarias.