Resumen:
El grupo
de trabajo consultivo europeo del Artículo 29 (GT29) ha adoptado, en mayo de 2014, el
documento “Declaración del GT29 sobre el papel de un enfoque basado en el riesgo
en los marcos legales de protección de datos” que puede consultarse íntegro (en
inglés) en el apartado de bibliografía. [1] Viene a decir que los principios fundamentales,
que protegen los derechos de los interesados, deben permanecer inalterables con
independencia de cuál sea la evaluación y tratamiento posterior del riesgo por
parte del responsable. Por su
interés presento esta traducción “no oficial” adaptada al estilo y formato del
blog.
Declaración emitida por:
|
Colaboración
|
|
Grupo
consultivo europeo del Artículo 29
|
||
Actualizado
|
22 de junio de 2014
|
|
ÍNDICE
2. MENSAJES CLAVE DEL GT29
3. AUTORIDADES DE CONTROL EN RELACIÓN AL RIESGO
4. BIBLIOGRAFÍA REFERENCIADA
5. DERECHOS DE AUTOR
1.
ENFOQUE BASADO EN EL RIESGO
"El
Grupo de Trabajo reconoce que algunas de las disposiciones del Reglamento
propuesto representan una carga para ciertos responsables que puede ser
percibida como desequilibrada.
Como
ya se expresó en dictámenes anteriores, somos de la opinión de que todas las
obligaciones deben ser escalables para todos los tratamientos relacionados con
el responsable y el encargado.
El
cumplimiento nunca debe limitarse a un ejercicio de “marcar casillas en un
formulario”, debiendo garantizarse en la realidad que los datos personales
están suficientemente protegidos. El cómo se hace esto puede diferir según el
responsable...
Los
interesados deben tener el mismo nivel de protección, con independencia del
tamaño de la organización o de la cantidad de datos que ésta procesa. En consecuencia, el Grupo de
Trabajo considera que todos los responsables deben actuar en el cumplimiento
de la ley, aunque esto se pueda hacer de un modo escalable".
A pesar de ello, al Grupo de Trabajo le preocupa que en relación
con los debates sobre el nuevo marco jurídico de la UE para la protección de
datos, e incluso de forma más amplia, el enfoque basado en el riesgo se
presenta cada vez más, y sin razón, como una alternativa a los derechos y
principios de protección de datos bien establecidos en vez de como un
enfoque escalable y proporcional de cumplimiento. El propósito de esta
declaración es para dejar las cosas claras.
El llamado "enfoque basado en el riesgo" no es un
concepto nuevo, puesto que ya es bien conocido por la Directiva 95/46/CE [2] vigente sobre todo en lo referente a la seguridad (artículo 17) y las
obligaciones de control previo por parte de la Autoridad de Control - DPA (artículo 20). El régimen jurídico aplicable al
tratamiento de categorías especiales de datos (artículo 8) también puede ser
considerado como la aplicación de un enfoque basado en el riesgo: Las obligaciones
reforzadas son consecuencia de tratamientos que se consideran arriesgados para los
afectados.
NOTA del EDITOR: Para
facilitar la comprobación de las referencias en el texto de la declaración, recuerdo que la
actual Directiva europea 95/46/CE, dispone:
Artículo 17.
Seguridad del tratamiento. (…) Dichas medidas deberán garantizar, habida cuenta
de los conocimientos técnicos existentes y del coste de su aplicación, un nivel
de seguridad apropiado en relación con los riesgos
que presente el tratamiento y con la naturaleza de los datos que deban
protegerse.
Artículo 20.
Controles previos. 1. Los Estados miembros precisarán los tratamientos que
puedan suponer riesgos específicos
para los derechos y libertades de los interesados y velarán por que sean
examinados antes del comienzo del tratamiento.
No obstante, es importante tener en cuenta que - incluso con la
adopción de un enfoque basado en el riesgo - no es cuestionable que los
derechos de los individuos se vean debilitados respecto de sus datos personales.
Estos derechos deben ser igual de fuertes, incluso si el
tratamiento en cuestión es relativamente de "bajo riesgo". Más bien,
la escalabilidad de las obligaciones legales en función del riesgo influirá en
los mecanismos de cumplimiento.
Esto significa que un responsable cuyo tratamiento de datos es
relativamente de bajo riesgo no tendrá que hacer tanto para cumplir con sus
obligaciones legales como otro responsable cuyos tratamientos de datos sean de
alto riesgo…
Sin embargo, el enfoque basado en el riesgo ha ganado mucha más
atención en los debates celebrados en el Parlamento Europeo y en el Consejo
sobre la propuesta del Reglamento General de Protección de Datos. [5] [6] Se ha introducido recientemente como un elemento central del
propio principio de rendición de cuentas (artículo 22). Además de la obligación de
seguridad (artículo 30) y la obligación de llevar a cabo una evaluación de
impacto (artículo 33) ya se percibe en la propuesta de Reglamento el enfoque
basado en el riesgo que se ha extendido y se refleja en otras medidas de
aplicación tales como el principio de protección de datos desde el diseño
(artículo 23), la obligación de documentar (artículo 28) y el uso de la
certificación y de los códigos de conducta (artículos 38 y 39).
Es evidente, pues, que el proyecto de Reglamento contiene ya
las herramientas - por ejemplo en el artículo 33 en relación con la evaluación
de impacto en la privacidad (PIA) [4] – para prever una evaluación fiable y relativamente objetiva del
riesgo.
Paralelamente, el concepto se ha promovido en los debates públicos
sobre regulación de protección de datos en el contexto del "Big Data".
Sus promotores sostienen que el recabado de datos ya no debería considerarse
el foco principal de la regulación y que el cumplimiento legal debería más bien
pasar a la formulación de la utilización de datos. Para cumplir, se aboga por
un fuerte enfoque que tenga en cuenta los daños y que ayude a promover un uso
responsable de los datos basado en la gestión del riesgo.
Por último, ha habido intensos debates en el Parlamento y el
Consejo Europeos sobre la aplicación de un régimen jurídico más claro para los
datos de seudónimos o “pseudo-anonimizados”
teniendo en cuenta que, debido a su naturaleza percibida como menos
identificable, los riesgos de privacidad de los interesados se ven reducidos.
2.
MENSAJES CLAVE DEL GT29
Todos estos elementos contextuales y de fondo muestran la
necesidad imperiosa de que el Grupo de Trabajo comunique los siguientes
mensajes clave sobre este tema:
- La protección de los datos personales es un Derecho Fundamental de acuerdo con el artículo 8 de la Carta de los Derechos Fundamentales. Cualquier operación de tratamiento, desde el recabado hasta el uso y la divulgación, debe respetar este derecho fundamental.
- Los derechos otorgados a los interesados, por la ley de la UE, deben ser respetados sin importar el nivel de los riesgos en que los responsables incurran a través de los tratamientos de datos relacionados con ellos (por ejemplo, el derecho de acceso, rectificación, cancelación, oposición, transparencia, derecho al olvido, o el derecho a la portabilidad de los datos).
- Pueden haber diferentes niveles de obligaciones de rendición de cuentas en función del riesgo que supone el tratamiento en cuestión. Sin embargo, los responsables del tratamiento siempre deben responder del cumplimiento de las obligaciones de protección de datos, que incluyen la demostración del cumplimiento con respecto a los tratamientos de datos, independientemente de la naturaleza, el alcance, el contexto, los fines del tratamiento y los riesgos que representen para los interesados.
- Los principios fundamentales aplicables a los responsables (por ejemplo la legitimidad, la minimización de los datos, la limitación de la finalidad, la transparencia, la integridad de los datos, calidad de los datos) deben permanecer inalterados, sea cual sea el tratamiento y los riesgos para los interesados. Sin embargo, teniendo en cuenta la naturaleza y el alcance de esos tratamientos y habiéndose considerado siempre la aplicación integral de estos principios, pueden ser inherentemente escalables.
- La implementación de las obligaciones de rendición de cuentas, a través de herramientas y mediciones, para los responsables (por ejemplo, la evaluación del impacto en la privacidad (PIA), la protección de datos desde el diseño (PbD), la notificación de brechas o violaciones de los datos, medidas de seguridad, certificaciones) puede y debe variar de acuerdo con el tipo de tratamiento y los riesgos de privacidad para los interesados. Debe reconocerse que no siempre son necesarias todas las obligaciones de rendición de cuentas en todos los casos, por ejemplo, cuando el tratamiento es a pequeña escala, simple y de bajo riesgo.
- El modo de documentar las actividades de los procesos puede variar de acuerdo con el riesgo que supone el tratamiento. Sin embargo, todos los responsables de datos deben reflejar, por lo menos en cierta medida, en un documento sus actividades de tratamiento con el fin de promover la transparencia y la rendición de cuentas. La documentación es una herramienta interna indispensable de los responsables para gestionar de manera efectiva la rendición de cuentas y el control a posteriori por las Autoridades de Control (DPAs), así como para el ejercicio de derechos por parte de los interesados. Va más allá de la información que debe darse a los titulares de los datos.
- Los riesgos, que se relacionan con posibles impactos negativos en los derechos, libertades e intereses del afectado, deben determinarse teniendo en cuenta criterios objetivos específicos tales como: La naturaleza de los datos personales (por ejemplo, sensibles o no), la categoría de los interesados (por ejemplo, menor o no), el número de sujetos afectados, y la finalidad del tratamiento. La gravedad y la probabilidad de los impactos en los derechos y libertades fundamentales del interesado constituyen elementos a tener en cuenta para evaluar los riesgos relacionados con la privacidad del individuo. El Reglamento propuesto - por ejemplo el artículo 33 - ya contiene los criterios necesarios para evaluar el riesgo para la privacidad que plantea un tratamiento en particular.
- En el contexto mencionado anteriormente, el ámbito de "los derechos y libertades" de los interesados se refiere principalmente el derecho a la privacidad, pero también puede afectar otros derechos fundamentales como la libertad de expresión, la libertad de pensamiento, libertad de movimiento, la prohibición de discriminación, el derecho a la libertad de conciencia y de religión.
- El enfoque basado en el riesgo requiere de medidas adicionales cuando los riesgos específicos son identificados (por ejemplo, la evaluación de impacto, seguridad mejorada, la notificación de violación de datos) y la Autoridad de Control (DPA) debe ser consultada cuando el tratamiento de alto riesgo ha sido identificado por una evaluación de impacto (artículo 34 del proyecto de regulación).
- En su declaración de 27 de febrero de 2013, [7] el Grupo de Trabajo recordó que las normas de protección de datos siguen siendo de aplicación a los datos de seudónimos o cifrado donde es posible “dar marcha atrás” al dato identificativo de un individuo o (indirectamente) identificar a un individuo por otros medios (véase la página 1 de la declaración). Sin embargo, también reconoció que el uso de técnicas de “pseudo-anonimización” o disfrazar identidades para permitir el recabado de datos en relación con el mismo individuo, sin necesidad de tener que conocer su identidad, puede ayudar a reducir los riesgos para las personas. Por tanto, estas técnicas representan importantes salvaguardas, que pueden ser tenidas en cuenta al evaluar el cumplimiento. No obstante, el uso de los datos con seudónimo o “pseudo-anonimizados”, en sí mismo, no es suficiente para justificar un régimen más ligero en las obligaciones de rendición de cuentas.
- El “enfoque basado en el riesgo” va más allá, de un estrecho "enfoque basado en el daño" que se concentra sólo en los daños, y debe tener en cuenta todas las posibilidades, así como el efecto negativo real, evaluadas en una escala muy amplia que va desde un impacto en la persona afectada por el tratamiento en cuestión a un impacto en la sociedad en general (por ejemplo, pérdida de la confianza social).
- El interés legítimo perseguido por el responsable del tratamiento, o por un tercero, no es relevante para la evaluación de los riesgos para con los interesados. Es en la aplicación de la prueba de equilibrio, según los criterios para legitimar el tratamiento de la información según la Directiva (artículo 7 f.) o la propuesta de reglamento (artículo 6 f.), que el interés legítimo debe ser tenido en cuenta.
3.
AUTORIDADES DE CONTROL EN RELACIÓN AL RIESGO
- La actualización de una lista de tratamientos que se puede considerar que presentan riesgos específicos por su esencia (artículo 33 del proyecto de reglamento).
- El desarrollo de directrices sobre las evaluaciones de impacto y en otras herramientas de rendición de cuentas (como lo hicieron la CNIL y el ICO con su metodología de gestión del riesgo para la privacidad). NOTA DEL EDITOR: En España la AEPD presentó también su borrador de la “Guía para una Evaluación del Impacto en la Protección de Datos Personales (EIPD)”, en marzo de 2014. [3]
- La realización de los procedimientos de ejecución en caso de incumplimiento de los responsables, lo que puede implicar el desafío de un análisis de riesgos, evaluación de impacto, así como cualesquiera otras medidas llevadas a cabo por los responsables del tratamiento.
- Focalizar en la acción de cumplimiento y la actividad de control en áreas de mayor riesgo.
4. BIBLIOGRAFÍA REFERENCIADA
- [1] ARTICLE 29 DATA PROTECTION
WORKING PARTY. “Statement on the role of a risk-based approach
in data protection legal frameworks”. Adopted on 30
May 2014. 14/EN. WP 218.
WP 218
- [2] Parlamento
Europeo y Consejo de la Unión Europea. “Directiva 95/46/CE del parlamento
europeo y del consejo relativa a la protección de las personas físicas en lo
que respecta al tratamiento de datos personales y a la libre circulación de
estos datos”. 24 de octubre de 1995.
Directiva 95/46/CE
- [3] AEPD (Agencia Española de
Protección de Datos). “Guía para una Evaluación del Impacto en la Protección de Datos Personales
(EIPD)”. Marzo de 2014. BORRADOR.
Guía para EIPD- [4] José Luis Colom Planas. “Consideraciones teórico-prácticas sobre el proceso de elaborar un PIA”. 13 de abril de 2014. Blog Aspectos profesionales.
El proceso de elaborar un PIA
- [5] COMISIÓN
EUROPEA. “Propuesta de REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO relativo a
la protección de las personas físicas en lo que respecta al tratamiento de
datos personales y a la libre circulación de estos datos (Reglamento general de
protección de datos)”. Bruselas, 25 de enero de 2012.
Propuesta RGPDUE
- [6] PARLAMENTO
EUROPEO. “Texto aprobado – Protección de las personas físicas en lo que respecta
al tratamiento de datos personales”. Procedimiento 2012/0011(COD). Ciclo
relativo al documento A7-0402/2013. 12 de marzo de 2014.
Modificaciones aprobadas a la propuesta de
RGPDUE
- [7] ARTICLE 29 DATA PROTECTION WORKING PARTY. “Statement of the Working Party on current discussions regarding the data
protection reform package”. Statement 27 February 2013.
Data protection reform
5. DERECHOS DE AUTOR
This Working
Party was set up under Article 29 of Directive 95/46/EC. It is an independent
European advisory body on data protection and privacy. Its tasks are described
in Article 30 of Directive 95/46/EC and Article 15 of Directive 2002/58/EC.
Copyright
notice: © European Union, 1995-2014
Reuse is
authorised, provided the source is acknowledged. The reuse policy of the
European Commission is implemented by a Decision
of 12 December 2011.
The general
principle of reuse can be subject to conditions which may be specified in
individual copyright notices. Therefore users are advised to refer to the
copyright notices of the individual websites maintained under Europa and of the
individual documents. Reuse is not applicable to documents subject to
intellectual property rights of third parties.
No hay comentarios:
Publicar un comentario
Nota: solo los miembros de este blog pueden publicar comentarios.