domingo, 22 de junio de 2014

DECLARACIÓN DEL GT29 SOBRE EL PAPEL DE UN ENFOQUE BASADO EN EL RIESGO EN LOS MARCOS LEGALES DE PROTECCIÓN DE DATOS


Resumen: El grupo de trabajo consultivo europeo del Artículo 29 (GT29) ha adoptado, en mayo de 2014, el documento “Declaración del GT29 sobre el papel de un enfoque basado en el riesgo en los marcos legales de protección de datos” que puede consultarse íntegro (en inglés) en el apartado de bibliografía. [1] Viene a decir que los principios fundamentales, que protegen los derechos de los interesados, deben permanecer inalterables con independencia de cuál sea la evaluación y tratamiento posterior del riesgo por parte del responsable. Por su interés presento esta traducción “no oficial” adaptada al estilo y formato del blog.


Declaración emitida por:
Colaboración
Grupo consultivo europeo del Artículo 29
 
Actualizado
 
22 de junio de 2014
 

ÍNDICE
1. ENFOQUE BASADO EN EL RIESGO
2. MENSAJES CLAVE DEL GT29
3. AUTORIDADES DE CONTROL EN RELACIÓN AL RIESGO
4. BIBLIOGRAFÍA REFERENCIADA
5. DERECHOS DE AUTOR

1. ENFOQUE BASADO EN EL RIESGO

El GT29 siempre ha apoyado la inclusión de un enfoque basado en el riesgo en los marcos legales de protección de datos de la UE. En particular, su declaración de 27 de febrero de 2013 en los debates actuales sobre el paquete de reformas de la protección de datos contenía la siguiente referencia específica al enfoque basado en el riesgo:

 

"El Grupo de Trabajo reconoce que algunas de las disposiciones del Reglamento propuesto representan una carga para ciertos responsables que puede ser percibida como desequilibrada.

Como ya se expresó en dictámenes anteriores, somos de la opinión de que todas las obligaciones deben ser escalables para todos los tratamientos relacionados con el responsable y el encargado.

El cumplimiento nunca debe limitarse a un ejercicio de “marcar casillas en un formulario”, debiendo garantizarse en la realidad que los datos personales están suficientemente protegidos. El cómo se hace esto puede diferir según el responsable...

Los interesados deben tener el mismo nivel de protección, con independencia del tamaño de la organización o de la cantidad de datos que ésta procesa. En consecuencia, el Grupo de Trabajo considera que todos los responsables deben actuar en el cumplimiento de la ley, aunque esto se pueda hacer de un modo escalable".
 

A pesar de ello, al Grupo de Trabajo le preocupa que en relación con los debates sobre el nuevo marco jurídico de la UE para la protección de datos, e incluso de forma más amplia, el enfoque basado en el riesgo se presenta cada vez más, y sin razón, como una alternativa a los derechos y principios de protección de datos bien establecidos en vez de como un enfoque escalable y proporcional de cumplimiento. El propósito de esta declaración es para dejar las cosas claras.
 

El llamado "enfoque basado en el riesgo" no es un concepto nuevo, puesto que ya es bien conocido por la Directiva 95/46/CE [2] vigente sobre todo en lo referente a la seguridad (artículo 17) y las obligaciones de control previo por parte de la Autoridad de Control - DPA (artículo 20). El régimen jurídico aplicable al tratamiento de categorías especiales de datos (artículo 8) también puede ser considerado como la aplicación de un enfoque basado en el riesgo: Las obligaciones reforzadas son consecuencia de tratamientos que se consideran arriesgados para los afectados.

 

NOTA del EDITOR: Para facilitar la comprobación de las referencias en el texto de la declaración, recuerdo que la actual Directiva europea 95/46/CE, dispone:

Artículo 17. Seguridad del tratamiento. (…) Dichas medidas deberán garantizar, habida cuenta de los conocimientos técnicos existentes y del coste de su aplicación, un nivel de seguridad apropiado en relación con los riesgos que presente el tratamiento y con la naturaleza de los datos que deban protegerse.

Artículo 20. Controles previos. 1. Los Estados miembros precisarán los tratamientos que puedan suponer riesgos específicos para los derechos y libertades de los interesados y velarán por que sean examinados antes del comienzo del tratamiento.

 

No obstante, es importante tener en cuenta que - incluso con la adopción de un enfoque basado en el riesgo - no es cuestionable que los derechos de los individuos se vean debilitados respecto de sus datos personales.

 

Estos derechos deben ser igual de fuertes, incluso si el tratamiento en cuestión es relativamente de "bajo riesgo". Más bien, la escalabilidad de las obligaciones legales en función del riesgo influirá en los mecanismos de cumplimiento.

Esto significa que un responsable cuyo tratamiento de datos es relativamente de bajo riesgo no tendrá que hacer tanto para cumplir con sus obligaciones legales como otro responsable cuyos tratamientos de datos sean de alto riesgo…

 

Sin embargo, el enfoque basado en el riesgo ha ganado mucha más atención en los debates celebrados en el Parlamento Europeo y en el Consejo sobre la propuesta del Reglamento General de Protección de Datos. [5] [6] Se ha introducido recientemente como un elemento central del propio principio de rendición de cuentas (artículo 22). Además de la obligación de seguridad (artículo 30) y la obligación de llevar a cabo una evaluación de impacto (artículo 33) ya se percibe en la propuesta de Reglamento el enfoque basado en el riesgo que se ha extendido y se refleja en otras medidas de aplicación tales como el principio de protección de datos desde el diseño (artículo 23), la obligación de documentar (artículo 28) y el uso de la certificación y de los códigos de conducta (artículos 38 y 39).

 

Es evidente, pues, que el proyecto de Reglamento contiene ya las herramientas - por ejemplo en el artículo 33 en relación con la evaluación de impacto en la privacidad (PIA) [4] – para prever una evaluación fiable y relativamente objetiva del riesgo.

 

Paralelamente, el concepto se ha promovido en los debates públicos sobre regulación de protección de datos en el contexto del "Big Data". Sus promotores sostienen que el recabado de datos ya no debería considerarse el foco principal de la regulación y que el cumplimiento legal debería más bien pasar a la formulación de la utilización de datos. Para cumplir, se aboga por un fuerte enfoque que tenga en cuenta los daños y que ayude a promover un uso responsable de los datos basado en la gestión del riesgo.

 

Por último, ha habido intensos debates en el Parlamento y el Consejo Europeos sobre la aplicación de un régimen jurídico más claro para los datos de seudónimos o “pseudo-anonimizados” teniendo en cuenta que, debido a su naturaleza percibida como menos identificable, los riesgos de privacidad de los interesados se ven reducidos.

 

2. MENSAJES CLAVE DEL GT29

Todos estos elementos contextuales y de fondo muestran la necesidad imperiosa de que el Grupo de Trabajo comunique los siguientes mensajes clave sobre este tema:
 
 
 
 
 
 
  • La protección de los datos personales es un Derecho Fundamental de acuerdo con el artículo 8 de la Carta de los Derechos Fundamentales. Cualquier operación de tratamiento, desde el recabado hasta el uso y la divulgación, debe respetar este derecho fundamental.
  • Los derechos otorgados a los interesados, por la ley de la UE, deben ser respetados sin importar el nivel de los riesgos en que los responsables incurran a través de los tratamientos de datos relacionados con ellos (por ejemplo, el derecho de acceso, rectificación, cancelación, oposición, transparencia, derecho al olvido, o el derecho a la portabilidad de los datos).
  • Pueden haber diferentes niveles de obligaciones de rendición de cuentas en función del riesgo que supone el tratamiento en cuestión. Sin embargo, los responsables del tratamiento siempre deben responder del cumplimiento de las obligaciones de protección de datos, que incluyen la demostración del cumplimiento con respecto a los tratamientos de datos, independientemente de la naturaleza, el alcance, el contexto, los fines del tratamiento y los riesgos que representen para los interesados.
  • Los principios fundamentales aplicables a los responsables (por ejemplo la legitimidad, la minimización de los datos, la limitación de la finalidad, la transparencia, la integridad de los datos, calidad de los datos) deben permanecer inalterados, sea cual sea el tratamiento y los riesgos para los interesados. Sin embargo, teniendo en cuenta la naturaleza y el alcance de esos tratamientos y habiéndose considerado siempre la aplicación integral de estos principios, pueden ser inherentemente escalables.
  • La implementación de las obligaciones de rendición de cuentas, a través de herramientas y mediciones, para los responsables (por ejemplo, la evaluación del impacto en la privacidad (PIA), la protección de datos desde el diseño (PbD), la notificación de brechas o violaciones de los datos, medidas de seguridad, certificaciones) puede y debe variar de acuerdo con el tipo de tratamiento y los riesgos de privacidad para los interesados. Debe reconocerse  que no siempre son necesarias todas las obligaciones de rendición de cuentas en todos los casos, por ejemplo, cuando el tratamiento es a pequeña escala, simple y de bajo riesgo.
  • El modo de documentar las actividades de los procesos puede variar de acuerdo con el riesgo que supone el tratamiento. Sin embargo, todos los responsables de datos deben reflejar, por lo menos en cierta medida, en un documento sus actividades de tratamiento con el fin de promover la transparencia y la rendición de cuentas. La documentación es una herramienta interna indispensable de los responsables para gestionar de manera efectiva la rendición de cuentas y el control a posteriori por las Autoridades de Control (DPAs), así como para el ejercicio de derechos por parte de los interesados. Va más allá de la información que debe darse a los titulares de los datos.
  • Los riesgos, que se relacionan con posibles impactos negativos en los derechos, libertades e intereses del afectado, deben determinarse teniendo en cuenta criterios objetivos específicos tales como: La naturaleza de los datos personales (por ejemplo, sensibles o no), la categoría de los interesados (por ejemplo, menor o no), el número de sujetos afectados, y la finalidad del tratamiento. La gravedad y la probabilidad de los impactos en los derechos y libertades fundamentales del interesado constituyen elementos a tener en cuenta para evaluar los riesgos relacionados con la privacidad del individuo. El Reglamento propuesto - por ejemplo el artículo 33 - ya contiene los criterios necesarios para evaluar el riesgo para la privacidad que plantea un tratamiento en particular.
  • En el contexto mencionado anteriormente, el ámbito de "los derechos y libertades" de los interesados se refiere principalmente el derecho a la privacidad, pero también puede afectar otros derechos fundamentales como la libertad de expresión, la libertad de pensamiento, libertad de movimiento, la prohibición de discriminación, el derecho a la libertad de conciencia y de religión.
  • El enfoque basado en el riesgo requiere de medidas adicionales cuando los riesgos específicos son identificados (por ejemplo, la evaluación de impacto, seguridad mejorada, la notificación de violación de datos) y la Autoridad de Control (DPA) debe ser consultada cuando el tratamiento de alto riesgo ha sido identificado por una evaluación de impacto (artículo 34 del proyecto de regulación).
  • En su declaración de 27 de febrero de 2013, [7] el Grupo de Trabajo recordó que las normas de protección de datos siguen siendo de aplicación a los datos de seudónimos o cifrado donde es posible “dar marcha atrás” al dato identificativo de un individuo o (indirectamente) identificar a un individuo por otros medios (véase la página 1 de la declaración). Sin embargo, también reconoció que el uso de técnicas de “pseudo-anonimización” o disfrazar identidades para permitir el recabado de datos en relación con el mismo individuo, sin necesidad de tener que conocer su identidad, puede ayudar a reducir los riesgos para las personas. Por tanto, estas técnicas representan importantes salvaguardas, que pueden ser tenidas en cuenta al evaluar el cumplimiento. No obstante, el uso de los datos con seudónimo o “pseudo-anonimizados”, en sí mismo, no es suficiente para justificar un régimen más ligero en las obligaciones de rendición de cuentas.
  • El “enfoque basado en el riesgo” va más allá, de un estrecho "enfoque basado en el daño" que se concentra sólo en los daños, y debe tener en cuenta todas las posibilidades, así como el efecto negativo real, evaluadas en una escala muy amplia que va desde un impacto en la persona afectada por el tratamiento en cuestión a un impacto en la sociedad en general (por ejemplo, pérdida de la confianza social).
  • El interés legítimo perseguido por el responsable del tratamiento, o por un tercero, no es relevante para la evaluación de los riesgos para con los interesados. Es en la aplicación de la prueba de equilibrio, según los criterios para legitimar el tratamiento de la información según la Directiva (artículo 7 f.) o la propuesta de reglamento (artículo 6 f.), que el interés legítimo debe ser tenido en cuenta.

 

 

3. AUTORIDADES DE CONTROL EN RELACIÓN AL RIESGO

El papel de las Autoridades de Control (DPAs) en relación con el enfoque basado en el riesgo, dentro del marco del futuro reglamento, consistirá en:


 
 
  • La actualización de una lista de tratamientos que se puede considerar que presentan riesgos específicos por su esencia (artículo 33 del proyecto de reglamento).
  • El desarrollo de directrices sobre las evaluaciones de impacto y en otras herramientas de rendición de cuentas (como lo hicieron la CNIL y el ICO con su metodología de gestión del riesgo para la privacidad). NOTA DEL EDITOR: En España la AEPD presentó también su borrador de la “Guía para una Evaluación del Impacto en la Protección de Datos Personales (EIPD)”, en marzo de 2014. [3]
  • La realización de los procedimientos de ejecución en caso de incumplimiento de los responsables, lo que puede implicar el desafío de un análisis de riesgos, evaluación de impacto, así como cualesquiera otras medidas llevadas a cabo por los responsables del tratamiento.
  • Focalizar en la acción de cumplimiento y la actividad de control en áreas de mayor riesgo.

4. BIBLIOGRAFÍA REFERENCIADA

- [1] ARTICLE 29 DATA PROTECTION WORKING PARTY. “Statement on the role of a risk-based approach in data protection legal frameworks”. Adopted on 30 May 2014. 14/EN. WP 218.
WP 218

- [2] Parlamento Europeo y Consejo de la Unión Europea. “Directiva 95/46/CE del parlamento europeo y del consejo relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos”. 24 de octubre de 1995.
Directiva 95/46/CE

- [3] AEPD (Agencia Española de Protección de Datos). “Guía para una Evaluación del Impacto en la Protección de Datos Personales (EIPD)”. Marzo de 2014. BORRADOR.
Guía para EIPD

- [4] José Luis Colom Planas. “Consideraciones teórico-prácticas sobre el proceso de elaborar un PIA”. 13 de abril de 2014. Blog Aspectos profesionales.

El proceso de elaborar un PIA

- [5] COMISIÓN EUROPEA. “Propuesta de REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos)”. Bruselas, 25 de enero de 2012.
Propuesta RGPDUE

- [6] PARLAMENTO EUROPEO. “Texto aprobado – Protección de las personas físicas en lo que respecta al tratamiento de datos personales”. Procedimiento 2012/0011(COD). Ciclo relativo al documento A7-0402/2013. 12 de marzo de 2014.
Modificaciones aprobadas a la propuesta de RGPDUE

- [7] ARTICLE 29 DATA PROTECTION WORKING PARTY. “Statement of the Working Party on current discussions regarding the data protection reform package”. Statement 27 February 2013.
Data protection reform

 

5. DERECHOS DE AUTOR

This Working Party was set up under Article 29 of Directive 95/46/EC. It is an independent European advisory body on data protection and privacy. Its tasks are described in Article 30 of Directive 95/46/EC and Article 15 of Directive 2002/58/EC.

Copyright notice: © European Union, 1995-2014

Reuse is authorised, provided the source is acknowledged. The reuse policy of the European Commission is implemented by a Decision of 12 December 2011.

The general principle of reuse can be subject to conditions which may be specified in individual copyright notices. Therefore users are advised to refer to the copyright notices of the individual websites maintained under Europa and of the individual documents. Reuse is not applicable to documents subject to intellectual property rights of third parties. 

 



No hay comentarios:

Publicar un comentario