6a Píldora Tecnológica ICAB: 'La evaluación de impacto en protección de datos'

La evaluación de impacto en protección de datos (o mejor aún, en privacidad) más conocida por su denominación inglesa: Privacy Impact Assessment o PIA, es una metodología para evaluar el impacto en la privacidad de un proyecto ya sea éste para diseñar un proceso de negocio, servicio, producto, dispositivo, App o cualquier iniciativa que implique tratamiento de datos personales, de forma que se puedan adoptar las medidas necesarias para evitar o minimizar posibles consecuencias negativas que pudieran afectar a esos datos. Es la consecuencia de aplicar el concepto de Privacidad en el Diseño (Privacy by Design) e incorpora instrumentos que hasta hace poco se utilizaban más en el entorno tecnológico, como el análisis y gestión de riesgos.

La humanidad avanza cada vez más rápido. El progreso es un fenómeno imparable que viene propiciado por un efecto multiplicador, una interacción cruzada,entre todos los estudios e investigaciones que tienen, y han tenido, lugar en el mundo. E Internet, con su inmediata visibilidad global, actúa como un catalizador.

Para ir entrando en materia, vamos a ver qué derechos fundamentales intervienen en el concepto de privacidad, circunscrito en la era digital:

En el mundo actual, al estar nuestra intimidadcada vez más digitalizada, la esfera íntima de las personas comprende cada vez un mayor número de datos personales. No es de extrañar, en este contexto, que se diluyan los límites entre el derecho a la intimidad y el derecho a la protección de los datos de carácter personal, siendo cada vez más los que designamos por "privacidad" a la conjunción de ambos derechos fundamentales.

Esta relación win-win está en la línea del binomio (innovación, derechos de las personas) que hemos visto al principio.

En el ciclo de vida de los servicios (y los procesos, sistemas, Apps... que los soporten) se puede actuar de dos formas:

• actuar de forma proactiva respecto a la privacidad permitirá integrar ésta en el proceso de diseño evitando costosas rectificaciones posteriores (en la misma fase de aceptación del proyecto o posteriormente, mediante RFC, en la gestión de cambios) debido a no haberla tenido en cuenta.

• se corre el riesgo de propiciar un rechazo por parte de los actuales y futuros clientes y/o usuarios, dañando de forma irremediable la imagen de la empresa.

NOTA DEL EDITOR: En esta ponencia cuando hablo de diseñar un Servicio o Producto, me estoy refiriendo en sentido amplio a diseñar cualquier iniciativa susceptible de tratar datos de carácter personal. Puede ser un Servicio, un Proceso de Negocio (B.P.), software (App), un dispositivo inteligente, un sistema...

De los 7 principios hay dos que destacan, considerándose como el techo y los cimientos de la construcción en la que se encuentran los demás:

Los cinco principios restantes, consecuencia de los anteriores, son:

En una organización, existen diferentes actores involucrados con diferentes responsabilidades en privacidad:

• (Data Protection Officer)establece las políticas de privacidad , generales y orientadas a los tratamientos de datos personales consecuencia de determinados servicios.

• crea y avala la La Alta Dirección cultura de privacidad en la empresa mediante la ratificación y promulgación de políticas.

• (o los responsables de los productos) definen los Los propietarios de los servicios requisitos de privacidad . Para ello se dirigen al DPO para orientarse y éste les informa de cuánto les afecta a su servicio concreto. Periódicamente, y como requerimiento legal, el DPO auditará el cumplimiento de los principios de privacidad en los diferentes servicios.

• redacta las El equipo de proyecto especificaciones necesarias para poder implementar o producir el servicio o producto diseñado. Integrará los requisitos de privacidad facilitados por el propietario del servicio o producto quién, periódicamente revisará, y aprobará si procede,la conformidad de las especificaciones.

Los factores que afectan a la calidad en el diseño de un servicio o producto, podemos contemplarlos desde dos puntos de vista diferentes:

A simple vista da la sensación que relacionados con la privacidad (derecho a la intimidad y derecho a la protección de datos) hay un único factor en cada grupo.

Si lo analizamos con detenimiento, aparecen más relaciones:

• afecta también a la El factor de calidad interna "configurabilidad" privacidad en cuánto permite ajustarla a los requerimientos de cada usuario, dando cumplimiento así a uno de los siete principios de la PbD, concretamente a la privacidad por defecto en el diseño de servicios que se ha visto antes.

• afecta a la El factor de calidad interna "seguridad de la información" confiabilidad, en tanto ningún usuario confía en un servicio que no es confidencial respecto a sus datos personales, no garantiza su integridad y no asegura la disponibilidad de los mismos cuando se necesitan.

• afecta a la El factor de calidad interna "portabilidad" privacidad como se recoge en el artículo 18 del borrador del nuevo Reglamento General de Protección de Datos de la UE (RGPDUE).

Dividiremos el proceso de elaborar un PIA en cinco fases, cada una de ellas constituida por diferentes actividades:

Ésta fase está constituida por tres actividades:

• En el constarán claramente especificados los Elaborar el Plan de Proyecto: objetivos generales del proyecto y su alineación con los de la organización, el alcance y la magnitud del proyecto, los vínculos con otros proyectos y algunos elementos clave de privacidad.

• Cumplimentar el PTA: UnPrivacy Threshold Analysis - Análisis de Umbral de Privacidad (PTA) consisteen un análisis previo basado en un sencillo documento de pocas hojas y pensado para profanos, que se utiliza a modo de "check-list". Son pocas preguntas que solo admiten SI o NO como respuesta. A partir de un 10% afirmativo debe efectuarse un PIA.Si el umbral es mucho mayor, entonces se aconseja el PIAcompleto.

• Recopilar documentación del proyecto: En ésta fase temprana se inicia la recopilación y gestión documental de toda la información relacionada con la privacidad en el serviciola cual ayudará a desarrollar el PIA con éxito.

El propósito de ésta fase es fijar la estrategia y la táctica para que la crítica "fase 3 (consultas y análisis)" pueda llevarse a cabo sin problemas. Está constituida por tres actividades:

Diagrama de los flujos de información: Se describen y dibujan en esta actividad los flujos de información de naturaleza personal que se tratarán durante la operativa del servicio o producto. Se trata de una actividad sustancial que debe desarrollarse con sumo rigor ya que los "olvidos" podrían ocultar vulnerabilidades importantes que desvirtuaran los resultados finales obtenidos.

Estrategia y plan de consultoría: Se definen las diferentes "partes interesadas" del proyecto y se elabora un plan de consultoría para poder recabarles toda la información necesaria. Debe entenderse por partes interesadas a la propia organización (Accionistas, Comité de Dirección, empleados en general...), clientes, distribuidores, proveedores, aseguradoras, reguladores, grupos gremiales, asociaciones profesionales, grupos de opinión...

Constitución del PCG: En función de la magnitud del proyecto, se constituirá un PIA Consulting Group - Grupo consultor del PIA (PCG), normalmente multidisciplinario que se encargará de apoyar y colaborar en el desarrollo del PIA.

Está constituida por tres actividades:

Está constituida por una actividad:

Elaboración del informe PIA: Se trata de un informe resumen que abarca todas las etapas anteriores y finaliza con un apartado de recomendaciones. Una opción adicional, motivada por el delicado equilibrio entre seguridad y transparencia, consiste en editar una versión simplificada del informe PIA (tipo informe ejecutivo) que, sin desvirtuarlo, permita hacerlo público. Esta actitud de transparenciaaporta beneficios a la imagen de la organización y confianza a todas las partes interesadas.

Está constituida por dos actividades:

Las amenazas aprovecharán vulnerabilidades de nuestro diseño de proceso de negocio, servicio, sistema o dispositivo, para producir un impacto en la privacidad. Afortunadamente la ocurrencia del impacto no es segura, sino que dependerá de la probabilidad de que suceda. La combinación de ambos factores, probabilidad e impacto es lo que nos dará el riesgo.

Este riesgo, en el caso de evaluaciones de privacidad, se entiende referido a la vulneración de los diferentes IPP (Principios de Privacidad de la Información).

Para obtener resultados comparables, se debe fijar un sistema de medición con escalas armonizadas entre todas las variables que intervienen.

En este caso por simplicidad, y como suele hacerse habitualmente en la práctica, utilizaremos escalas cualitativas, que son más intuitivas, frente a las cuantitativas.

Para cada principio, según el elemento considerado, analizaremos si el impacto que se produciría, como consecuencia de materializarse los posibles riesgos relacionados, podría considerarse bajo, medio, alto, muy alto o simplemente "no aplica".

Para hacerlo intuitivamente utilizaremos una tabla que propone la metodología MAGERIT, que es un método formal para analizar los riesgos que soportan los Sistemas de Información y para recomendar las medidas apropiadas que deberían adoptarse para tratar y controlar esos riesgos, muy extendida en las AAPP, especialmente en la adecuación al Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (ENS).

Se trata de una tabla de doble entrada en la que, eligiendo el valor obtenido en la estimación del impacto por la parte izquierda, y eligiendo el valor obtenido en la estimación de la probabilidad de ocurrencia en su parte superior, en su intersección se encuentra el valor del riesgo.

Se repetirá el método de cálculo para cada una de las casillas de la tabla. Ya se intuye que, en esta parte de naturaleza mecánica y repetitiva, es una buena idea ayudarse de una herramienta o plataforma informática especializada en riesgos.

Cuando tengamos la tabla completa, deberíamos ordenar todos los riesgos obtenidos por su valor (de mayor a menor) dándonos una idea clara del orden por el que hemos de empezar a controlarlos.

Un concepto muy utilizado en gestión de riesgos es el apetito de riesgo. No es otra cosa que el umbral de riesgo que la organización está en condiciones de asumir. Así las cosas, como precisa el grupo de trabajo del artículo 29 en su Declaración wp218, nunca debería asumirse un nivel de riesgo que conculcara principios fundamentales de la privacidad.

- AEPD (Agencia Española de Protección de Datos). " Guía para una Evaluación del Impacto en la Protección de Datos Personales (EIPD)". Octubre de 2014.

-ICO (Information Commissioner's Office). "Privacy Impact Assessment Handbook version 2.0". June 2009.

-ICO (Information Commissioner's Office). "Conducting privacy impact assessments code of practice". Based about UK Data Protection Act.

"Reflexiones sobre el futuro de la privacidad en Europa - Capítulo 2: Privacy Impact Assessment y Privacy by Design". Noviembre de 2013. - Varios autores (entre los que me incluyo). DPI-ISMS Forum Spain.

- José Luis Colom Planas. " Consideraciones teórico-prácticas sobre el proceso de elaborar un PIA". Blog "Aspectos Profesionales". 13 de abril de 2014.

Consideraciones PIA