Pensará el lector en lo exótico del título de este artículo. Precisamente quiero llamar la atención sobre una problemática que nos asola a los profesionales de la privacidad y que deseo desarrollar comparando nuestro trabajo con la de un arquitecto. Veamos entonces las similitudes y diferencias entre la elaboración de una evaluación de impacto RGPD y la construcción de edificios.
Es normal que antes de construir un edificio se elaboren en primer lugar unos planos en los que no sólo se plasme el proyecto de la construcción sino en el que se analice la viabilidad de dicho proyecto, advirtiendo de cualquier problemática teórica y práctica para la puesta en marcha y finalización del mismo con el fin de garantizar la seguridad de las personas, el bienestar de la sociedad y la protección del medio ambiente, en una palabra, los requisitos básicos de la edificación. Dicho lo anterior, nadie, ni empresas ni particulares ponen en duda que este proceso es imprescindible para la correcta edificación de un edificio.
Del otro lado nos encontramos los profesionales de la privacidad, a los que nuestros clientes nos consultan antes de iniciar un proyecto que les “construyamos” el edificio sin realizar unos estudios previos sobre los que se sustenten. Es más, nuestro papel se convierte en el de censor principal, si se me permite la expresión.
Pues bien, siempre en mi opinión personal, el RGPD trajo consigo la Evaluación de Impacto obligatoria que tanto habíamos demandado los profesionales y que aquí tratamos de justificar como un elemento totalmente necesario para el desarrollo de nuestro trabajo y la justificación de cara al cliente de nuestras capacidades profesionales.
Imaginemos una empresa que quiere instalar unas cámaras de reconocimiento facial para detectar personas con una «sentencia firme de orden de alejamiento del establecimiento en menos de 0,3 segundos»…ah! Si ya existe ese caso, y además, ha sido mediático. Pues bien, he aquí un caso donde el edificio se ha construido sin tener el estudio previo por parte del arquitecto, donde el edificio ya tiene defectos por errores en la planificación.
La forma de proceder en estos casos en los que se mezclan datos biométricos con datos a gran escala sólo tiene una salida: Evaluación de Impacto RGPD (en adelante EIPD) y consulta a la AEPD, o como símil ya expuesto, estudio y análisis por parte del arquitecto y consulta a la administración competente para su viabilidad.
Para empezar, tenemos que analizar si el tratamiento de datos a realizar está dentro de los que requieren EIPD o de los que no requieren EIPD, extremo que se puede consultar en sendas listas publicadas por la AEPD. Si quisiéramos por otro motivo justificado que no apareciese en dichas listas podríamos optar por hacerla voluntaria, con la seguridad jurídica que ello conllevaría.
Para empezar, tenemos que analizar si el tratamiento de datos a realizar está dentro de los que requieren EIPD o de los que no requieren EIPD, extremo que se puede consultar en sendas listas publicadas por la AEPD.
Tema importante es que si no tuviésemos que hacerla también quedara justificado remitiéndonos a las medidas de responsabilidad proactiva que nos indica la normativa, quedando constancia de que se ha realizado un estudio previo.
A continuación analizaríamos de forma exhaustiva el ciclo de vida de los datos a tratar, así como la legitimación, la necesidad y proporcionalidad del tratamiento, donde nos podían saltar las primeras alarmas en la viabilidad de nuestro proyecto. No es lógico que para tratar datos de salud de nuestros pacientes de un hospital para estudios farmacológicos preguntáramos el modelo de coche que usan, a modo de ejemplo.
A partir de ahí entraríamos de lleno en la identificación, evaluación y gestión de los riesgos para los derechos y libertades de los afectados tanto en sus consecuencias jurídicas como en las medidas de seguridad que utilizamos para proteger esos datos. No sería comprensible tratar esos datos de salud sin un adecuado control de acceso o sin un registro de accesos para comprobar la trazabilidad de los mismos.
Cuando tengamos las medidas a adoptar preparadas, analizaremos si dichas medidas son insuficientes para mitigar el riesgo, por lo que tendríamos que dar una “segunda vuelta” para su correcta gestión e implantación, todo ello plasmado en un plan de acción asignando a cada responsable su tarea.
Conclusiones de la evaluación de impacto RGPD con respecto a la construcción de edificios
Por último, necesitamos elaborar una memoria y conclusiones sobre todo lo anterior, donde vamos a dar la respuesta al cliente sobre si se puede o no llevar a cabo la “obra de edificación”.
Como podemos comprobar, la EIPD es un estudio sólido realizado por profesionales y necesario para un correcto tratamiento del dato que nos puede ayudar, no sólo a eximirnos de responsabilidades futuras tanto reputacionales como económicas, sino a una mejora de nuestros procesos con el fin de tener una gobernanza global de los datos que tratamos en las organizaciones.
La EIPD es un estudio sólido realizado por profesionales y necesario para un correcto tratamiento del dato
Hagamos como en otros sectores y obliguemos a “visar” nuestros proyectos, a alcanzar esa seriedad que implica gestionar la intimidad y privacidad de millones de personas que se ven expuestas diariamente y en algunos casos, a abusos por parte de entidades que no invierten en arquitectos de la privacidad. Ya ven que una evaluación de impacto RGPD y la construcción de edificios tienen una práxis análoga y equivalente.