La Agencia Española de Protección de Datos (AEPD) ha publicado este mes de abril una nueva guía. Centrada en la evaluación de impacto de leyes, pretende ser de ayuda para las instituciones públicas, a quienes va dirigida. En este artículo de Gesprodat te mostramos todos sus detalles para que comprendas su utilidad.
¿Para qué sirve esta guía?
Con el título Orientaciones para la realización de una evaluación de impacto para la protección de datos en el desarrollo normativo, persigue varios objetivos relacionados con la privacidad. El más importante es concienciar acerca de la necesidad de garantizar los derechos y libertades de los usuarios en cada normativa que se apruebe.
Sin embargo, en ningún momento se busca obstaculizar el desarrollo normativo, todo lo contrario. Lo que se pretende es proporcionar a los organismos de todos los niveles del Estado un marco de referencia. Con este procedimiento, sabrán cómo llevar a cabo distintos procesos:
- Determinar si una ley necesita una evaluación de impacto.
- Ejercerla para garantizar que no compromete a la protección de datos.
- Modificarla en aquellos puntos que puedan resultar conflictivos.
La clave es conocer, según la propia Agencia, cómo afectará a los derechos de los ciudadanos, tanto de manera individual como colectiva. Para minimizar cualquier perjuicio en este sentido, se incorporarán mecanismos de protección desde el punto de vista organizativo, técnico y jurídico.
Esta guía de la AEPD será de aplicación cuando una legislación que esté en trámites esté relacionada en algún punto con la información personal. De acuerdo con el propio documento, se pone especial énfasis en las tecnologías emergentes, como pueden ser las siguientes:
- Inteligencia artificial.
- Biometría.
- Medios de vigilancia masiva.
- Tratamiento masivo de datos.
Algunas recomendaciones útiles
Es importante destacar que esta guía no busca imponer ninguna cuestión, sino dar sugerencias de utilidad a los organismos públicos. El recurso fundamental está relacionado con tres nuevas métricas para determinar cuándo una ley puede afectar a la privacidad. Cuando se refiera a tecnologías emergentes, como las que hemos visto, o se traten datos de menores, se buscarán estos principios:
- Finalidad. Recopilar la información exclusivamente buscando un propósito conocido y concreto.
- Idoneidad. Demostrar estricta necesidad y pertinencia en la obtención de los datos.
- Proporcionalidad. Garantizar un equilibrio entre los medios empleados y el objeto de su uso.
Cuando una normativa haya superado esta evaluación de impacto, es necesario imponer lo que se ha denominado «salvaguardas». Son medios adicionales que buscarán una mínima afección a los datos de los ciudadanos. Estas son las recomendaciones más relevantes al respecto:
- Limitar el alcance de personas afectadas.
- Minimizar la conservación de datos en el tiempo.
- Eliminar información sensible de manera proactiva.
- Optar por la anonimización y la seudonimización.
- Elaborar un registro de comunicación entre administraciones.
Por último, la Agencia señala que esta es una tarea que no se puede automatizar, y que tampoco se trata de un informe jurídico. La única herramienta que se puede emplear con la finalidad de agilizar el trabajo se ha lanzado ya. Conocida como Evalúa-Riesgo RGPD v2, la cual aborda los factores conflictivos de una ley desde una perspectiva superficial.
Desde ahora, los delegados de protección de datos en instituciones públicas tendrán un nuevo marco de referencia. Esta guía les permitirá efectuar mejor la evaluación de impacto de leyes. Con esta base, esperamos que la privacidad (especialmente, la digital) se aborde de una manera más cuidadosa y pormenorizada.
