Por Viviana Chávez Bravo,
asociada principal del estudio Echecopar.
Con la reciente entrada en vigencia del nuevo Reglamento de la Ley N° 29733, Ley de Protección de Datos Personales[1] -a fines del pasado mes de marzo-, no es poco lo que hemos oído hablar, entre otros temas, sobre la necesidad de designar a un Oficial de Datos Personales, así como la obligación de notificar incidentes de seguridad. Se tratan de cambios muy relevantes que deben ser relevados y discutidos para su debida implementación por parte de todas las organizaciones.
No obstante, otro cambio vital que trajo consigo el nuevo Reglamento, y, sobre el que poco se ha hablado, es la incorporación del principio de responsabilidad proactiva dentro del listado de principios rectores que han de guiar el tratamiento de datos personales y, como resultado de esta, la también incorporación de una de sus principales herramientas: la evaluación de impacto relativo a la protección de datos personales (en adelante, «la EIPD»). Estas modificaciones son particularmente relevantes porque cambian el modo en el que se espera que las organizaciones se aproximen a este marco legal y a su cumplimiento. En efecto, se busca pasar de un enfoque de cumplimiento «formal» al fomento de una cultura de protección de datos personales. De este modo, no es exagerado afirmar que nos encontramos ante un cambio de paradigma.
Este artículo busca esbozar cuáles son las implicancias de reconocer a la responsabilidad proactiva como principio que guiará el cumplimiento de la legislación sobre datos personales -o, más bien, de explicitar su reconocimiento, como veremos más adelante-, tanto para los responsables del tratamiento, como para los titulares de los datos personales. En lo que respecta a los responsables del tratamiento, nos referiremos a qué medidas adicionales se esperaría que estos ejecuten a fin de cumplir con el principio bajo análisis -haciendo especial énfasis en la conducción de EIPD- y, en lo que se refiere a los titulares de datos personales, procuraremos ensayar un balance preliminar sobre el impacto de la incorporación de dicho principio y de la EIPD de cara a la mejor protección de sus derechos y libertades.
El principio de responsabilidad proactiva tiene su origen en la década de los 80 en las Directrices de la OCDE[2], las cuales regulan la Protección de la Privacidad y el Flujo Transfronterizo de Datos Personales del 23 de setiembre de 1980, ello bajo el nombre de «principio de responsabilidad«[3].Se sustenta en un deber de prevención al exigir a los responsables del tratamiento tomar medidas necesarias y suficientes conforme a sus necesidades, según su particular perfil de riesgos, para evitar incurrir en una práctica que sea contraria al marco legal. Aquel deber de prevención supone también estar en capacidad de acreditar -por ejemplo, en el contexto de una supervisión y/o procedimiento seguido por la Autoridad Nacional de Protección de Datos Personales (en adelante, «la APDP»)- que efectivamente se ha llevado a cabo dicha evaluación y se han tomado las medidas idóneas conforme a esta.
Este enfoque de prevención es el mismo que sentó las bases de lo que hoy conocemos como Compliance[4]. Al considerar como referencia la ISO 19600, primer estándar internacional sobre gestión de Compliance, se dispone que las organizaciones deben identificar cuáles son sus obligaciones de Compliance[5] y, luego de ello, realizar una identificación y evaluación de los riesgos, consistente en identificar posibles situaciones de incumplimiento y las consecuencias que estas podrían generar para, sobre esta base, establecer las medidas que se deberán implementar y/o reforzar según se requiera.
Algo muy similar ocurre con el principio de responsabilidad proactiva que, conforme a lo establecido en el artículo IX (Principios rectores) del nuevo Reglamento, supone que «(…) en el tratamiento de datos personales se deben aplicar las medidas legales, técnicas y organizativas a fin de garantizar el cumplimiento efectivo de la normativa de datos personales, y el titular del banco de datos personales o quien resulte responsable, debe ser capaz de demostrar tal cumplimiento». Del mismo modo, el enfoque de prevención se evidencia de la propia definición de la EIPD contenida en el nuevo Reglamento -artículo III (Definiciones), numeral 13-, que plantea que el responsable del tratamiento de datos personales «(…) realice, de forma previa al tratamiento de los mismos, un análisis o evaluación del impacto o riesgos que implica el tratamiento de esos datos».
Es por ello que no llama la atención que, como lo desarrollaremos con algo más de detalle más adelante, el nuevo Reglamento se remita a marcos de Compliance[6] como marcos de referencia para la realización de las EIPD que, como ya señalamos, es una de las principales herramientas en las que se apoya el principio de responsabilidad proactiva.
Si bien, según ya anotamos, la primera referencia expresa al principio de responsabilidad proactiva en nuestra legislación la encontramos en el nuevo Reglamento, lo cierto es que este principio ya estaba presente de una u otra manera en la propia Ley N° 29733, Ley de Protección de Datos Personales (en adelante, «la LPDP»). La manifestación más clara de este la podemos encontrar en el artículo 9 de la LPDP, el cual considera el principio de seguridad, conforme al cual el responsable del tratamiento debe «(…) adoptar las medidas técnicas, organizativas y legales necesarias para garantizar la seguridad de los datos personales. Las medidas de seguridad deben ser apropiadas y acordes con el tratamiento que se vaya a efectuar y con la categoría de datos personales de que se trate.»
Ahora bien, el nuevo Reglamento, además de reconocer el principio de responsabilidad proactiva de manera expresa, intensifica su presencia y valor como principio rector, en tanto: (i) precisa que dicho principio ha de guiar el cumplimiento de todas las obligaciones impuestas por la LPDP, y no solo de aquellas en materia de seguridad; e (ii) introduce una herramienta muy importante para su efectiva aplicación, cual es la EIPD. Es respecto de esta que nos referiremos más detalle en los siguientes párrafos con el ánimo no solo de exponer su alcance y objetivos, sino también de postular una metodología para su realización, siendo que a la fecha el marco legal no contiene disposiciones sobre el particular.
En primer lugar, es importante anotar que la EIPD se introduce al marco legal peruano como una medida de prevención facultativa -a diferencia de lo que ocurre en otras jurisdicciones, en las que su conducción es obligatoria ante determinados tratamientos que, por su naturaleza, se presenten como particularmente riesgosos para los derechos y libertades de los titulares de datos personales. Ahora bien, que su realización no sea legalmente obligatoria en modo alguno supone que esta herramienta pierda relevancia. De hecho, se corresponde a una medida de prevención muy importante y valiosa para las organizaciones, pues les permite anticipar situaciones de riesgo y establecer las medidas necesarias para su prevención, evitando así incurrir en incumplimientos que puedan resultar en multas, medidas correctivas y -no menos relevante- en una afectación a su reputación.
Sumado a lo anterior, el nuevo Reglamento establece también que una EIPD que se realice de manera previa al inicio de un procedimiento sancionador puede calificar como un criterio atenuante de responsabilidad administrativa, ello siempre y cuando se efectúe conforme a los requisitos establecidos en el marco legal, y pueda ser debidamente acreditada. Así, incluso en aquellos casos en los que la realización de una EIPD no hubiera logrado evitar un riesgo -pues sabemos que ninguna medida de prevención, así haya sido perfectamente diseñada, está en capacidad de eliminarlo de manera absoluta-, igualmente su ejecución habrá servido para mitigar el impacto de este en la organización.
Así, quedando claros los diversos beneficios de su realización, corresponde ahora referirnos a: (i) en qué casos se presenta como especialmente conveniente llevar a cabo una EIPD; y (ii) qué metodología ha de emplearse para su realización.
En lo que respecta a (i), el nuevo Reglamento en su artículo 40 lista algunos supuestos en los que la conducción de una EIPD será recomendable, a saber: cuando el tratamiento involucre datos sensibles, datos con fines de crear perfiles personales, datos de personas en especial situación de vulnerabilidad (por ejemplo, niños, personas pertenecientes a pueblos indígenas en situación de aislamiento, personas con discapacidad), cuando se realice el tratamiento de grandes volúmenes de datos; «u otros supuestos (…)». De lo antes señalado tenemos que, a criterio del nuevo Reglamento, la realización de una EIPD se hace especialmente relevante en el caso de tratamientos de datos que pudieran exponer a los titulares de datos personales a una afectación a sus derechos o intereses.
Sobre el particular, resulta conveniente remitirnos a lo dispuesto por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, «RGPD») que, en su artículo 35, establece que: «Cuando sea probable que un tipo de tratamiento (…) entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales».
Como se puede apreciar de lo dispuesto por el RGPD -que, al igual que su norma precedente, es marco de referencia indiscutible para el desarrollo legislativo y jurisprudencial nacional-, lo sustancial a efectos de determinar cuándo realizar una EIPD es si el tratamiento en cuestión puede o no entrañar un alto riesgo para los derechos y/o libertades de los titulares de los datos personales. Esto guarda perfecta consistencia con lo establecido en el artículo 40 del nuevo Reglamento, citado en párrafos precedentes.
Asimismo, a efectos de tener una visión más comprehensiva en relación a qué tratamientos de datos podrían merecer realizar una EIPD y cuáles no, vale la pena también remitirse a lo desarrollado -sobre la base del RGPD- por la Agencia Española de Protección de Datos (en adelante, «la AEPD»), la cual también es un referente importante para su par peruana. La AEPD, conocida por ser una autoridad particularmente activa en el desarrollo de diverso material que busca guiar a los responsables del tratamiento en relación a cómo desarrollar sus actividades en cumplimiento del marco legal, emitió la guía «Gestión del riesgo y evaluación de impacto en tratamiento de datos personales«[7], así como las «Listas de tipos de tratamiento de datos que requieren evaluación de impacto relativa a la protección de datos (art 35.4)«[8] y la «Lista orientativa de tipos de tratamiento que no requieren una evaluación de impacto relativa a la protección de datos según el artículo 35.5 RGPD«[9].
A través de dichos documentos, la AEPD establece que también corresponderá realizar una EIPD -además de en los supuestos ya recogidos también en el nuevo Reglamento- en los siguientes supuestos: tratamientos que impliquen la toma de decisiones automatizadas o que contribuyan en gran medida a la toma de tales decisiones; tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva, incluida la recogida de datos y metadatos a través de redes, aplicaciones o en zonas de acceso público; tratamientos de datos biométricos o el uso de datos genéticos; tratamientos que impliquen la utilización de nuevas tecnologías; entre otros. Por el contrario, refiere que no será necesario realizar una EIPD en el caso de tratamientos que sean necesarios para el cumplimiento de una obligación legal, cumplimiento de una misión realizada en interés público, tratamientos obligatorios por ley y realizados con relación a la gestión de recursos humanos, seguridad social y salud laboral, entre otros.
De lo antes señalado, se evidencia que serán aquellos tratamientos, en consideración a su naturaleza, alcance, contexto y finalidades, puedan suponer un riesgo elevado para los derechos y libertades de los titulares de datos personales los que merecerán realizar una EIPD. Según lo ya anotado, es de esperar que la APDP desarrolle -a través de guías, lineamientos o similares- otros supuestos, además de los ya establecidos en el nuevo Reglamento, en los que convendrá realizar la EIPD. No obstante, entretanto, lo dispuesto por el RGPD y la AEPD se constituyen en un excelente marco de referencia sobre el particular.
En lo que respecta a (ii) -esto es, qué metodología ha de emplearse para la conducción de una EIPD-, el nuevo Reglamento no contiene un desarrollo sobre el particular. En efecto, se limita a señalar que la EIPD se podrá elaborar tomando como referencia la guía, lineamientos y procedimientos establecidos en la NTP-ISO/IEC 27005 y la NTP-ISO 31000 u otros estándares relacionados con el análisis y la evaluación de riesgos para la protección de datos personales. Asimismo, establece que la APDP emitirá las disposiciones complementarias que resulten pertinentes.
Partiendo de lo establecido en el marco de referencia mencionado en el párrafo anterior, tenemos que la EIPD deberá realizarse conforme a los siguientes pasos:
- Definir adecuadamente las actividades de tratamiento que se prevén realizar a fin de determinar si corresponde realizar una EIPD.
- Evaluar la idoneidad, necesidad y proporcionalidad (en sentido estricto) del tratamiento, lo que supone: (i) analizar si el objetivo perseguido se logra con el tratamiento de datos bajo análisis; (ii) analizar si el mismo objetivo podría lograrse de un modo menos lesivo y/o invasivo para los intereses y derechos de los titulares de datos personales; y (iii) analizar si el impacto en los derechos y libertades de los titulares de datos personales es adecuada al objetivo perseguido y proporcional a la necesidad y urgencia de su cumplimiento. Solo en caso el tratamiento supere el análisis de los puntos (i), (ii) y (iii) concurrentemente, será posible llevar a cabo el tratamiento. De lo contrario, este se deberá ser descartado o modificado.
- Una vez superado el análisis en 2., corresponderá realizar el proceso de gestión de riesgos, el cual deberá incluir: (i) la identificación de los escenarios de riesgos (esto es, la exposición a amenazas de diversos tipos, tales como desastres naturales, errores y fallos, ataques intencionados, incumplimiento normativo, entre otros); (ii) la evaluación de los riesgos (esto es, estimar la probabilidad de que el riesgo se materialice y el impacto que este tendría en ese escenario); y (iii) el tratamiento de los riesgos[10].
Aun cuando la realización de una EIPD sin duda exige a las organizaciones la inversión de tiempo y recursos, somos de la opinión que esta se ve plenamente justificada y compensada por los beneficios que su adecuada ejecución supone, a saber: prevenir riesgos y/o mitigar las consecuencias legales y reputacionales derivadas de estos. Sumado a lo anterior, tenemos que la ejecución de una EIPD resguardar los derechos y libertades de los titulares de datos personales, lo que se esperaría también sea uno de los objetivos de toda organización.
De este modo, somos de la opinión que la inclusión del principio de responsabilidad proactiva y, en particular, de la EIPD, a nuestra legislación generan muchas ventajas, siendo las principales las siguientes: (i) fomenta el desarrollo de una cultura de protección de datos personales en las organizaciones, en tanto les exige realizar una previa tarea de reconocer qué tipos de tratamiento realizan y para qué finalidades, a efectos de definir qué acciones a adoptar y qué medidas de protección aplicar; (ii) reduce tratamientos de datos no necesarios, pues al tener ya un conocimiento sobre los tratamientos de datos personales que realizan, sabrán reconocer qué tratamientos son innecesarios y/o no se justifican en consideración al riesgo que representan; y (iii) permite que las organizaciones implementen controles que se ajusten a sus riesgos y necesidades, lo que redunda en una mayor eficiencia.
REFERENCIAS BIBLIOGRÁFICAS:
[1] Aprobado mediante Decreto Supremo N° 016-2024-JUS, publicado el 30 de noviembre de 2024.
[2] Organización para la Cooperación y el Desarrollo Económico.
[3] Este principio, recogido en el apartado 14 de las citadas Directrices, dispone que a todo “inspector” –responsable de tratamiento, en los términos de nuestra legislación- «(…) se le deberían pedir responsabilidades por el cumplimiento de las medidas que permiten la aplicación de los principios antes expuestos«.
[4] Buscando simplificar un concepto por demás amplio y complejo, el Compliance tiene por objeto velar por el cumplimiento de las obligaciones y/o deberes que pueden afectar a una organización. El término Compliance suele ser utilizado para hacer referencia a estructuras implantadas al interior de una organización con el objetivo de prevenir y/o mitigar los riesgos (de incumplimiento del marco legal, por ejemplo) a los que esta se encuentra expuesta.
[5] Para lo cual deberán acudir a fuentes tales como la legislación, permisos o licencias, órdenes o lineamientos dispuestos por los reguladores, entre otros.
[6] Específicamente, a las normas técnicas peruanas NTP-ISO/IEC 27005 y la NTP-ISO 31000.
[7] Disponible en https://www.aepd.es/guias/gestion-riesgo-y-evaluacion-impacto-en-tratamientos-datos-personales.pdf
[8] Disponible en listas-dpia-es-35-4.pdf
[9] Disponible en https://www.aepd.es/sites/default/files/2019-12/ListasDPIA-35.5l.pdf
[10] Conforme a lo dispuesto en el numeral 6.5.1 de la norma ISO 31000:2017, existen diversas opciones para tratar el riesgo, las cuales incluyen: (i) reducir el riesgo (modificar la probabilidad y/o modificar el impacto), (ii) aceptar el riesgo (ya sea porque el riesgo es bajo o porque se quiere perseguir una oportunidad), (iii) evitar el riesgo al decidir no empezar o continuar la actividad que da lugar a este, (iv) remover la fuente del riesgo o (iii) compartir o transferir el riesgo (por ejemplo, contratar una póliza de seguros).
