El momento en el que nos encontramos actualmente nos ha situado en un escenario difícil, con un riesgo global de ciberataques que pueden afectar tanto a una entidad pública como a una pequeña empresa. Esta situación debe ser abordada por las organizaciones como un reto y una oportunidad para mejorar sistemas y procesos, dando respuesta tanto a la situación presente como a la forma de estar lo mejor preparados posibles para el futuro. En este sentido, hay que tener presente que la ciberseguridad es un medio para proteger a las organizaciones, y que la protección de datos traspasa los límites de cualquier empresa para salvaguardar los derechos y las libertades de las personas.
La aplicación de medidas concretas para garantizar la protección de datos cobra una especial relevancia, ya que su ausencia puede traer consecuencias como brechas de datos personales, usos ilícitos de datos o análisis masivos de información que permitan el perfilado automático de los individuos.
La seguridad es un recurso necesario para garantizar el derecho fundamental a la protección de datos, pero no es suficiente. De hecho, si las medidas de seguridad están orientadas a otros objetivos, pueden llegar a representar una amenaza para la libertad.
La protección de datos es un derecho del ser humano vinculado a la Declaración Universal de Derechos Humanos, aprobada por la Asamblea General de las Naciones Unidas en 1948. Un derecho que nace para salvaguardar la dignidad humana frente a la intrusión que supone la recogida y tratamiento excesivo de datos personales. Un derecho que tiene como objetivo establecer un marco de garantías que permita el libre ejercicio de los derechos y las libertades. En definitiva, un derecho que trata de impedir que el uso de la información personal pueda utilizarse de forma indiscriminada en contra de otros derechos y libertades del ser humano.
Gestión de la protección de datos
El proceso de gestión de la protección de datos empieza por establecer la licitud del tratamiento; continúa con la aplicación de los principios de lealtad, transparencia, finalidad, proporcionalidad, exactitud, limitación, aplicación de derechos y responsabilidad proactiva; y finaliza –derivado de los requisitos fijados por la implementación de todos los anteriores– con las medidas de seguridad. Por tanto, la seguridad de la información no es el punto de partida para implementar la protección de datos en una entidad, sino la última etapa del proceso.
Al igual que es importante implementar medidas técnicas y organizativas para proteger la confidencialidad, la integridad y la disponibilidad de la información, también lo es que las organizaciones lleven a cabo un proceso de gestión del riesgo para identificar posibles problemas, anticiparse a las dificultades y adoptar decisiones racionales y con garantías de éxito. El propio Reglamento General de Protección de Datos (RGPD) impone a los responsables la obligación de seguir un modelo de cumplimiento de responsabilidad proactiva orientado a la gestión de los tratamientos desde un enfoque de riesgo.
Este enfoque tiene dos objetivos: por una parte, el establecimiento de las medidas de seguridad con el fin de establecer los controles necesarios para garantizar la confidencialidad, integridad y disponibilidad de los datos personales y la resiliencia de los sistemas y servicios necesarios para los tratamientos; y por otra parte, el establecimiento de los mecanismos necesarios para llevar a cabo los tratamientos de datos personales garantizando los derechos y libertades de las personas evitando o mitigando las posibles consecuencias negativas de dichos tratamientos para las personas físicas.
Íntimamente ligadas a la gestión de riesgo se encuentran las evaluaciones de impacto relativas a la protección de datos, ya que en aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento deberá realizar una. Si una vez finalizada esta el responsable no puede hallar suficientes medidas para reducir los riesgos residuales hasta un nivel aceptable, se debe trasladar a la autoridad de control una consulta previa.
Cumplimiento formal
Los datos recogidos en la última Memoria de la Agencia Española de Protección de Datos (AEPD) en relación con el número de consultas previas recibido y la calidad de las evaluaciones de impacto en protección de datos realizadas por los responsables ponen de manifiesto el intento de los responsables de cumplir formalmente con el articulado del RGPD, pero sin ofrecer respuesta al enfoque de riesgos al que obliga el principio de responsabilidad activa también recogido en el Reglamento.
En la documentación presentada por los responsables se aprecia desconocimiento de las guías, recomendaciones, instrucciones e informes publicados por la AEPD, por lo que la Agencia seguirá dedicando sus esfuerzos a ofrecer sus recursos para fomentar una cultura de protección de datos, en este caso entre los sujetos obligados. Recursos como la nueva Guía de análisis de riesgos y evaluaciones de impacto en protección de datos y una lista de verificación formal del contenido de la documentación de la EIPD; además de la herramienta Evalúa-Riesgo, junto con un documento de tablas o anexos que permiten dar respuesta a las obligaciones que el Reglamento establece en su enfoque de riesgos.
A estas herramientas se unen Facilita RGPD, para tratamientos de escaso riesgo; Facilita Emprende, para ayudar a las personas emprendedoras y startups tecnológicas a cumplir con la normativa de protección de datos; y Comunica Brecha, para que los responsables puedan obtener una valoración que les asista en la toma de decisiones sobre la obligación de comunicar a las personas afectadas por una brecha de seguridad de los datos personales.
En este sentido, hay que destacar la importancia del Pacto Digital para la Protección de las Personas puesto en marcha por la Agencia, una iniciativa orientada a reforzar el derecho a la protección de datos, la privacidad y la ética digital en las políticas de sostenibilidad y los modelos de negocio de las organizaciones, y a la que ya se han adherido cerca de 400 entidades. La adhesión al pacto conlleva, entre otros aspectos, el compromiso de informar a las personas sobre el tratamiento de sus datos y el ejercicio de sus derechos, aplicar los principios de protección de datos y difundir el Canal Prioritario para solicitar la eliminación urgente de contenidos sexuales y violentos publicados en Internet. En 2021 se realizaron 25 intervenciones de urgencia, consiguiendo la retirada de los contenidos sensibles en cuestión de horas.
La Memoria de 2021 revela, asimismo, que las reclamaciones generales presentadas ante la Agencia han crecido un 35 por ciento respecto al año anterior, hasta llegar a la cifra de 13.905. Este número se incrementa hasta las 14.571 si se incluyen los casos transfronterizos, aquellos en los que la Agencia actúa por iniciativa propia y las quiebras de seguridad trasladadas a inspección.
En relación con estas últimas, la AEPD recibió y analizó cerca de 1.650 notificaciones de brechas de datos personales. Estos datos ponen de relieve la importancia de proteger los datos de carácter personal y la necesidad de contar con una autoridad colaboradora que proporcione las directrices adecuadas para fomentar el cumplimiento.
Una de nuestras prioridades es proteger a las personas en el mundo digital, por lo que desde la Agencia seguiremos dirigiendo una parte importante de nuestros esfuerzos a facilitar ese cumplimiento de la normativa y haciendo un llamamiento a los sujetos obligados para que extraigan el máximo partido a las posibilidades que las herramientas y recursos que la AEPD pone a su disposición de forma gratuita.
Te interesa: Las reclamaciones interpuestas en la Agencia Española de Protección de Datos crecieron un 35% en 2021.
La entrada Protección de datos y privacidad: más fundamentales que nunca se publicó primero en Redseguridad.
