Columnas
La privacidad desde el diseño y rol legal
¿Qué significa privacidad por diseño? Como cuestión preliminar, vale bien mencionar que el concepto coloquial por diseño corresponde a una traducción literal del inglés, sin embargo, desde nuestra mirada dicha noción pierde matices.
Por Roberto Guerrero Flores*.
El proyecto de ley que regula el tratamiento de datos personales y crea la agencia de protección de datos personales (“Proyecto”) recoge una serie de nociones extraídas del Reglamento (UE) General de Protección de Datos (“GDPR” o “Reglamento”) que resultan novedosas en comparación a lo preceptuado en la vigente ley 19.628 sobre protección de la vida privada. Uno de estos conceptos importados al derecho chileno hace referencia al deber de protección desde el diseño, comúnmente conocido como privacidad por diseño.
La profunda transformación de nuestro derecho en materia de privacidad no es sino el reflejo de un paulatino auge en la cultura de datos a nivel nacional. En este contexto, resulta relevante plantear interrogantes que nos acerquen a comprender de mejor forma estas “nuevas” nociones, y en particular reflexionar acerca del referido concepto introducido en el artículo 14 quarter del Proyecto.
Pues bien, ¿qué significa privacidad por diseño? Como cuestión preliminar, vale bien mencionar que el concepto coloquial por diseño corresponde a una traducción literal del inglés, sin embargo, desde nuestra mirada dicha noción pierde matices. El Reglamento lo conceptualiza como desde el diseño, que en castellano nos otorga una doble dimensión. La primera es la temporal “desde el diseño”, lo que implica una obligación del responsable del tratamiento de considerar el impacto a los derechos fundamentales desde la concepción más temprana de la actividad de tratamiento. Una segunda dimensión apunta a lo contextual, “desde el diseño” estableciendo la obligación del responsable del tratamiento de valorar los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de los individuos. Desde ese lugar, parece más apropiado utilizar referencia del Reglamento.
Cabe señalar que, ni el Proyecto ni el Reglamento se aventuran en dar una definición. En lugar de ello, ambos cuerpos legales se aproximan al concepto de forma indirecta, estableciendo una descripción de aquellos componentes a tener presentes por el responsable del tratamiento. En tal sentido, se deduce un evidente consenso en cuanto a que la privacidad desde el diseño comprende un conjunto de medidas de carácter técnicas y organizativas a ser aplicadas tomando en consideración una serie de factores con miras al debido resguardo de los datos personales pertenecientes al titular objeto de tratamiento. Con relación a estos factores, ambos cuerpos legales mencionan la técnica, coste, riesgos, impacto en los derechos y en especial, el tiempo.
Ahora bien, ¿en qué consisten estas medidas?, ¿cómo interviene el abogado? Para propender a una respuesta, proponemos separar el proceso en 2 fases. Una primera etapa consiste en examinar los factores a considerar por el responsable y, en segundo lugar, activar la intervención del abogado o en su defecto del mismo Oficial de Privacidad (“Data Privacy Officer” o “DPO”).
La primera parte considera la obligación del responsable del tratamiento, quien al momento de concebir una solución, aplicación u plataforma que involucre el procesamiento de datos personales debe contemplar qué es lo que quiere hacer en términos comerciales, evaluar los riesgos asociados a la innovación, ponderar el costo que acarrea el desarrollo y, poner especial atención en qué medidas de seguridad de la información serán adoptadas a fin de mitigar los riesgos que el tratamiento entraña para los individuos.
Sobre la segunda interrogante debemos comprender que, el rol del abogado en la privacidad desde el diseño debe ir más allá de velar por el cumplimiento normativo. Aquello significa que su cometido conlleva vigilar y cuestionar desde el inicio hasta la finalización del desarrollo de una solución que involucre el procesamiento de datos el cumplimiento en todos los ámbitos a las reglas de la privacidad. Vigilia que considera por cierto una revisión de las medidas técnicas y organizativas para la operación del producto que posea el responsable. Esto se traduce en, conocimiento de la solución, coordinación con las áreas encargadas del desarrollo y seguridad, ejecución del PIA o Privacy Impact Assestment, y análisis de existencia de presupuestos -indicados en el Proyecto- que evidencien su ejecución.
A mayor profundidad, la función legal acarrea la elaboración de una serie de cuestionamientos que apunten a entender el tratamiento en toda su dimensión, por ejemplo: ¿A través de qué tipo de dispositivo se recogerá o accederá a los datos personales (en caso de requerir dispositivo), ¿a qué datos personales se accederá?, ¿por qué se requiere acceder a determinados datos personales?, ¿con qué finalidad(des) se pretende acceder a ciertos datos personales?, ¿existen canales de comunicación que faciliten el ejercicio de los derechos los titulares de datos?, (vincular el proceso con las políticas de seguridad); ¿los datos personales serán cotejados con más de una base de datos?, ¿dónde se encuentra esta base de datos? (abriendo la discusión a potenciales transferencias internacionales); ¿se captarán datos de carácter sensibles?, ¿por qué?, ¿existe algún dato personal a recoger que a su vez sea factible de descartar? (A fin de cumplir en la medida del posible con el principio de minimización de datos también conocido como privacidad por defecto); ¿podemos confirmar que las medidas para salvaguardar la confidencialidad de los datos capturados directamente, están vinculados a las medidas de seguridad?; ¿Cómo será el flujo del producto?, pregunta que toma relevancia en la medida que permita dilucidar dónde incorporar un display de consentimiento que cumpla con las regulaciones, (propósitos, datos personales, canal de comunicación y ejercicio de derechos) como también entender bajo qué base de licitud se quiere obtener los datos personales objeto de tratamiento. En definitiva, cuestionar y verificar.
Omitir el rol legal en la privacidad desde el diseño puede llevar a desaciertos en el resultado final, pasando desde promesas comerciales acompañadas de un déficit en su cumplimiento, la afectación de confianzas en el entorno digital, daño reputacional, desconocimiento interno de la solución originando la imposición de sanciones que afecten significativamente en el negocio (no entregar suficiente información sobre el almacenamiento, exceso de datos objeto de tratamiento, omisión sobre las bases de licitud, omisión de informar acerca del medio o sistema mediante el cual se captarán datos personales, etc.).
El desafío es grande, y por ello toma especial fuerza asimilar que este deber trae consigo un cambio sustancial tanto en las reglas del juego como en las providencias que debe ponderar toda entidad que posea la calidad de responsable de los datos personales.
*Roberto Guerrero Flores. Abogado Universidad de los Andes. Diplomado en derecho corporativo, Universidad de los Andes. Counsel en Sovos para toda LATAM, a cargo de asuntos de privacidad en la región y miembro de la Asociación de Profesionales en Protección de Datos (AGPD).
