Para asegurarse que el derecho a la protección de los datos personales sea efectivo -no una mera declaración de buena voluntad- el Convenio 108+ del Consejo de Europa impone obligaciones adicionales al responsable del tratamiento y al encargado del tratamiento de cada organización.
En la columna anterior se analizó el alcance del concepto de datos personales y de la posibilidad que los datos recolectados puedan identificar a las personas, y ahora se focalizará en las acciones necesarias del otro lado del mostrador, previo a la recolección de datos como en su tratamiento.
Es obligación del responsable del tratamiento asegurar la adecuada protección de los datos verificando y demostrando que cumplen con la ley y sus principios protectorios en todas las etapas del tratamiento, incluyendo la etapa de diseño, con el objetivo de proteger a los titulares de datos, lo que redundará en su confianza con la organización. Las medidas adecuadas para asegurar el cumplimiento incluyen: capacitar empleados; establecer procedimientos de notificación adecuados (por ejemplo, indicar cuándo deben eliminarse los datos del sistema); y establecer procedimientos internos que permitan verificar y demostrar el cumplimiento.
Antes de realizar una actividad de tratamiento de datos se deberá examinar el posible impacto sobre los derechos o libertades fundamentales de los titulares de datos, sin formalidades excesivas, considerándose el principio de proporcionalidad en base a una perspectiva general del tratamiento a realizarse, para lo que se recomienda involucrar a todas las áreas de la organización: las máximas autoridades, los encargados del tratamiento, los desarrolladores de los sistemas, diseñadores, profesionales de seguridad, para juntos y desde sus perspectivas examinar los riesgos. Por supuesto, que todo estará relacionado a la envergadura de la organización.
Este análisis deberá iniciarse en la etapa de arquitectura y diseño del sistema (protección de datos por diseño) con configuraciones por defecto, y su implementación debe lograrse no solo en cuanto a la tecnología utilizada para tratar los datos, sino que también en cuanto a los procesos de trabajo y administrativos relacionados, estableciéndose funcionalidades fáciles de utilizar que faciliten el cumplimento con la ley. Por ejemplo, implementando herramientas fáciles de utilizar para permitir que los titulares lleven sus datos a otro operador de su elección o almacenen los datos ellos mismos (herramientas de portabilidad de datos). También deben definir configuraciones estándar de privacidad para que el uso de las aplicaciones y programas no infrinja los derechos de los titulares de datos (protección de datos por defecto), en particular para evitar tratar más datos que los necesarios para lograr el propósito legítimo. Por ejemplo, las redes sociales deberían configurarse por defecto para que las publicaciones o fotografías solo fueron compartidas en círculos restringidos y seleccionados y no con toda la comunidad global.
El criterio de proporcionalidad antes referido se materializa teniendo en cuenta los riesgos para los intereses, derechos y libertades fundamentales de los titulares de datos, en función de la naturaleza y el volumen de los datos procesados, la naturaleza, alcance y propósitos del tratamiento de datos y, en ciertos casos, el tamaño de la entidad que lleve a cabo el tratamiento. Las obligaciones podrían adaptarse, por ejemplo, para no suponer costos excesivos para pequeñas y medianas empresas (PYMES) que tratan solo datos personales no sensibles recibidos de clientes en el marco de actividades comerciales y que no los reutilizan con otros propósitos. Ciertas categorías de tratamiento de datos, tales como el tratamiento que no implica riesgo alguno para el titular de datos, podrán incluso estar exentas de algunas de las obligaciones adicionales ahora analizadas.
Finalmente, se recomienda incorporar en la organización a un funcionario de Protección de Datos, que en el proyecto de modificación de la ley argentina nro. 25326 lo llama Delegado de Protección de Datos, para facilitar la verificación y demostración de cumplimento, proveyéndolo de medios necesarios para cumplir con su mandato, quien podría ser interno o externo a la entidad.
Al leer estas nuevas exigencias, es muy probable que el titular de una pyme solo se detenga en los nuevos costos indirectos que generarán. Esta conclusión, claramente genuina, permite sostener que esa pyme no está utilizando el potencial dormido que tiene en la información que administra diariamente, por lo que se recomienda cambiar el foco de análisis expresando que ya que va a tener que invertir en estos procesos de gestión de datos personales, entonces que esos datos personales empiecen a trabajar para la organización. Conocer quién compra, cada cuánto, por qué compra ese producto y no el otro que se articulan, por qué dejó de comprar pero sigue consultando el catálogo, entre tanta pero tanta información que cada organización administra, será clave para su éxito futuro.
* Abogado, especialista en derecho informático