Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
OPINIÓN

Varios autores ULD, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Evaluación PIA desde el punto de vista del SDM

Este artículo, firmado por Kirsten Bock, Martin Rost y Ricardo Morte Ferrer, del Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD), estudia el modelo de PIA y propone diferentes mejoras basadas en el Modelo Estándar de Protección de Datos.
Kirsten Bock, directora en ULD
Kirsten Bock, directora del Negociado Europrise en el Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD).

Los sistemas de Evaluación de Impacto sobre la Privacidad (Privacy Impact Assessment –PIA-) conocidos hasta ahora sólo satisfacen parcialmente las necesidades que una moderna protección de datos plantea. La mayoría son analíticos, con un planteamiento científico, y pierden de vista la protección del interesado. Otros pueden ser calificados de medidas de marketing que pretenden mejorar el nivel de confianza de empresas o representantes políticos. Este artículo estudia una propuesta de modelo de PIA y propone diferentes mejoras basadas en el Modelo Estándar de Protección de Datos (Standard Data Model –SDM-).

Los primeros conceptos de Privacy Impact Assessment (PIA) aparecen en los inicios del Technology Assessment, que llegó a Europa en los años 70 del siglo pasado. Desde mediados de la década de los 90 de ese mismo siglo, se puede considerar que los PIA están consolidados en Australia, Inglaterra, Hong-Kong y EEUU (cf. Clarke 2011). Una visión general de la situación actual puede encontrarse en Wright y De Hert (2012). En el ámbito de habla alemana están de actualidad iniciativas de creación de estándares (cf. BSI 2011; DIN/ISO 2012), así como también el desarrollo de un modelo de aplicación práctica (Oetzel y Spiekermann 2012).

Martin Rost, empleado en ULD
Martin Rost, empleado del Negociado Sistema de Protección de Datos en el Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD).

Si sometemos los mencionados modelos a un análisis basado en el Modelo Standard de Protección de datos (Standard Data Model –SDM-), queda claro que todos son manifiestamente mejorables. Actualmente da la sensación que los PIA son utilizados por la industria como mecanismo de defensa contra las exigencias de las autoridades de protección de datos, en lugar de limitarse a cumplir esas exigencias. Queda por aclarar el nivel de independencia de los autores y si los mencionados modelos son relevantes y aplicables de forma generalizada.

Ricardo Morte Ferrer, colaborador jurídico de la ULD
Ricardo Morte Ferrer, colaborador jurídico del Proyecto TClouds en el Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD).

Especialmente cuestionables son la validez y fiabilidad de los criterios usados para el análisis de los riesgos en materia de protección de datos. Otro punto criticable radica en que en ningún caso se fija una relación entre la protección de datos y la Seguridad de la Información. No cabe duda que la protección de datos precisa de medidas en materia de seguridad de la información, pero no se limita únicamente a esas medidas. Por ejemplo, la anonimización y pseudonimización son típicas medidas de seguridad en materia de protección de datos. Como consecuencia de la fundada necesidad de un apoyo sistemático y metodológico, como el ofrecido por el BSI-Grundschutz1, en los últimos años se ha trabajado, también por parte de los Data Protection Officers (DPO), en base a la perspectiva de riesgo y a los intereses de seguridad de las organizaciones, pero sin tener en cuenta los riesgos que esas organizaciones originan, desde el punto de vista de la estructura social y de las personas afectadas, aspectos que son centrales para la protección de datos2.

Desde la perspectiva de la protección de datos, lo que se espera de un PIA es que muestre de forma transparente los efectos que los procesos que está evaluando pueden tener en lo que afecta al derecho a la autodeterminación informativa, como consecuencia de la relación asimétrica de poder que existe, o puede existir, entre organizaciones y personas.

Situación actual de la discusión sobre PIA

Richard Clarke elabora una lista de criterios para la evaluación de guías para la realización de PIA (cfr. Clarke 2011: 113). Siguiendo esos criterios, considera que las guías en EEUU, así como en la mayoría de provincias canadienses y australianas gozan de escasa calidad, entre otros motivos debido a que se limitan a comprobar el grado de cumplimiento de la normativa legal en materia de protección de datos. Por el contrario, considera que las guías de Ontario, Alberta, Inglaterra y la provincia australiana de Victoria, son de gran calidad, entre otros motivos porque también valoran los procesos llevados a cabo por las organizaciones (cfr. Clarke 2011: 118 ss).

Oetzel y Spiekermann, cuyo modelo de PIA estudiaremos en este artículo, mencionan con razón que existen numerosos intentos, con resultados deficientes, de definir la privacidad y establecer un sistema adecuado para poder valorarla de forma científica (2012), si bien ellas mismas hacen referencia a un listado de riesgos en materia de privacidad elaborado por Solove (2006)3.

Tanto Clarke como Oetzel y Spiekermann evitan aportar en sus valoraciones un catálogo de criterios a seguir para la comprobación de la existencia de posibles riesgos para la privacidad. Puede que eso sea correcto para sus planteamientos, pero cabe decir que no lo es para poder valorar la transparencia e integridad ofrecidas por los PIA, así como para una posible comparación entre ellos. De la misma indefinición adolecen los criterios aplicados en el modelo de PIA aportado por DIN/ISO (cfr. ISO 2012). El documento de investigación relacionado con ese modelo hace referencia, entre otros, a una colección de principios y medidas sin sistematizar contenidas en el relativamente reciente Marco de privacidad del ISO 29100, que tiene una clara relación con los Global Privacy Standards que forman parte del modelo Privacy by Design (cfr. Rost y Bock 2011). Ese documento menciona también los estándares ISO para Risk Management, así como los PIA de orientación práctica elaborados para Radio Frequency IDentification (RFID) (BSI/Oetzel y Spiekermann 2011) y para sistemas financieros (ISO22307:2008).

Consideramos que las referencias a principios y medidas como base para una regulación son problemáticas. Con suerte, los principios abstractos pueden conseguir enfocar las -en ocasiones incongruentes- perspectivas de los interesados, de forma que se puede conseguir especificar qué problemas existen. De todas formas, eso no garantiza que se consiga que ese enfoque traiga consigo directivas de aplicación y una regulación vinculante. Por otra parte, un paquete de medidas fijadas en un apartado sobre medidas de regulación lleva inevitablemente a dudar sobre los motivos o la capacidad analítica o metodológica de los autores.

La referencia a los objetivos de protección (Schutzziele) es obligatoria para evaluaciones de impacto en el campo de la Seguridad de la Información desde hace decenas de años. Aparte de la definición de los objetivos de protección, este concepto incluye un catálogo de medidas y de orientaciones metodológicas para su aplicación en organizaciones. Para un PIA, la utilización del concepto de los objetivos de protección supone que, en lo que afecta a las medidas concretas de protección, un analista PIA será capaz, ya en la fase de planificación, de especificar posibles riesgos y de valorar su volumen y posibles efectos, así como de efectuar una valoración económica y empresarial4.

Los motivos mencionados pueden haber influido en que Oetzel y Spiekermann hayan escogido el concepto de los objetivos de protección para su modelo de PIA, basándose en el BSI-Grundschutz. Además, puede considerarse que amplían la metodología PIA aplicada en países de habla inglesa mediante la aplicación de un modelo escalonado. También intentan, al menos en parte, dar protagonismo y efectos operativos a la perspectiva de la persona afectada.

El Privacy-Impact de un PIA

De las investigaciones de Clarke podemos deducir que se le pueden plantear diferentes exigencias. Por ello, tiene sentido plantear esas exigencias, de forma que sea posible plantear un PIA para un PIA5. En este punto existe actualmente un problema, como muestra la definición de PIA aportada por Oetzel y Spiekermann (2012, Kap. 2.1). Según esa definición un modelo de PIA debe cumplir como mínimo cuatro requisitos:

  1. Una identificación previa de problemas o riesgos para la privacidad, antes de que los sistemas y programas se establezcan o modifiquen.
  2. Una valoración de los posibles efectos, teniendo en cuenta exigencias que van más allá del mero cumplimiento de la normativa legal.
  3. Una orientación más dirigida a los procesos que al output.
  4. Sistematicidad.

No vemos problema alguno en aceptar los puntos 2), 3) y 4); el primer punto plantea algunos problemas, porque es especialmente dependiente del contexto. Mientras en un contexto guiado por los intereses, o en un contexto científico, en un principio una identificación de los posibles riesgos puede ser abierta, en un contexto de orientación legal las dimensiones de los riesgos han sido identificadas desde un punto de vista normativo.
Para solventar este problema proponemos que, como primer paso en un PIA se explicite el tipo y nivel de exigencia que plantea. El tipo y nivel de exigencia planteado establece y dirige el grado de libertad para la identificación de los riesgos, así como el grado de neutralidad e independencia que cabe esperar de los autores del PIA.

Una explicación previa del tipo y nivel de exigencia de un PIA hace que sus riesgos en lo que afecta a su transparencia e integridad sean calculables para el lector. Está claro que hay una diferencia si el autor de un PIA establece sus criterios o casos de estudio según sus gustos, o si se basa en un catálogo fijado previamente, por ejemplo en base a la normativa de protección de datos, de forma que puede presumir de ajustarse a la voluntad política generalizada y a la Constitución. A partir de este momento, en lugar de hablar de tipo y nivel de exigencia, lo haremos de una Policy que los autores de un PIA se compromenten a cumplir.

Podemos distinguir tres tipos de Policy cuyas indicaciones podrían convertirse en estándar y cuyas indicaciones deberían ser obligatorias para un PIA:

  • a) Policy A: este tipo sería adecuado para un PIA que únicamente pretende realizar un control de un producto o proceso en un contexto determinado, sin fijar de antemano un catálogo de criterios y definiciones, ni tampoco los posibles motivos de un atacante. En este caso los autores del PIA pueden actuar dependiendo de quién les haya hecho el encargo. Este tipo podría resultar compatible con el concepto de PIA desarrollado por ISO.
  • b) Policy B: en este caso se fija como objetivo utilizar las exigencias fijadas por la normativa de protección de datos como base para el PIA6. Este planteamiento es especialmente adecuado si se pretende implantar un proceso o un componente del mismo y se debe poder asegurar el cumplimiento de la mencionada normativa. En este caso, el PIA no será normalmente el creador del proceso o de un componente del mismo, sino la organización que pretende implementarlo o que ha sido encargada de evaluarlo. Este último caso es típico en la Administración Pública, cuando un ministerio debe evaluar nuevas técnicas o nuevos paradigmas técnicos, como en la actualidad el cloud computing o las redes sociales. En este caso sería adecuado la utilización del SDM, ya que tiene una base legal (cfr. Bock y Meissner 2012). Su utilización tiene como consecuencia que todos los objetivos de protección de datos sean valorados, con una valoración de riesgos que considera especialmente la perspectiva de la persona afectada.
  • c) Policy C: en este caso se pretende realizar una evaluación de carácter esencialmente científico. La pretensión de darle un carácter científico aparece cuando, como mínimo, se intentan enfocar todos los posibles riesgos, tanto a nivel empírico como en el sentido de pronosticar la aparición de esos posibles riesgos con una base teórica y metodológica sólida. Cuando se hace referencia a todos los posibles riesgos hay que entender que, aparte de la perspectiva de la persona afectada y de las organizaciones, también hay que analizar y valorar los riesgos existentes para las estructuras sociales. Eso supone la previa realización de un análisis sociológico de la protección de datos y de la privacidad7. Sólo a partir de esa base se puede controlar con fundamentos teóricos sólidos la estructura del conflicto que la normativa de protección de datos debe regular y las medidas de protección deben tratar.

A día de hoy, el modelo más completo para el tratamiento sistemático de los riesgos en materia de protección de datos y de privacidad es el SDM. Este modelo se basa esencialmente en el catálogo de los objetivos básicos de protección, que fueron desarrollados desde una perspectiva científica y que tienen una base socio-filosófica que permite presumir que ese catálogo cubre la totalidad de posibles objetivos (cfr. Rost y Pfitzmann 2009).

A partir de los niveles de riesgo encontrados sería posible medir si por medio del proceso o componente evaluado sería factible, por poner algunos ejemplos: un apalancamiento de la separación de poderes (por ejemplo, mediante el almacenamiento de datos por las fuerzas de seguridad), una introducción en el mercado sin respetar sus reglas (creación de cárteles, intentos de monopolización, por ejemplo mediante métodos agresivos de vinculación del cliente a través de la creación de perfiles y de la creación de obstáculos para que el cliente pueda llevarse sus datos a la competencia), intentos de evitar la discusión de los resultados científicos obtenidos cuando éstos demuestran la existencia de graves riesgos, o la inobservancia de los derechos de los trabajadores. En la parte metodológica se debería plantear cómo el modelo PIA aplicado ha valorado la corrección del nivel de privacidad y su operatividad, así como presentarlo para una posible discusión a nivel científico.

Revisando los diferentes tipos de Policy, hay que comentar que no cabe esperar que quien encarga un PIA basado en la Policy A, o sus autores, pretendan realizar un PIA merecedor de plena confianza, o que hagan públicos sus resultados si son negativos. En lo que respecta a la Policy C, no cabe duda que la publicación de los resultados es obligatoria, especialmente si demuestran la existencia de grandes riesgos. En el caso de la Policy B la obligación de publicar también existe, pero cabe esperar que los resultados del PIA no se hagan públicos. Por este motivo debería establecerse previamente qué informaciones, y en qué condiciones, deben ser accesibles para las autoridades de protección de datos y para el público.

Los seis pasos de un PIA

A continuación cuestionaremos los seis pasos del Modelo de PIA presentado por Oetzel y Spiekermann (2012) siguiendo una Policy del tipo B, basándonos en los criterios presentados por el SDM (cfr. Rost 2012).

1) La fase inicial de un PIA es, para Oetzel y Spiekermann, la Characterisation of the Application. En el ámbito de la auditoría hablaríamos del Target of Evaluation (ToE). Oetzel y Spiekermann enumeran para la concreción del objeto la presentación de la aplicación/aplicaciones y componentes del sistema, los roles dentro de la organización, los procesos genéricos de negocio, los casos prácticos que se plantean, diagramas de flujos de datos y las categorías de datos tratados. Desde nuestro punto de vista, un modelo genérico de PIA no debería limitarse a las aplicaciones. Sería recomendable investigar los procesos; en el documento de investigación de ISO se hace referencia a sistemas, terminología que consideramos también inadecuada por no ser suficientemente específica. Hay que tener en cuenta que son los procesos, y no los productos individualmente, los que originan riesgos en materia de protección de datos cuando son puestos en práctica por organizaciones. Para la construcción y análisis de riesgos originados por un objeto se deben plantear siempre hipótesis en lo que afecta a datos y procesos (cfr. Rost 2012: 435 f). Esas hipótesis se plantean en base a escenarios y consideraciones sobre casos prácticos. A menudo deben figurar de forma explícita hipótesis referentes a la estructura organizacional y jurídica, sobre roles y responsabilidades, contratos y fundamentos jurídicos. Por tanto, resumiendo, cabe decir que la presentación de un ToE exige la exposición de la funcionalidad y el objetivo de un proceso, diferenciándolo de otros objetivos posibles y relacionados con ese proceso. Para finalizar deben presentarse los componentes del proceso, bien mediante una exposición de lo que sucede en la práctica a nivel técnico, organizacional y jurídico, bien mediante la presentación de hipótesis adecuadas a un posible caso práctico.

2) El segundo paso del PIA consiste en la Definition of Privacy Targets. En las explicaciones sobre este punto podemos observar que Oetzel y Spiekermann no sólo no encontraron ningún fundamento para la operatividad de la privacidad, sino que, pese a basarse claramente en los objetivos de protección, tampoco tienen una idea clara sobre el tema. Pero, especialmente en este punto es donde el concepto de objetivos de protección realiza su mayor aportación, ya que limita el grado de libertad de forma fundamentada. De todas formas cabe mencionar que este concepto es más adecuado para la protección de datos que para la protección de la privacidad8. Un Security-Assessment llevado a cabo de forma seria aporta informaciones sobre los siguientes objetivos de protección: disponibilidad, integridad y confidencialidad. Un PIA con fundamentos serios debe tomar en consideración los seis objetivos básicos de protección de datos, que además incluyen los siguientes: transparencia, finalidad (en el sentido de asegurar que los datos sólo serán utilizados para el fin por el que fueron recogidos) y accesibilidad (traducción libre de Intervenierbarkeit, que hace referencia al ejercicio de los derechos ARCO -Acceso, Rectificación, Cancelación y Oposición-). A diferencia de lo que sucede en materia de Seguridad de la Información, estos objetivos de protección deben ser tenidos en cuenta, ya que tienen un anclaje en el sistema legal (cfr. Bock y Meissner). Si un PIA utilizara menos, u otros, objetivos de protección (lo cual sería legítimo en una Policy del tipo A), debería fundamentarlo de forma que fuera comprensible para lectores no formados en la interpretación de PIA.

Los objetivos de protección amplían las dimensiones que permiten observar las existencias de riesgos relevantes para la protección de datos, y permiten además la realización de análisis sistemáticos que permitan valoraciones estandarizadas y comparables (cfr. Rost 2012: 434 f)9. Siguiendo el SDM, ninguno de los seis objetivos mencionados es prioritario ni prescindible. Los objetivos tienen entre sí una relación basada en tres ejes, con una contradicción determinada. Esta contradicción permite ponderaciones jurídicas directamente en el medio de los objetivos. De esta forma pueden, por ejemplo, las exigencias de disponibilidad y de confidencialidad, ponderarse jurídicamente y, por medio de condiciones normativas, técnicas u organizativas, cumplirse simultáneamente. Así mismo, para la valoración de riesgos concretos, las medidas a tomar para alcanzar los objetivos fijados deben ser conocidas y presentadas. La mencionada presentación puede tener lugar en este paso -lo cual recomendamos- o puede presentarse como paso inmediatamente posterior al paso número 5.

3) Oetzel  y Spiekermann califican este paso como Evaluation of Degree of Protection Demand for each Privacy Target. Las autoras marcan una diferencia entre las exigencias de protección de la privacidad y las de Seguridad de la Información, al formular esas exigencias no sólo desde el punto de vista del responsable sino también desde el de la persona afectada. En este punto diferencian para el responsable dos exigencias de protección: a) Posibles pérdidas de reputación para la organización y el producto (la marca) y b) pérdidas económicas. La persona afectada, por su parte necesita protección para c) su reputación social, d) su situación económica y e) su libertad. Partiendo de esta diferenciación, y siguiendo la metodología del BSI-Grundschutz, distinguen entre necesidad de protección normal (daños limitados y calculables), alta (daños significativos) y muy alta (daños catastróficos).

En este punto, el SDM, que también se orienta en el BSI-Grundschutz, ofrece definiciones de protección desde la perspectiva de la persona afectada (cfr. Rost 2012: 436). Mientras Oetzel y Spiekermann parecen considerar que las perspectivas de organizaciones y personas pueden ser consideradas compatibles sin problema alguno, nosotros tenemos dudas al respecto. Los riesgos provienen de las organizaciones y esto debe ser mostrado de forma transparente. Precisamente esta relación conflictiva crea las exigencias de protección de datos y está en el origen de la normativa de protección de datos como instrumento para el tratamiento de ese conflicto. Sirvan de ejemplo las medidas de Seguridad de la Información, que tienen tendencia a almacenar datos -por ejemplo en forma de masivos datos de protocolo informático- para proteger los intereses de la organización frente a sus empleados, entre otros aspectos.

4) El cuarto paso consiste en la Identification of Threats for each Privacy Target. Si utilizamos el SDM para enfocar la formulación y la fijación de los límites del campo de búsqueda para modelar los posibles ataques de forma metódica, podremos hacerlo en base a dos dimensiones:

a) El grupo de objetivos de protección nos permite reconocer los tipos de ataques de las organizaciones a las personas, si utilizamos sus objetivos y sus medidas de protección para los componentes, datos, sistema TIC y procesos de forma negativa en relación al ToE. Por ejemplo, ¿cómo puede utilizarse una aplicación de forma que el proceso no sea transparente para los afectados, permita el almacenamiento de datos sin justificación y dificulte el control por parte de los usuarios?

b) También deben ser tenidos en cuenta los intereses para la observación y valoración de lo observado por parte de diferentes tipos de organizaciones: fuerzas de seguridad, empresas, instituciones de investigación, bancos, compañías de seguros, empresas TIC, clínicas, etc. Hay que diferenciar entre violaciones del deber de transparencia en los procesos de una autoridad pública, con las obligaciones que le impone el Estado de Derecho, y las de una empresa privada, siempre que esa empresa esté sometida a la presión del mercado y sus clientes puedan decidir qué empresa merece su confianza.

Las dos dimensiones mencionadas (objetivos/medidas y organizaciones) constituyen la base de análisis para un Risk-Assessment sólidamente fundamentado tanto a nivel teórico como empírico.

Relacionada con esta dimensión de la perspectiva del atacante inducido por la estructura, está la definición del rol de la persona, o expresado de otra forma: la idea del hombre, dentro de una organización, que esa organización toma como base para modelar sus actividades (especialmente las automatizadas). Nos parece necesaria esta explicación de un modelado de las personas cristalizado a partir de la técnica, porque los roles sociales, hasta ahora anclados únicamente de forma difusa como ciudadano, cliente, paciente, mandante, individuo, sujeto, persona (o en relación con la organización: empleado o miembro) a través de la tecnificación de las organizaciones, son definidos únicamente en la dirección por ellas deseada. Incluso en la Administración Pública o en la consulta del médico se habla de clientes. De esta forma, la diferenciación o especificación entre las promesas de libertad y los derechos que generan, y que están relacionados con los mencionados roles, se van perdiendo paulatinamente.

En la práctica han surgido recientemente dos nuevos riesgos: por medio de la conexión a Internet, las actividades de algunas empresas pueden suponer infracciones de la normativa vigente (también en materia de protección de datos), sin que se tomen medidas para frenar esas actividades. Y en sentido contrario, las fuerzas de seguridad pueden, sin necesidad de requisitos especiales, acceder a los datos de empresas privadas.

Es especialmente importante que en un PIA se especifiquen de forma clara los riesgos, y de qué tipos, generados por organizaciones, antes de calcular la posibilidad de que esos riesgos se conviertan en realidad. La presentación y fijación de un catálogo de motivos para atacantes generados por las estructuras mejoraría la integridad y la comparativa de los PIA, sin que su enfoque se viera reducido de forma inadecuada.

5) Identification and Recommendation of existing or new Controls suited to protect against Threats. Las medidas de protección deberían haber sido fijadas ya en los pasos 2 y 3 al modelar los posibles ataques (cfr. Probst 2012). En este paso se podrían introducir medidas que no han sido incluidas anteriormente en el catálogo y que son específicas para los riesgos del proceso y sus componentes. De forma general, cabe decir que se debería someter a las medidas de protección a una especie de small PIA. Ahí cabría incluir la evaluación del Changemanagement de la organización, para la aplicación de las medidas recomendadas en el PIA. La presentación del posible riesgo originado por la aplicación de una medida genera una nueva clase de riesgo, fácil de clasificar a grandes rasgos en un PIA.

Este paso sería el adecuado para presentar en un primer acercamiento una necesidad específica de investigación sobre medidas de protección. La realización de un PIA es ya una medida para la protección de un proceso y sus componentes, mediante la mejora de la transparencia. Una auditoría del PIA por parte de la autoridad de protección de datos, que entre otros puntos podría confirmar la Policy aplicada, sería una medida adecuada para mejorar la confianza.

6) Assessment and Documentation of Residual Risks. Este paso podría utilizarse para, al menos, mencionar todos los riesgos que todavía no han sido tratados. Por ejemplo, porque no son objetivamente tratables o porque una parte de los objetivos de protección no quedan cubiertos por la Policy escogida. También podría aclararse qué instancia en la organización debe ocuparse de ese riesgo residual, ya sea para tratarlo o para asumirlo y hacerse responsable de él.

Conclusiones

Si un PIA pretende (también) cubrir las exigencias planteadas actualmente por la normativa de protección de datos, debe tener las siguientes características:

  • Presentación explícita del nivel de exigencia o de la Policy a seguir.
  • Tener en cuenta los seis objetivos fundamentales de protección, junto con las medidas de protección recogidas en el catálogo de referencia para la formulación de los riesgos de protección de datos y las medidas de protección.
  • Tener en cuenta la clasificación de las necesidades de protección, que deben formular los riesgos esencialmente desde el punto de vista del afectado.
  • Inclusión del objeto/organización evaluado en casos prácticos, que mediante la presentación de hipótesis referidas a los datos, características del sistema TIC y procesos, ilustren las funciones, efectos y efectos secundarios del mismo.
  • Tratamiento de posibles perspectivas del atacante, con especial referencia a fuerzas de seguridad, seguros, departamentos de marketing, empresas TIC  y de comunicación y diferentes empleadores.

NOTAS

1. https://www.bsi.bund.de/EN/Topics/ITGrundschutz/itgrundschutz_node.html

2. Conviene mencionar que en la normativa de protección de datos de algunos lands alemanes se encuentran indicios que parecen proponer la realización de evaluaciones de impacto. Por ejemplo, el LDSG de Schleswig-Holstein exige a la autoridad de protección de datos que asesore a los organismos públicos en lo referente a la compatibilidad social (Sozialverträglichkeit) de sus procesos en materia de tratamiento de datos (§39 Abs. 4 LDSG-SH).

3. Teniendo en cuenta que a) no disponemos de ninguna definición general de privacidad, aunque sí de una de protección de datos, b) la privacidad dispone de un valor originado por la protección de datos, y c) un PIA debería tener un efecto de prevención estructural, podría sacarse la conclusión de que sería más adecuado hablar de una evaluación de impacto sobre la protección de datos (DPIA). La propuesta de Reglamento Europeo de Protección de Datos utiliza este término.

4. En los primeros esbozos del ISO 29100 se incluían los seis objetivos elementales de protección (mencionados más adelante en el texto), pero entonces, de forma algo sorprendente, poco antes de la conclusión del proceso de estandarización fueron sustituidos por un catálogo de principios.

5. La policy de un PIA no puede deducirse pura y simplemente de la denominación de la organización. Un instituto de alto nivel científico puede elaborar por encargo un PIA guiado por los intereses de quien lo encarga, lo cual supone poca transparencia, especialmente en lo referente a grandes riesgos. Por el contrario, un despacho con unos intereses claramente definidos puede elaborar un PIA de alto nivel, si se compromete a efectuarlo de forma completa y aplica a la metodología aplicada y a los resultados obtenidos los criterios científicos establecidos.

6. Las exigencias básicas son formuladas en el Art.33.2.a de la propuesta de Reglamento Europeo de Protección de Datos (Comisión Europea 2012).

7. La idea de un análisis sociológico previo a la elaboración de una normativa legal usual para la primera generación de profesionales de la protección de datos en Alemania. Cabe mencionar aquí a Steinmüller, Lutterbeck, Podlech y Simitis.

8. La protección de datos se caracteriza por establecer condiciones para el tratamiento de información en situaciones asimétricas de poder, de forma que las organizaciones cumplan de manera demostrable con las exigencias planteadas por los roles genéricos, tal y como la separación de poderes, el mercado y la libertad de expresión se forman entre los ciudadanos, clientes y otros sujetos. La privacidad, por su parte, intenta desde el punto de vista de los roles antes mencionados, frenar los atrevimientos de las organizaciones. La relación entre estos dos conceptos se establece a través del concepto de autodeterminación informativa.

9. Para el análisis de procesos especiales y de sus componentes, pueden añadirse otros objetivos, afinados de forma específica, y basados en los seis ya mencionados (cfr. Rost y Bock) 2011).

BIBLIOGRAFÍA

  • BOCK , Kirsten; MEISSNER, Sebastian; 2012: Datenschutz-Schutzziele im Recht-Zum normativen Gehalt der Datenschutz-Schutzziele; in: DuD- Datenschutz und Datensicherheit, 36. Jahrgang, Heft 6: 425-431. https://www.european-privacy-seal.eu/results/articles/DuD-Bock-201206.pdf
  • BSI; OETZEL; SPIEKERMANN, 2011: Privacy Impact Assessment Guideline. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/ElekAusweise/PIA/Privacy_Impact_Assessment_Guideline_Kursfassung.pdf?__blob=publicationFile
  • CLARKE, Roger, 2011: An evaluation of privacy impact assessment guidance documents; in: International Data Privacy Law, 2011: Vol. 1, No. 2, S. 111-120.http://www.rogerclarke.com/DV/PIAG-Eval.html
  • ISO 2012: Report “Study Period on Privacy Impact Assessment”, Date: 26.03.2012, V1.0, Editor: Mathias Reinis. http://isotc.iso.org/livelink/livelink?func=ll&objld=8916258
  • OETZEL, Marie Caroline; SPIEKERMANN, Sarah, 2012: Privacy by Design Through Systematic Privacy Impact Assessment- A Design Science Approach, published in June 2012 on “European Conference of Information Systems”, Barcelona.http://papers.ssrn.com/sol3/papers.cfm?abstract_id=2050872
  • PROBST, Thomas, 2012: Generische Schutzmaßnahmen für Datenschutz-Schutzziele; in DuD –Datenschutz und Datensicherheit, 36, Jahrgang, Heft 6: 439-444. https://www.european-privacy-seal.eu/results/articles/201206-DuD-Probst.pdf/view
  • ROST, Martin; Pfitzmann, Andreas, 2009: Datenschutz-Schutzziele-revisited; in: DuD Datenschutz und Datensicherheit, 33. Jahrgang, Heft 6, Juli 2009: 353-358 http://www.maroki.de/pub/privacy/DuD0906_Schutzziele.html
  • ROST, Martin; BOCK, Kirsten, 2011: Privacy By Design und die Neuen Schutzziele - Grundsätze, Ziele und Anforderungen; in: DuD - Datenschutz und Datensicherheit, 35. Jahrgang, Heft 1: 30-35.http://www.maroki.de/pub/privacy/DuD2011-01_RostBock_PbD_NSZ.html
  • ROST, Martin, 2012: Standardisierte Datenschutzmodellierung; in: DuD - Datenschutz und Datensicherheit, 36. Jahrgang, Heft 6: 433-438.http://www.maroki.de/pub/privacy/2012-06-DuD-SDM.html
  • SOLOVE, Daniel J., 2006: A Taxonomy of Privacy, University of Pennsylvania Law Review, Vol. 154, No. 3: S. 477-560. http://papers.ssrn.com/sol3/papers.cfm?abstract_id=667622
  • WHRIGHT, David; DE HERT, Paul (ed.), 2012: Privacy Impact Assessment, Dordrecht Heidelberg London New York, Springer.

Palabras clave:

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual