/ Aproximaciones a la protección de datos personales desde la autorregulación

Jaime Urzúa
Asociado Alessandri Abogados 

Las legislaciones más actualizadas en materia de protección de datos comparten la mirada de la autorregulación como vía idónea para prevenir infracciones, mediante el análisis de los riesgos asociados al tratamiento de datos personales. Una muestra de lo anterior es la consagración del deber de protección desde el diseño y por defecto. 

Este principio se refiere a que los responsables del tratamiento deben establecer medidas técnicas y organizativas adecuadas antes y durante el tratamiento de datos personales (privacidad desde el diseño), para asegurar que, de forma predefinida, solo se traten datos específicos y estrictamente necesarios para una finalidad determinada (privacidad por defecto). 

Quizá la expresión más gráfica de este principio es la evaluación de impacto de privacidad (PIA, por su significado en inglés Privacy Impact Assessment). El PIA es un instrumento ampliamente utilizado por organizaciones (aunque todavía no muy conocido en Chile), que permite analizar un determinado tratamiento de datos desde la perspectiva del riesgo. Esta herramienta posibilita la identificación de los datos que serán tratados, los riesgos asociados a su tratamiento, las medidas que podrían mitigar las amenazas y, finalmente, evaluar cuál sería el impacto de llevar adelante una determinada iniciativa de procesamiento de datos personales. Por otra parte, el PIA también permite plasmar los beneficios buscados por el responsable y confrontarlos con los riesgos identificados. En síntesis, el resultado de este análisis facilita la determinación de los riesgos que luego deben contrastarse con el apetito de riesgo tolerado por el responsable. 

Recomendaciones para la elaboración de un PIA: 

1. Identificación de la iniciativa: descripción del tratamiento, objetivos buscados y beneficios esperados. Aquí será fundamental preguntarse si hay otras formas de obtener los mismos beneficios. 
2. Individualización de los intervinientes: quién es el responsable del tratamiento, qué área se encargará de la iniciativa y si existirán terceros encargados o subencargados que tratarán los datos. 
3. Identificación de los datos: qué datos serán tratados y cuál es su naturaleza jurídica, las finalidades y duración del tratamiento, el origen de los datos y si existirán datos sensibles. 
4. Comunicación de datos: con quiénes se comunicarán los datos y mediante qué vías. 
5. Determinación de riesgos y medidas para mitigarlos: identificación de riesgos (legales, reputacionales, técnicos, comerciales, entre otros) y las formas para reducirlos o contenerlos. 

El PIA puede contener un plan de acción que consigne las personas que asumirán la responsabilidad de llevar a cabo las medidas de mitigación, el monitoreo continuo del tratamiento por realizar y la auditoría frecuente de los riesgos asociados a dicho procesamiento de datos, así como también del cumplimiento del plan de mitigación. 

 Es recomendable que el PIA sea revisado y controlado por el oficial de protección de datos o DPO (por su significado en inglés Data Protection Officer), o quien haga las funciones de este, teniendo en cuenta el tipo y naturaleza de los riesgos asociados al tratamiento de datos analizado.