¿Cómo mejorar la protección de datos en el sector público?
Daniel Rodríguez redaccion@larepublica.net | Martes 14 diciembre, 2021
Daniel Rodríguez
Especialista en tecnología y datos
ECIJA Legal
Los recientes acontecimientos concernientes a las pruebas FARO son justa causa de indignación popular. Si bien la fascinación del Gobierno por hacerse con nuestros datos era ya conocida por todos, lo que no sabíamos era hasta dónde era capaz de llegar con tal de hacerse con esta información. En este caso, fuimos testigos de una instrumentalización de menores de edad que no puede ni debe quedar impune.
Sin embargo, procurando no atribuir motivaciones malévolas a las decisiones del Ejecutivo, para efectos de este artículo, presumo que la razón de tantos tropiezos es pura y simple ignorancia supina, es decir, ignorancia de lo que debe ser conocido, sobre todo cuando hablamos del tratamiento de datos personales en el sector público.
Propongo entonces, en estas pocas líneas, algunas buenas prácticas que deberían implementar las instituciones públicas en materia de protección de datos, para no seguir minando la confianza de la ciudadanía en el manejo de sus datos. Después de todo, los datos son esenciales para la formulación de políticas públicas efectivas y para fomentar la innovación tecnológica. No sería justo satanizar la ciencia de datos por la torpeza de algunas autoridades.
Ahora bien, la premisa de cualquier recomendación en esta materia es entender que casi todo tratamiento de datos personales que efectúen las instituciones públicas es de alto riesgo, pues se realiza a gran escala, a partir de una cantidad considerable de datos de millones de personas. Esos son datos valiosos que, si cayesen en las manos equivocadas o se les diera un uso inapropiado, provocaría nefastas consecuencias para la privacidad, la seguridad y otros derechos fundamentales de las personas.
Partiendo de esta premisa y de los últimos acontecimientos, considero que el Estado se beneficiaría de implementar, como mínimo, las siguientes prácticas:
1.Inventario y Registro de Actividades de Tratamiento: cada institución debe realizar un inventario y clasificación de los datos, conocer qué tipo de datos almacena, dónde se encuentran alojados, identificar los departamentos responsables, entender para qué fines se utilizan, y si se comparten con otras instituciones o personas. Esta información debe estar almacenada en un Registro sujeto a permanente actualización. Los datos que no cumplan ninguna finalidad deben ser eliminados aplicando mecanismos seguros y trazabilidad.
2.Fundamento legal: las instituciones deben verificar que exista fundamento legal para tratar los datos que poseen; es decir, que exista consentimiento expreso del titular o que opere alguna excepción al consentimiento, previo aval de un asesor o asesora jurídica que certifique la procedencia de la excepción.
3.Transparencia: el principio de transparencia administrativa es uno de los más importantes, pero también el más relegado. Este principio involucra no solo el derecho de toda persona a conocer cuáles datos posee la institución sobre sí, con quién se comparten y cómo o para qué se utilizan. También envuelve la obligación de socializar y consultar públicamente los proyectos e iniciativas que impacten en la privacidad de las personas. Mucho de lo ocurrido con UPAD y el caso FARO se hubiese podido evitar de no ser por la arrogancia del Ejecutivo de no querer escuchar las opiniones de la ciudadanía y de expertos en la materia, previo a su implementación.
4.Evaluaciones previas de impacto en la privacidad: cualquier iniciativa que involucre un tratamiento de datos en el sector público debe estar precedida de un estudio de impacto. Las instituciones deben valorar la necesidad, la idoneidad y la proporcionalidad del tratamiento de datos propuesto. En muchas ocasiones, existen medidas menos invasivas de la privacidad que son también idóneas para cumplir el fin público perseguido, pero que no se adoptan por capricho o por ausencia de un estudio de este tipo. Dentro de este estudio también deben ponderarse los costos y sacrificios para la privacidad de las personas versus los beneficios del proyecto para la ciudadanía.
5.Gestión y mitigación del riesgo: Efectuada la evaluación previa y si se decide implementar el proyecto, la institución debe identificar las medidas que adoptará para mitigar los riesgos de seguridad y las posibles consecuencias del tratamiento de los datos. Estas medidas deben ser proporcionales al riesgo y comunicadas a los interesados.
6.Privacidad desde el diseño: cualquier iniciativa o proyecto que involucre tratamiento de datos debe diseñarse con la privacidad en el centro de la planificación y adoptando medidas preventivas -desde el inicio- dirigidas a protegerla durante todo el ciclo de vida del tratamiento.
7.Protocolos: Toda institución debe estructurar un programa de cumplimiento que, a su vez, contenga protocolos para la observancia de la ley de protección de datos; por ejemplo, un Protocolo de Seguridad de la Información.
Estas no son medidas costosas. Por el contrario, lo costoso es no implementarlas. La realidad es que nuestro país carece de una cultura de privacidad y protección de datos, de la cual se han aprovechado las autoridades. Pero si algo positivo han dejado los escándalos de los últimos años es el despertar de la ciudadanía, que comienza a entender que los derechos se pierden por falta de uso.
La protección de los datos personales es más que un discurso, es una necesidad y una condición para ganarse la confianza de los ciudadanos y ciudadanas, especialmente frente a la impostergable transformación digital de las instituciones. Tarde o temprano será una nueva ley de protección de datos la que obligue al Estado a implementar algunas de las medidas aquí propuestas. ¿Por qué no comenzar desde ya? Ayer es tarde.