Por Ketevan Kukava-ISOC Georgia*
Este artículo ofrece una breve descripción del informe “Data Protection Impact Assessment, European Standards and Recommendations for Georgia”, financiado por la Fundación Internet Society. Las opiniones y sugerencias presentadas en este artículo pertenecen al autor y pueden no representar las perspectivas de la Fundación Internet Society.
Como resultado del rápido desarrollo tecnológico, la escala de la recopilación y el intercambio de datos personales ha aumentado significativamente, lo que ha planteado nuevos riesgos y amenazas a los derechos humanos. A pesar de traer beneficios significativos, la era digital crea ciertos desafíos en términos de privacidad y protección de datos, ya que se recopila una gran cantidad de información personal, que se procesa de maneras cada vez más complejas.
Los crecientes desafíos requerían un mayor desarrollo de la legislación europea de protección de datos, ya que la legislación tenía que responder adecuadamente a las amenazas existentes en la era digital y tenía que crear salvaguardias más sólidas para la protección de los derechos humanos. La adopción del Reglamento General de Protección de Datos (GDPR) y la modernización del Convenio 108 del Consejo de Europa garantizaron estándares más altos para proteger los derechos de los interesados, una mayor responsabilidad de los controladores de datos y una supervisión eficiente sobre la protección de datos.
La legislación europea de protección de datos tiene por objeto crear un marco jurídico uniforme y coherente y garantizar la circulación libre y sin trabas de los datos personales. Teniendo en cuenta una escala sin precedentes de procesamiento de datos tanto en el sector público como en el privado, proporcionar salvaguardias adecuadas para la protección de los derechos e intereses de los interesados adquiere una importancia crucial.
Una evaluación de impacto de la protección de datos (DPIA) es una de las medidas importantes previstas por la legislación europea, que permite a los controladores de datos prevenir violaciones de los derechos humanos identificando los riesgos de antemano. Dicha evaluación es obligatoria cuando existe un alto riesgo para los derechos y libertades de las personas físicas.
Un DPIA es una herramienta importante dirigida a la rendición de cuentas de los controladores de datos y la protección de los derechos de los interesados. Puede considerarse como una forma de autorregulación monitoreada. [1] Obliga a las empresas a identificar problemas y encontrar soluciones, con supervisión interna y algunos aportes externos, acompañados de una supervisión regulatoria mínima. [2]
Los crecientes desafíos requerían un mayor desarrollo de la ley europea de protección de datos, ya que la legislación tenía que responder adecuadamente a las amenazas existentes en la era digital y tenía que crear salvaguardias más sólidas para la protección de los derechos humanos.
De acuerdo con el RGPD, una evaluación de impacto de la protección de datos es particularmente importante en las siguientes circunstancias:
a) a systematic and extensive evaluation of personal aspects relating to natural persons which is based on automated processing, including profiling, and on which decisions are based that produce legal effects concerning the individual or similarly significantly affect him or her;
b) el tratamiento a gran escala de categorías especiales de datos o datos personales relativos a condenas y delitos penales;
c) un seguimiento sistemático de una zona de acceso público a gran escala. [3]
The above-mentioned list is not exhaustive. Puede haber otras operaciones de procesamiento que puedan resultar en un alto riesgo para los derechos y libertades de las personas, que también deben estar sujetas a la DPIA.
El RGPD establece los principales requisitos y criterios con respecto a la DPIA. Incluye sólo una breve descripción de este proceso y no especifica la metodología. Por lo tanto, los controladores de datos tienen cierto margen de maniobra y se les permite determinar la forma y la estructura de la DPIA. Lo que más importa es que el resultado de este proceso sea una identificación real de los riesgos.
El Grupo de Trabajo sobre Protección de Datos del Artículo 29[4] (WP29) recomienda marcos de DPIA específicos para cada sector, ya que dicha evaluación tendrá en cuenta los aspectos específicos de un tipo particular de operación de tratamiento. En este caso, la DPIA puede abordar los problemas que surgen en un sector específico, o cuando se utilizan tecnologías particulares o se llevan a cabo tipos particulares de operaciones de procesamiento.[5]
El Reglamento General de Protección de Datos guarda silencio sobre la transparencia de una DPIA y no exige su publicación. Los controladores de datos pueden decidir sobre este tema por sí mismos. De acuerdo con las directrices del WP29, los controladores deben considerar publicar al menos partes de su DPIA, como un resumen o una conclusión. Esto fomentará la confianza en las operaciones de procesamiento, así como promoverá la rendición de cuentas y la transparencia.[6]
En cuanto a Georgia, el Acuerdo de Asociación con la Unión Europea[7 ] y su agenda[8] prevén garantizar un elevado nivel de protección de los datos personales en Georgia. Sin embargo, la legislación georgiana actualmente en vigor no cumple plenamente con los requisitos de la ley europea de protección de datos y no prevé novedades importantes introducidas por el Consejo de Europa y los instrumentos jurídicos de la UE.
En 2019, el Servicio de Inspectores del Estado redactó un paquete de enmiendas legislativas[9] destinado a armonizar la legislación georgiana con las normas europeas, pero aún no se ha adoptado. Además, a día de hoy, Georgia tampoco ha firmado el protocolo STCE n.º 223 por el que se modifica el Convenio 108 (Convenio 108+)[10].
El proyecto de ley de Georgia sobre protección de datos personales iniciado en el Parlamento en 2019, entre otras cuestiones, regula la evaluación de impacto de la protección de datos, la designación de delegados de protección de datos y la elaboración de perfiles, que deben evaluarse positivamente. Sin embargo, al mismo tiempo, la ley tonta necesita mejoras en algunos aspectos.
El proyecto de ley debe establecer la obligación del Servicio de Protección de Datos Personales de elaborar y publicar la lista de un tipo de operaciones de tratamiento, que están sujetas al requisito de una evaluación de impacto relativa a la protección de datos. Al cumplir esta obligación, el Servicio PDP debería tener en cuenta los criterios determinados por el Grupo de Trabajo del Artículo 29. La creación de dicha lista garantizará la seguridad jurídica y la previsibilidad. Además, es aconsejable que la autoridad supervisora determine aquellas operaciones de procesamiento, que no están sujetas al requisito de una DPIA.
En definitiva, la legislación georgiana debe responder a los retos existentes en la era digital y proporcionar garantías adecuadas para la protección de los derechos, libertades e intereses de los interesados. Harmonization with European standards and implementation of the novelties foreseen by the European data protection law will be an important step forward in terms of European integration and, at the same time, will facilitate strengthening human rights protection in Georgia.
Vea el informe completo.
*Ketevan Kukava es cofundador y director de una organización georgiana sin fines de lucro “Law and Public Policy Center” y jefe del grupo de interés especial de protección de datos personales en Internet Society – Georgia Chapter.
[1] Kaminski M, E., Malgieri, G., Evaluaciones de impacto algorítmico bajo el GDPR: producción de explicaciones de múltiples capas, Ley Internacional de Privacidad de Datos, 2021, Vol. 11, Nº 2, pág. 131.
[2] Ibíd.
[3] Reglamento general de protección de datos, artículo 35, apartado 3.
[4] El Grupo de trabajo del artículo 29 sobre protección de datos es un órgano consultivo establecido por la Directiva sobre protección de datos. A partir del 25 de mayo de 2018, fue sustituido por el Comité Europeo de Protección de Datos, un organismo establecido por el Reglamento General de Protección de Datos. Durante su primera reunión plenaria, el Comité Europeo de Protección de Datos aprobó las Directrices WP29 relacionadas con GDPR.
Disponible en: https://bit.ly/3jeF0YL (consultado el 05.12.2022)
[5] Artículo 29 Grupo de trabajo sobre protección de datos, Directrices sobre la evaluación de impacto de la protección de datos (DPIA) y determinación de si el tratamiento «puede dar lugar a un alto riesgo» a efectos del Reglamento 2016/679, 2017, p. 17.
[6] Artículo 29 Grupo de trabajo sobre protección de datos, Directrices sobre la evaluación de impacto de la protección de datos (DPIA) y determinación de si el tratamiento «puede dar lugar a un alto riesgo» a efectos del Reglamento 2016/679, 2017, p. 18.
[7] Acuerdo de Asociación entre la Unión Europea y la Comunidad Europea de la Energía Atómica y sus Estados miembros, por una parte, y Georgia, por otra, artículo 14, disponible en: https://bit.ly/2Xe5UUF (consultado el 01.12.2022).
[8] Agenda de Asociación UE-Georgia, disponible en: https://bit.ly/3JIRVNy (consultado el 1.12.2022).
[9] Proyecto de Ley de Georgia sobre Protección de Datos Personales y las modificaciones legislativas que lo acompañan, disponible en: https://bit.ly/3FhrVVF (consultado el 01.12.2022).
[10] El estado de las firmas y ratificaciones está disponible en: https://bit.ly/3Rh1THX (consultado el 31.01.2023).