Desde el inicio de la legislación en materia de protección de datos de carácter personal, y por tanto desde los primeros proyectos de adaptación de empresas y organizaciones a la legislación en estas materias, se ha buscado herramientas tecnológicas que puedan ayudar o dar un marco a la gestión de los mismos. el sistema de protección de datos. Sin ir más lejos, la Agencia Española de Protección de Datos (en adelante AEPD) ha desarrollado una serie de aplicaciones gratuitas en modalidad “SAAS”, entre las que se encuentran “FACILITA”, “GESTIONA EIPD” y “EVALUACIÓN DE RIESGO RGPD”. , disponible en su sitio web.
Los profesionales de protección de datos, responsables y encargados del tratamiento y diversos delegados de protección de datos reconocen la necesidad de utilizar este tipo de herramientas, pero se enfrentan a la difícil tarea de seleccionar o crear herramientas “Legaltech” que faciliten su trabajo y sirvan principalmente para establecer y automatizar una gestión de protección de datos. sistema, basado en los principios de “privacidad por diseño” y “privacidad por defecto”.
Partiendo de todo lo aprendido durante estas más de dos décadas sobre la implantación de sistemas de protección de datos en diversas organizaciones públicas y privadas de todos los tamaños, e incorporando los interesantes contenidos de la última “Guía de la Agencia Española de Protección de Datos sobre la gestión de el riesgo de tratar datos personales”, publicado el pasado mes de junio, que contiene un conjunto de criterios e interpretaciones de la propia autoridad de control, así como del Consejo Europeo de Protección de Datos y del Supervisor Europeo de Protección de Datos. En este artículo intentaremos definir qué tecnologías y utilidades se necesitan para integrar este tipo de herramientas en el futuro.
Primero veremos la integración de estas herramientas en la gestión de la organización. Recordamos que una parte fundamental del “PGP-LT” (definen las siglas) es el análisis de riesgo para los derechos y libertades de las personas, tal y como se indica en la guía WP248 sobre protección de datos y derechos de privacidad(1), que nos recuerda, tal y como se define en la norma de gestión de riesgos ISO31000:2018, que esta gestión no debe realizarse de forma aislada y debe estar integrada en el gobierno y las políticas de la organización para que pueda ser eficaz y, sobre todo, eficiente, y no de forma proceso sencillo como ha sido hasta ahora el cumplimiento formal de la legislación aplicable.
Por lo tanto, al desarrollar o evaluar cualquier herramienta PGP, es fundamental que tengamos en cuenta las siguientes consideraciones desde el principio:
Para desarrollos a medida de este tipo de herramientas, un código de programación conocido como JAVA, PYTHON, C++, VISUAL BASIC, .NET, JAVASCRIPT, C#, PHP que nos permite seguir desarrollando y manteniendo la aplicación en el tiempo ya un coste razonable.
Para empresas más pequeñas, una opción interesante y recomendable es utilizar el modelo de software como servicio (SaaS), basado en la nube, donde el proveedor mantiene la seguridad y continuidad del negocio, desarrolla y cuida la seguridad y continuidad del negocio y lo pone a disposición de sus clientes a través de Internet con un sistema de pago.
En ambos casos es muy importante que los sistemas “servicios de Internet”, tecnología que utiliza un conjunto de protocolos y estándares que sirven para el intercambio de datos entre aplicaciones, ya que, como se mencionó al principio, esta gestión no debe realizarse de forma aislada sino que debe estar integrada en el gobierno y políticas de la entidad.
Tras analizar la tecnología, se procede a analizar las funcionalidades de las principales herramientas disponibles en el mercado.
En el mapa actual de soluciones, podemos clasificarlas fácilmente en tres tipos de enfoques en función de su origen de desarrollo, los métodos de los profesionales y las empresas que las impulsan.
En primer lugar encontramos las aplicaciones desarrolladas por despachos de abogados que ofrecen soluciones tecnológicas para despachos profesionales: su principal ventaja son las potentes bases de datos jurídicas y herramientas de formación.
Una segunda categoría serían aquellas que están impulsadas por la gestión del conocimiento y tienen el beneficio de la integración con los usuarios de la organización y el fácil acceso a todo tipo de documentos que las tareas de gestión de protección puedan requerir.
Un tercer tipo de herramienta se basa en el software de cumplimiento normativo, cuyo objetivo es identificar y esclarecer los riesgos legales y técnicos y poder establecer un control para el correcto cumplimiento de las distintas normativas legales (“compliance”), y cuyo fin es el mejor ciclo de grabacion activa PDCA:: Plan, Do, Check, Act (Plan, Do, Check, Act), también conocido como el ciclo de Deming.
Cada uno de ellos, precisamente por su origen y punto de partida y sus objetivos, presenta ciertas limitaciones para adaptarse a las nuevas necesidades que impone el actual planteamiento legislativo del Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Privacidad y Garantía. de Derechos Digitales (LOPDGDD), en relación con los principios de privacidad desde el diseño y por defecto.
A continuación se presentan algunos de los desafíos clave que debemos abordar para ser realmente útiles en el mantenimiento del régimen de protección de datos y ayudar al oficial de protección de datos:
Usuarios cansados de múltiples herramientascada vez más reacios a integrar nuevas aplicaciones que agregan burocracia al trabajo diario, con la carga cada vez mayor de tareas de informes internos que ya soportan, y se recomienda enfáticamente que estas soluciones incluyan inicio de sesión único (SSO) para acceder a múltiples sistemas con una sola identificación y que no sean redundantes en tareas.
Herramientas de ticketing como elemento vertebrador y no redundante. En base a nuestra experiencia de implementación, este debe ser el punto de partida desde el que planificar y poner en marcha todo el proceso de implementación del sistema de gestión de privacidad: el usuario no quiere trabajar el doble a la hora de informar de incidencias, tramitar posibles riesgos, solicitudes, ejercicios de derechos o seguridad. infracciones; Si no facilitamos estas tareas, no obtendremos ninguna entrada en el sistema y, por lo tanto, no será útil para la organización.
Integración con otras herramientas. Del mismo modo, si existen otras aplicaciones que realizan algunas de estas funciones, deben estar integradas en la medida de lo posible, por lo que es de especial interés saber qué tan fácil es conectarse antes de adquirir una tecnología. Por ello, los servicios web juegan un papel fundamental. Dicho esto, es necesario integrarlos en el mapa de procesos y tecnologías de la organización, con el doble objetivo de no cumplir doble función y ser atendidos de manera realmente útil.
Aprendizaje electrónico y sensibilizacióncomo componente fundamental para alcanzar los objetivos de un verdadero sistema de gestión de protección de datos, que además debe estar integrado en el ecosistema de formación de la organización.
- Reporte: El Delegado de Protección de Datos (DPD) está obligado a informar y presentar a la Dirección el estado de adecuación del sistema y el correspondiente análisis de riesgo; Por tanto, estas herramientas deben incluir utilidades que faciliten esta labor.
Además, están surgiendo tres nuevas tecnologías que cambiarán por completo el panorama tecnológico de las herramientas de gestión de la privacidad: inteligencia artificial, blockchain y aprendizaje automático.
Como conclusión, podemos señalar que la mayoría de las herramientas de gestión de protección de datos desarrolladas hasta el momento no ofrecen mucha ayuda en el mantenimiento del sistema de protección de datos y ni siquiera facilitan el simple desarrollo de las tareas encomendadas a los delegados de protección de datos.
El círculo positivo de un usuario capacitado y consciente de la privacidad con herramientas sencillas que le facilitan iniciar las acciones de denuncia propias de un sistema bien diseñado está lejos de ser alcanzado. El nuevo reto es utilizar las tecnologías de Legaltech que faciliten estas tareas, la sensibilización de los usuarios, los sistemas de alerta temprana y un informe lo más automatizado posible, que permita al delegado de protección de datos o al responsable/responsable realizar las tareas que estas tareas realizarlos le sean encomendados y releve al trabajador de una nueva responsabilidad adicional, la protección de datos personales.
