Ciclo de vida de la gestión de protección de datos

Alexander Alvaro, Vicepresidente del Parlamento Europeo, y persona bastante influyente en los círculos de protección de datos en Alemania, propone lo que él mismo llama el Ciclo de vida de la gestión de protección de datos (Lifecycle DPM). El documento donde desarrolla este concepto está disponible en su página web, y contiene el siguiente diagrama, que lo resume:

Alvaro considera que la propuesta de Reglamento se ha basado al redactarse en el marco existente de protección de datos, sin aspirar a una modernización en general, sin buscar un concepto congruente y realizable en la práctica. No se ha intentado desarrollar un modelo que permita a los consumidores confiar en los avances tecnológicos ni darles la capacidad de determinar y comprender cómo se tratan sus datos.

Si bien define este concepto más bien como "un mosaico de buenas ideas", mantiene que es necesario establecer unas reglas estandarizadas que ayudarán a una lógica, fuerte y efectiva ejecución de éstas. Lo más difícil de conseguir, a mi entender, no es ya estandarizar procedimientos, sino lograr lo que Alvaro pretende: que este modelo incentive a las empresas a invertir en protección de datos a través de todo el ciclo de vida del tratamiento de estos datos.

La propuesta no contiene en sí misma muchas novedades respecto de lo que cualquier empresa que esté concienciada en la materia tendrá implementado, sino en la estandarización del modelo. Lo que sí que me resulta rompedor con el sistema europeo es que considere que las autoridades de control dispongan de un derecho a imponer a las empresas auditorías/controles periódicos en lugar de sanciones:

- si la empresa implicada dispone de procedimientos en funcionamiento, y causa un daño imprevisto, no ha de ser sancionada.

- si la empresa sólo tiene los procedimientos, y el daño se ha causado debido a su inaplicación, tampoco debería ser sancionada, sino ser sometida a unos controles periódicos

- y finalmente, en casos flagrantes de incumplimiento, donde ni existan procedimientos, es cuando se deberia sancionar. 

Estoy de acuerdo en que los procedimientos u obligaciones en la materia se intenten estandarizar el máximo posible. Eso puede conseguirlo el Reglamento. Sin embargo, creo que no ha de ser el objetivo de las instituciones fomentar el cumplimiento de la norma a través de la relajación, cuando no total eliminación, en el ámbito de las sanciones. ¿No se trataba de un derecho fundamental? Trátenlo como tal. Si no se cumple ya ni con sanciones de por medio, ¿cómo va a cumplirse si además se eliminan? Les toca buscar el término medio, que es donde decía Aristóteles que estaba la virtud.

 

 

ADN y protección de datos

El ADN es el medio más fiable para identificar a una persona. No hay dos perfiles idénticos, cada uno de nosotros tenemos material genético único. Ya conocemos muchas aplicaciones prácticas de su análisis: la determinación de la paternidad, identificación de restos humanos o saber la predisposición que puede tener un individuo a contraer ciertas enfermedades. Servirse de esta tecnología es barato, y está al alcance prácticamente de cualquiera. Por dar un ejemplo, una prueba de paternidad cuesta unos 150€. Y para los más curiosos, la empresa 23 And Me permite hacerse un completo análisis por 300$, simplemente con enviar unos pocos mililitros de saliva.

He revisado la propuesta de Reglamento Europeo de protección de datos para ver si regulaba los datos genéticos, y cómo lo hacía. Contiene en el nº10 de su artículo 4 la siguiente definición:

Datos genéticos: todos los datos, con independencia de su tipo, relativos a las características de una persona que sean hereditarias o adquiridas durante el desarrollo prenatal temprano.

Sin embargo, al contrario de lo que ocurre con los datos relativos a la salud, no se hace una regulación especial de los tratamientos sobre datos genéticos en su Capítulo IX, que contiene disposiciones relativas a situaciones de tratamiento de datos específicas. Si se aprueba el Reglamento tal cual, la próxima asignatura pendiente será regular específicamente el tratamiento de este tipo de datos, habida cuenta de la ingente cantidad de información que se puede extraer del ADN, y los tratamientos que permite. 

Me parece débil la futura regulación europea del dato genético, en vista a lo que la tecnología nos viene mostrando. Vemos ahora cómo se está empezando a hablar de la "eSalud" (eHealth), cómo se recoge y trata información de la salud de los indivíduos en tiempo real con los más diversos sensores, teléfonos móviles incluidos. El próximo paso será utilizar la genética y no sólo para la salud. Se admiten apuestas.

He buscado información sobre tecnología que utiliza la genética, y me he topado con el siguiente vídeo. Es un corto de 15 minutos de duración titulado Plurality. El escenario es la ciudad de Nueva York en el año 2023, plagada de tecnología. Abundan los "gadgets" que identifican a las personas por su ADN. Esta misma tecnología de identificación permite relacionarse con el entorno del modo más fácil, con el contacto directo. Abrir tu coche, entrar en casa, poner la radio… todo está ajustado a tus gustos y perfil. Se muestra una personalización que ríete tú de los anuncios de Google.

 

 

La película invita a reflexionar sobre el posible control absoluto del individuo y su entorno por los gobiernos. No falta la omnipresente alusión a la seguridad. Ya nos conocemos el argumento, las personas están dispuestas a ceder algo de su intimidad a cambio de seguridad. Total, si no eres un delincuente, no tienes nada que ocultar…