SITUACIÓN MACROECONÓMICA MUNDIAL: SANCIONES Y NUEVAS TECNOLOGÍAS EN PRIVACIDAD

Las sanciones por privacidad, siguiendo su tendencia alcista desde su entrada en vigor y, con una total alineación a la situación macroeconómica mundial, europea y española, siguen sin perspectivas de frenada ni ningún límite claramente definido.

Este 2022, y especialmente esta segunda mitad del año, nos hemos encontrado con sanciones de primer nivel. Concretamente con la segunda y tercera sanción por importe impuestas hasta la fecha desde la entrada del Reglamento General de Protección de Datos en 2018. Se trata de sanciones impuestas a Meta Platforms, Inc. (Instagram) por parte de la Comisión de Protección de Datos de Irlanda (DPC) por importes de 405 y 265 millones de euros respectivamente en los recientes meses de septiembre y noviembre.

No valen las excusas que se trata de otros países, que queda lejos, de otros sectores, etc. solamente hace falta mirar en cualquiera de las webs donde se recopilan dichas sanciones con su valiosa información asociada (recomendación especial a la fuente GDPR Enforcement Tracker - list of GDPR fines) y se puede comprobar que se trata de una situación general en el ámbito europeo (con especial énfasis en España, país número uno, y con diferencia, en número de sanciones), en los diferentes sectores económicos y de forma transversal en la sociedad.

Es muy relevante observar el origen de las sanciones y concretamente el hecho que está habilitando los incumplimientos de la normativa de protección de datos, y es que a los ampliamente conocidos principios generales de privacidad, base legal y legitimidad de los tratamientos o información al interesado, a los que se les ha prestado especial interés desde los inicios, cada vez más y ya ocupando el tercer ámbito tanto por importe como por número de sanciones (y también es un claro ejemplo la anterior sentencia a Meta Platforms), son las medidas de seguridad o mejor dicho las carencias en dichas medidas, las cuales introducen riesgos importantes en los tratamientos como por ejemplo el riesgo de fuga de datos asociado. Esta situación es un foco de sanciones y de posibles problemas para las empresas.

Queda manifiestamente constatado la necesidad de implementar en todos aquellos tratamientos de datos personales de carácter eminentemente sensibles unas medidas de seguridad que tiendan a aplicar la privacidad en el tratamiento desde el diseño y por defecto (art. 25 RGPD), y que necesariamente llevaría también a la realización de una Evaluación de Impacto relativa a la Privacidad de dicho tratamiento (art. 35 RGPD).

Actualmente ha cambiado la dinámica, y una vez estabilizada una “adecuación a la normativa” se ha entrado en una fase donde los esfuerzos se están encaminando hacía la revisión de la situación actual para asegurar que se está cubriendo razonablemente el riesgo asociado a los tratamientos que se llevan a cabo, y por otro lado y relacionado con los tratamientos más sensibles o con los nuevos tratamientos que se empiezan a llevar a cabo, las entidades cogen la dinámica de realización de dichas Evaluaciones de Impacto asociadas.

En este punto estamos observando, donde algunos aspectos novedosos hace tiempo, como el uso de la inteligencia artificial, se está introduciéndose cada vez más en el mercado y en la operativa de las empresas, con sus beneficios pero también con los riesgos asociados, los cuales deben valorarse para adoptar las medidas necesarias para poder llevar a cabo los tratamientos con las garantías suficientes y con el menor riesgo posible asociado.

Estamos viendo softwares que permiten resolver problemas, generar resultados, generar predicciones u ofrecer recomendaciones mediante la toma de decisiones en los entornos con los que interactúan, bajo un conjunto de objetivos predeterminados. En estos entornos se ha de ser muy escrupuloso y analizar correctamente los riesgos asociados, ya que la base compuesta por los grandes volúmenes de datos y las reglas de toma de decisiones, impactan en la privacidad y la seguridad en muchos puntos. Las Evaluaciones de Impacto son imprescindibles.

Desde el minuto cero se ha puesto el foco en el importe asociado a las sanciones que conlleva el nuevo reglamento; en el momento en que estamos y por desgracia, la realidad ya ha demostrado que es una herramienta importante para hacer cumplir la normativa y demostrar la importancia de la privacidad y dar ejemplo de ello, y lo que a nivel empresarial debemos, y ahora más que nunca con la situación económica existente, no desaprovechar las ventajas que las nuevas tecnologías nos ofrecen pero, en cualquier caso, evitar que nosotros estemos en este punto de la ecuación. Hemos de aprovechar las nuevas tecnologías, pero con la cobertura de riesgos adecuada. No hay otra opción.