2.1 Determinación de participantes y documentación de los procesos de elaboración de la EIPD
El objetivo de esta fase 1 es determinar los participantes del Análisis Preliminar y la EIPD, y definir los procesos para la documentación.
Un aspecto fundamental a tener en cuenta en todos los casos es la determinación en forma anticipada de los participantes en la EIPD, del proceso de registro de las actividades y de los formatos de informes, conclusiones y planes de tratamiento.
Un conjunto mínimo de personas de distintas áreas de la organización deberá participar en el análisis preliminar, sin perjuicio de la necesidad de agregar otros participantes en caso de que, a partir de dicho análisis o de alguna prescripción de la normativa vigente , resulte necesario realizar efectivamente la EIPD.
En cuanto a la determinación de las personas que participarán en una EIPD en general, es indispensable que la organización realice una serie de consultas internas y externas, que deberán ser documentadas.
a. Consultas internas
La participación integral de la organización en la EIPD es fundamental para que ésta conduzca a buenos resultados. Es más probable que los riesgos permanezcan sin tratarse si la EIPD no involucra conversaciones y discusiones internas entre las distintas personas y equipos que forman la organización. Este proceso de conversaciones puede incluir intercambios informales en persona o vía correo electrónico, reuniones de trabajo, así como mecanismos de evaluación y aprobación de los directores de la empresa o principales funcionarios del organismo, si se tratara de una entidad pública.
Dependiendo del proyecto o de la actividad analizada en la EIPD, los participantes y el grado de participación de cada uno de ellos puede variar. Es evidente que no es lo mismo diseñar una aplicación de mensajería instantánea que montar un foro digital o recolectar datos de acceso público para enviar publicidad por medio de un correo automatizado. Cada una de estas operaciones es particular y las características de la organización habrán de hacer de cada EIPD un proceso distinto.
3. Como se verá luego, la realización del análisis preliminar resulta fundamental en todos los casos a efectos de determinar la necesidad de una EIPD, pero puede ser obviada en caso de que la normativa vigente establezca la obligación de realizarla para determinados tratamientos.
En ese sentido, es recomendable que se forme un equipo especializado y multidisciplinario destinado a coordinar las distintas etapas de la EIPD. Ese equipo puede ser estable o designado de manera ad hoc de acuerdo a las necesidades de la organización. Cuando la organización es pequeña, puede no resultar necesario.
También es posible contratar a un consultor experto, ajeno a la organización, para que coordine y organice el equipo de EIPD.
De forma tentativa y tomando como modelo a la gran organización, se establecerá una lista con los potenciales participantes del equipo de EIPD. Esta lista no es exhaustiva, sino que pretende exponer cómo distintas partes de una organización podrían involucrarse en este proceso:
- Funcionales: es fundamental contar con la participación de las personas que efectivamente conocen el negocio del responsable o encargado en su caso, son aquellos que poseen información de los alcances y las razones para la definición de los procesos que se llevan adelante en la organización.
- Delegado de protección de datos: si existe en la organización un delegado de protección de datos, es recomendable que integre o incluso lidere el equipo de EIPD. El delegado de protección de datos es un especialista en la materia que conoce la legislación específica y está familiarizado con los procesos de EIPD.
- Ingenieros, desarrolladores, comunicadores y diseñadores: aquellos que están desarrollando un producto –sea este un objeto material, una pieza de software o un aviso publicitario– deben considerar cómo ese producto puede llegar a impactar en la privacidad y otros derechos de las personas.
- Especialistas en seguridad informática: están capacitados para aconsejar medidas de seguridad, así como para detectar riesgos potenciales en el proyecto bajo análisis.
- Proveedores de servicios informatizados y otros encargados de tratamiento: si la actividad o proyecto involucra algún tercero contratado en calidad de encargado del tratamiento de datos, es recomendable que sea incluido en las consultas internas.
- Gobernanza corporativa y compliance: profesionales o funcionarios que se ocupan del análisis y la gestión de riesgos podrían integrar la protección de datos personales y, por lo tanto, la EIPD en su esfera de trabajo. Alternativamente, un miembro del equipo de compliance podría integrar el equipo de EIPD.
- Investigadores, analistas y estadísticos: la información producida o relevada por un proyecto podría llegar a utilizarse para analizar el comportamiento de los consumidores o con algún otro propósito estadístico. Cuando sea relevante, consultar a los investigadores puede resultar útil para aplicar salvaguardas tales como la disociación de los datos.
- Directorio o principales funcionarios del organismo: es conveniente que aquellos que tienen mayor responsabilidad en la organización participen en el proyecto, supervisándolo y aprobando el reporte final.
b. Consultas externas
Las consultas externas involucran a las personas que potencialmente podrían ser afectadas por el proyecto, a expertos del sector privado y eventualmente a la autoridad de control en materia de protección de datos.
La opinión de aquellos que podrían ser perjudicados por el proyecto es un elemento de gran importancia en la EIPD. En primer lugar, porque permite a la organización entender más acabadamente las preocupaciones de la ciudadanía. En segundo lugar, porque es una práctica de transparencia que visibiliza y concientiza a las personas afectadas sobre cómo su información podría ser utilizada por las empresas o por el Estado. Los expertos y la autoridad de control, por su parte, tienen un rol de apoyo y pueden asesorar a la organización sobre los posibles riesgos involucrados en el proyecto bajo análisis.
Las consultas pueden ser formales o informales, pero se sugiere que sean plasmadas en un documento que identifique con claridad a los consultados. Asimismo, se reconoce que el momento y la naturaleza de la consulta puede ser relevante si el proyecto es de carácter reservado. Una organización puede no querer revelar sus planes a terceros por razones comerciales, marcarias, publicitarias o de seguridad. En tales casos, en la EIPD deberá acreditarse y justificar cuáles fueron las razones que limitaron las consultas externas.
De acuerdo a la magnitud de los riesgos involucrados, dependerá la extensión y la sofisticación de la consulta. Una organización puede ya tener mecanismos de consulta, tales como focus groups o sistemas de feedback o retroalimentación de usuarios en plataformas online. También puede organizar activamente paneles o eventos de discusión que integren a la ciudadanía. Cuando sea posible, es conveniente emplear las herramientas de consulta ya disponibles para comprender las expectativas de los titulares de datos desde distintas perspectivas.
Este proceso debe llevarse a cabo de modo que tenga valor dentro del proyecto y no sea meramente accesorio. La organización debe ser clara respecto de qué aspectos del proyecto estarían dispuestos a modificar y qué aspectos quisieran, por el contrario, preservar. En tal sentido, puede ser eficiente consultar sobre aspectos específicos y no sobre la totalidad del proyecto o actividad. En todos los casos, resulta indispensable presentar a los consultados preguntas y opciones de respuesta que sean realistas, de modo tal que el framing de la consulta no sea tendencioso.