Esta columna trata sobre protección de datos personales, pero no desde la perspectiva de los derechos fundamentales, sino desde su dimensión técnico-jurídica más aplicada. Así que hago una advertencia desde el comienzo: si no trabajas en estos temas —o no tienes especial interés profesional en ellos— este puede ser un buen punto para desertar. Prometo no ofenderme. De hecho, te recomiendo ir a buscar otras de mis columnas, que sí están pensadas para público general.
Hace un par de días, una colega —muy capaz y entusiasta— me escribió con toda naturalidad: “¿Me puedes mandar un modelo de evaluación de impacto en protección de datos?”. Y hace menos de un mes, el Banco de Chile estaba contratando gente que supiera Excel (“imprescindible”) para, entre otras cosas, realizar evaluaciones de impacto en protección de datos.
Así que partamos por lo básico: la Evaluación de Impacto en Protección de Datos (EIPD) es un proceso estructurado de análisis y gestión de riesgos destinado a identificar, evaluar y mitigar los posibles efectos adversos que un tratamiento de datos personales puede tener sobre los derechos y libertades de las personas.
Es excepcional, no solo porque es un proceso caro, lento y especializado, sino también porque tiene lugar cuando hay razones fundadas para estimar que un determinado tratamiento de datos personales podría vulnerar derechos garantizados constitucionalmente. Por ejemplo, cuando se proyecta instalar cámaras de video para vigilar masivamente el comportamiento de la población con fines de prevención del delito. O cuando se quiere recolectar datos biométricos en espacios públicos para convertirlos en garantía de un medio de pago.
Entonces, antes de implementar algo así, hay que darse el trabajo de generar una descripción detallada del tratamiento, una evaluación de su necesidad y proporcionalidad, la identificación de riesgos específicos para los derechos de los interesados y la definición de medidas técnicas y organizativas adecuadas para gestionar esos riesgos.
¡Atención! No se trata de llenar un formulario. No es una plantilla, no es un modelo y no es un archivo para rellenar por una persona durante un fin de semana. No es un documento que se completa: es un proceso que se ejecuta al interior de una organización. Y eso cambia completamente la perspectiva de las cosas.
¿Por qué se produce la confusión? Porque estamos acostumbrados a que muchas obligaciones de cumplimiento —sobre todo las asociadas al compliance normativo— se resuelvan con formatos: planillas, checklists, matrices. Pero en protección de datos el regulador nacional —y los estándares internacionales— están jugando a un juego distinto del que crees: están intentando, por todos los medios, que busques y encuentres alternativas menos riesgosas para los derechos y libertades de las personas.
Dicho de otro modo, una evaluación de impacto es, en términos simples y concretos, un proceso serio de análisis previo de un tratamiento de datos que puede afectar de forma relevante a las personas en sus proyectos de vida. No es escribir que algo es riesgoso o no: es entender de verdad qué se va a hacer con los datos, para qué, cómo, con qué herramientas, con qué consecuencias posibles y con qué salvaguardas reales.
En lenguaje humano: quieren que abras la caja negra del tratamiento y mires dentro con la luz encendida, analizando cada cosa que encuentres. No todos los tratamientos de la organización —como el necesario para pagar sueldos a fin de mes—, pero sí aquellos que implican un peligro significativo para las personas… y también para la organización, si es sorprendida en infracción por la autoridad competente.
La profundidad de la EIPD debe ser proporcional al riesgo y a la complejidad del tratamiento. Si el tratamiento es simple, la evaluación será más acotada. Pero —y aquí viene la parte dura— los tratamientos modernos muy rara vez son simples. Cuando hay analítica, perfilado, grandes volúmenes, interoperabilidad o tercerización de servicios (como SharePoint de Microsoft o Amazon Web Services), la cosa deja de ser liviana. No por capricho jurídico, sino por realismo técnico.
Aquí conviene subrayar algo que suele incomodar a quienes piden “el modelo”: las evaluaciones de impacto no admiten un modelo único, porque hay pocas cosas más personalizadas que una EIPD. No se evalúa “el tratamiento de datos en abstracto”, sino la forma concreta —real, operativa, técnica y organizativa— en que una empresa u organismo específico trata datos personales.
Dos organizaciones pueden usar el mismo software y perseguir la misma finalidad y, aun así, tener evaluaciones de impacto distintas, porque cambian los flujos, los accesos a los datos, las combinaciones de los mismos, los controles, la cultura interna y las decisiones que se toman con la información. Pedir un modelo universal de EIPD es como pretender evaluar todos los edificios con el mismo plano de evacuación: aunque se parezcan por fuera, lo que importa son las salidas reales, las cargas internas, los riesgos específicos y cómo se mueve la gente dentro.
Cuando se hace una evaluación de impacto de verdad, hay que sentarse a conversar con la gente técnica, con quienes diseñan el sistema, con quienes operan los procedimientos y con quienes definen las finalidades. Empiezan a aparecer preguntas que no caben bien en una celda de Excel. Preguntas incómodas, de hecho. ¿De verdad necesitamos todos estos datos? ¿Qué pasa si este cruce de información se usa para algo distinto mañana? ¿Qué decisiones se van a tomar con estos perfiles? ¿Qué tan reversible es el daño? ¿Tenemos la capacidad de modificar el modelo de negocio? (esta última es particularmente crítica cuando uno descubre que se montó toda una línea de negocio sobre bases ilícitas).
Porque la evaluación de impacto no trata de ordenar casillas o completar formularios: trata de comprender un tratamiento completo. Sus flujos de datos, su ciclo de vida, sus accesos, sus combinaciones, sus efectos secundarios. Sí, efectos secundarios.
A veces me han dicho: “Bueno, pero al final hay que dejarlo en un papel y eso es lo que importa”. Por supuesto, igual que una cirugía termina con un informe. Pero nadie en su sano juicio confunde el informe con la cirugía. El documento es la evidencia de que el proceso ocurrió, no el proceso en sí. Si no fue real, el informe es ficción.
Ese documento cumple una función muy concreta: deja evidencia verificable de que la organización realizó un proceso real y serio de análisis de riesgos, necesidad y proporcionalidad del tratamiento de datos personales, y que adoptó medidas adecuadas para proteger los derechos de las personas.
¿Quién lo lee y analiza? La autoridad de protección de datos, para comprobar que el tratamiento fue correctamente comprendido, que los riesgos fueron bien identificados, que las salvaguardas son suficientes y que las decisiones adoptadas fueron razonables y fundadas. No es un texto decorativo ni persuasivo: es una pieza de control que se redacta para que la autoridad la lea, la comprenda cabalmente y, por lo mismo, la crea.
Por lo mismo, falsear su contenido o hacerla incomprensible agrava la responsabilidad de la organización, debilita completamente su posición ante una investigación y es una mala estrategia, que en el mejor de los casos terminará en una fiscalización exhaustiva y en el peor con una sanción gravísima.
La evaluación de impacto no es un espejo que refleja el tratamiento, sino una conversación estructurada con la realidad del tratamiento. Y, como toda conversación honesta, exige tiempo, método y valentía para abordar temas incómodos. Pero cuando se hace bien, no solo protege derechos: ordena decisiones, mejora diseños y evita errores que después cuestan caro.
No es burocracia: es ingeniería de responsabilidad. Y hecha con rigor, es una de las herramientas más poderosas que tiene una organización para demostrar —con hechos, no con discursos— que trata datos de personas con el respeto que merecen.