Para una visión integral de las herramientas a nuestra disposición

Alocución presentada en el panel "Innovative Supervising" en el marco del Latin American Congress for Santa Clara,

6 de junio de 2013
Santa Marta, Colombia

Ponencia presentada por Chantal Bernier
Comisionada Adjunta de Protección de Datos Personales de Canadá

(Verifíquese con la alocución)

English version
Version française

Introducción

Se nos ha pedido hoy que tratemos las estrategias adoptadas por las autoridades de protección de datos para aplicar la ley de manera más eficaz, y los medios creativos que utilizamos en nuestras actividades de vigilancia para lograr mejores resultados.

Estoy muy orgullosa de lo que hemos logrado en este sentido en la Comisaría de Protección de Datos Personales de Canadá (CPDP) desde hace algunos años. Por tanto, mi objetivo hoy es compartir con ustedes nuestra experiencia en términos prácticos. Confío en que les sirva también a ustedes para hacer más con menos.

Organizaré mi presentación en tres partes:

• Primero, les hablaré brevemente del mandato de la CPDP.
• Luego, les explicaré el punto de vista particular que hemos adoptado con objeto de comprender toda la gama de medidas a nuestra disposición.
• Finalmente, les presentaré un inventario de las herramientas a nuestra disposición, que ilustraré con ejemplos concretos.

I. Acerca de la CPDP

Con el fin de situar mi discurso en contexto, primero describiré brevemente el mandato de la CPDP.

Nos encargamos de vigilar el cumplimiento de dos leyes federales, la Ley de protección de los datos personales (LPDP), relativa al tratamiento de los datos personales por unas 250 instituciones federales, y la Ley de protección de la información personal y los documentos electrónicos (LPIPDE), relativa a la utilización de los datos personales en las actividades comerciales de competencia federal.

Estas dos leyes fueron adoptadas con veinte años de intervalo y nos otorgan esencialmente dos poderes, es decir:

• el poder de investigar las reclamaciones recibidas del público o por nuestra propia iniciativa;
• el poder de proceder a verificaciones de una organización a nuestra discreción, con respecto al sector público, y a partir de motivos razonables para creer que se ha producido una violación de la ley, con respecto al sector privado.

En los dos casos, la comisaria emite en última instancia un informe que contiene las recomendaciones precisas dirigidas a la organización en cuestión.

Un punto determinante: no tenemos ninguna potestad de sanción, de resolución o de imposición de multas.

Disponemos únicamente de estos poderes:

• el poder de nombrar públicamente, en todos casos relacionados con el sector público, pero solamente cuando lo justifique el interés público con respecto al sector privado;
• el poder de recurrir a los tribunales en ciertos casos.

Este límite de nuestros poderes de ejecución, así como la variedad de los riesgos y de las violaciones de la vida privada son los dos factores determinantes de nuestra gestión.

II. Adoptar un punto de vista integral sobre las medidas de ejecución

Resultaría fácil restringir nuestras intervenciones a estos ámbitos tan estrechos, pero tal actitud sería demasiado limitadora ante un abanico de circunstancias y de desafíos en constante evolución política, tecnológica y económica, frente a la protección de los datos personales.

La misión que nos ha dado el Parlamento canadiense no es realizar investigaciones y verificaciones, sino proteger el derecho a la privacidad en Canadá; las investigaciones y verificaciones son únicamente dos herramientas. La gama de riesgos exige que desarrollemos estas herramientas y las adaptemos a cada circunstancia.

Al adoptar este cambio de perspectiva, el abanico de herramientas parece mucho más grande.

III. Conjunto de herramientas a disposición de la Comisaría de Protección de Datos Personales de Canadá con ejemplos concretos

En esta tercera parte de mi intervención, describiré la gama de herramientas que hemos desarrollado para llevar a cabo nuestra misión de protección del derecho a la privacidad en Canadá.

Nuestro ámbito de intervención está compuesto de lo siguiente, de lo más flexible a lo más restrictivo:

• En primer lugar, está la intervención "previa", que utilizamos en ausencia de una sospecha concreta de violación de la ley:
  1. La concientización del público y de las empresas, ya sea a través de actividades de sensibilización o favoreciendo la conformidad mediante alianzas.
  2. Un examen más detallado de la evaluación de los factores relativos a la vida privada (EFVP).
• Después está la intervención "posterior", que utilizamos cuando existe sospecha de violación:
  1. La vigilancia
  2. El diálogo estructurado
  3. La resolución rápida
  4. La investigación
  5. La verificación

A continuación describiré cada una de las herramientas que utilizamos "después" y las ilustraré con casos concretos.

a) La vigilancia

Cuando sospechamos que hay violación de una de las dos leyes (cualquiera de ellas, por ejemplo, al interpretar una investigación efectuada por terceros, informes mediáticos, o porque nuestros tecnólogos u otra autoridad de protección de datos nos han alertado), lo primero que hacemos es muy sencillo: efectuamos una labor de vigilancia. Observamos lo que nos rodea y estamos preparados para intervenir.

Esta intervención "flexible" representa a veces el primer paso hacia una intervención más constante, y se resume en una recogida de información y un análisis del riesgo basados en la información disponible en ese momento preciso.

Un ejemplo muy concreto: cuando Sony reveló en 2011 que había sido víctima de un acto de piratería informática y que los datos personales de millones de usuarios habían sido robados, centramos nuestra atención en la cuestión para ver si era preciso intervenir.

Reunimos un pequeño equipo compuesto por tecnólogos, abogados e investigadores e iniciamos la búsqueda de información: ¿Qué se ha producido? ¿Eran apropiadas las medidas de seguridad establecidas? ¿Hay motivos razonables para creer que se ha producido una infracción de la Ley?

Los tecnólogos consultaron las fuentes de información accesibles al público, incluido el blog de Sony, y se pusieron en contacto con sus colegas de otras autoridades de protección de los datos. Descubrieron que Sony ya estaba realizando una investigación interna, que las fuerzas del orden también estaban llevando a cabo una investigación, que no había ningún indicio que permitiera creer que los datos personales se hubieran hecho públicos, y que los números de las tarjetas de crédito obtenidos por los piratas no estaban cifrados aunque estaban protegidos por un algoritmo de cálculo de clave.

Al final de nuestra evaluación de la gestión del riesgo efectuada por Sony —porque la ciberseguridad consiste en la obligación de poner los medios, no en los resultados—, decidimos no intervenir. Como es sabido, nuestros homólogos británicos decidieron realizar una investigación y concluyeron que se había infringido su ley. Sin embargo, confiamos en que hemos tomado una buena decisión teniendo en cuenta la información de la que disponíamos en el momento en que se hizo público el acto de piratería.

Con este mismo espíritu emitimos las directrices sobre los retos tecnológicos emergentes; por ejemplo, después de haber leído muchos artículos que dan a entender un cierto laissez-faire por parte de los desarrolladores de aplicaciones móviles, emitimos una guía destinada a ellos a fin de ayudarles a ver el respeto de la vida privada como una ventaja competitiva más que como un obstáculo para la innovación.

b) El diálogo estructurado

El grado siguiente en nuestra escala de intervención es el diálogo estructurado.

Cuando sospechamos que las prácticas de gestión de los datos personales de una organización o de un sector no son conformes a la Ley, pero confiamos en que podemos solucionar la situación sin recurrir a una investigación formal por decisión de la comisaría, entablamos un diálogo con la organización u organizaciones en cuestión.

Dos ejemplos de nuestros expedientes del año pasado: la vulneración de Linkedln y la cuestión de la filtración de datos personales en los sitios Web.

Comencemos con Linkedln. Recordarán que este sitio de redes sociales profesionales fue víctima de un acto de piratería informática en junio de 2012 en el que fueron robadas 6,5 millones de contraseñas, publicadas posteriormente en línea. Como hicimos con el asunto de Sony, reunimos un equipo multidisciplinario para realizar un análisis preliminar basado en la información disponible para el público. Esta vez, comparando lo que sabíamos de la vulneración con lo que sabíamos de las normas de la industria, llegamos a la conclusión de que la vulneración podría mostrar ciertos aspectos débiles del plan de medidas de seguridad informática por parte de Linkedln.

Nos pusimos de acuerdo con nuestros homólogos de tres provincias dotadas de leyes esencialmente parecidas a la LPIPDE y entablamos un diálogo estructurado con la empresa, durante el cual obtuvimos más información (de carácter confidencial), y formulamos recomendaciones que han sido aplicadas por la empresa.

En definitiva, la vida privada de los usuarios de Linkedln de Canadá y de otras partes del mundo está mejor protegida ahora, tras una intervención más rápida y menos costosa que una investigación oficial.

La filtración de datos personales en los sitios Web es otro asunto en el que hemos recurrido al diálogo estructurado.

Gracias a un estudio realizado por una universidad americana (Worcester Polytechnic Institute), nos hemos enterado de un fenómeno por el que los datos personales suministrados por los usuarios de sitios Web podrían ser retransmitidos a organizaciones terceras sin el conocimiento ni el consentimiento de los usuarios. Existiría, pues, una filtración de datos personales hacia sitios terceros.

Puesto que se trata de una violación de la LPIPDE, decidimos ver si ocurría lo mismo en los sitios canadienses más conocidos.

Formamos un muestrario más o menos aleatorio de una media docena de sitios Web de organizaciones canadienses, en la mayoría de los casos del sector privado. Nuestros tecnólogos reprodujeron después la experiencia efectuada por la universidad americana y consideraron que era necesario efectuar el seguimiento de nueve organizaciones incluidas en la muestra. La comisaria mantuvo una correspondencia individual y confidencial con cada una de ellas para explicarles nuestra metodología y lo que habíamos observado de sus sitios, y para pedirles que modificaran sus prácticas a fin de ajustarse a la ley.

La comisaria continuó su correspondencia con las empresas en cuestión durante todo el proceso para hacerles partícipes de su progreso en cuanto a las recomendaciones precisas para su sitio. Paralelamente, los analistas de la CPDP se comunicaron directamente con las personas responsables de los sitios Web de las organizaciones en cuestión a fin de responder a sus preguntas técnicas y de orientarlas, si era preciso, en sus actividades de modernización de sus sitios.

En última instancia, las organizaciones en las que se centró esta actividad aplicaron el conjunto de recomendaciones que les propusimos, en beneficio de todos los canadienses que usan sus sitios Web. La respuesta de las organizaciones fue, de nuevo, más rápida y barata que una intervención más formal.

c) La resolución rápida

Cuando recibimos denuncias que nos parecen susceptibles de ser solucionadas rápidamente, en vez de iniciar una investigación oficial, remitimos el expediente a un agente miembro de un equipo dedicado a la resolución rápida. Entre otras cosas, se trata de denuncias sobre cuestiones que ya han sido objeto de conclusiones por parte de la Comisaría, denuncias que atañen a organizaciones que ya han respondido a las alegaciones de forma satisfactoria a nuestro parecer, y casos en los que parece posible solucionar rápidamente las alegaciones.

Un ejemplo, sacado de nuestros expedientes de resolución rápida del último año: una persona hace una solicitud en línea a una empresa de servicios públicos.

En el formulario de solicitud, los campos correspondientes al número de seguro social, número de licencia de conducir y a la información sobre el empleador eran obligatorios. La persona comunica sus preocupaciones a la empresa, la cual le responde que estos datos eran necesarios para identificar a los clientes.

No satisfecha con esta respuesta, la persona en cuestión presentó una denuncia ante la CPDP, denuncia que fue remitida a un agente de resolución rápida. Dicho agente se comunicó con la empresa para explicarles a su vez las circunstancias muy precisas en las que se puede exigir un número de seguro social o un número de licencia de conducir, y sobre los riesgos que conlleva la recopilación excesiva de datos personales. El agente también proporcionó a la empresa documentos de orientación preparados por la CPDP sobre este asunto.

Desde entonces, la empresa ha dejado de recoger los números de seguro social y los números de licencia de conducir y ha dejado de exigir los datos relativos al empleador. Estas prácticas han sido reemplazadas por el uso de preguntas de seguridad.

Finalmente, la empresa agradeció que la CPDP le hubiera proporcionado información y el denunciante se dio por satisfecho con las medidas adoptadas por la empresa como respuesta a sus preocupaciones.

Desde que comenzamos a hacer uso del proceso de resolución rápida hace tres años, hemos podido solucionar más rápidamente y con menos gastos unos 590 casos en virtud de la LPDP y 311 casos en virtud de la LPIPDE. El porcentaje de denuncias que son objeto de una resolución rápida aumenta cada año, habiendo pasado del 13 % en 2010-2011 al 33 % en 2012-213 para el sector público y del 24 % en 2010 al 44 % en 2012 para el sector privado.

d) La investigación

Llegamos a la primera de las dos intervenciones mencionadas explícitamente en nuestras leyes habilitantes, es decir, el poder de realizar investigaciones.

No me detendré en la investigación ordinaria, puesto que tengo la impresión de que casi todo el mundo aquí ha efectuado o ha sido sometido como mínimo a una: recibimos una denuncia de un particular, la confiamos a un investigador, el investigador establece los hechos, los analiza, redacta un informe de la investigación y la comisaria emite una conclusión, a saber, que la denuncia está fundada o no lo está.

En el caso de las denuncias fundadas, a partir de 2011 ampliamos la lista de las conclusiones que emitimos.

• En los casos en los que la organización ha actuado en contravención de la ley, pero ha resuelto la cuestión en el curso de la investigación, emitimos la conclusión "fundada y resuelta" en vez de "resuelta" a fin de que sea reconocida la contravención de la ley.
• En los casos en los que la organización culpable se compromete a rectificar la situación pero no tiene tiempo de poner en práctica todas nuestras recomendaciones antes del final de la investigación, emitimos la conclusión "fundada y resuelta condicionalmente".

Esto me lleva a ponerles un ejemplo de una denuncia en la que emitimos esta conclusión y exigimos un seguimiento por parte de la organización en cuestión. Se trata de nuestra investigación acerca de Google Wi-Fi, cuyos resultados fueron publicados en octubre de 2010.

Esta investigación, llevada a cabo por iniciativa de la comisaria, fue lanzada después de que Google anunciara que sus automóviles —que recorrían las calles de las ciudades canadienses para el servicio de cartografía Street View— habían recogido inadvertidamente datos transmitidos por redes inalámbricas no seguras.

A la vista de su investigación, la comisaria recomendó que Google velara para que su modelo de gobernanza le permitiera acatar las leyes sobre la protección de los datos personales. Además, la comisaria recomendó que Google mejorase la formación que ofrece acerca de la protección de los datos personales y que nombrase a una o dos personas responsables de las cuestiones de la privacidad y del respeto de las obligaciones de la empresa en dicha materia, una obligación conforme a la legislación canadiense en materia de protección de los datos personales.

Además, la comisaria pidió a Google que suprimiera los datos útiles canadienses recopilados, siempre que esto no perjudicara el respeto de las obligaciones conforme a las leyes canadienses y estadounidenses, tales como la conservación de pruebas vinculadas a los procedimientos judiciales. Si los datos útiles canadienses no podían ser suprimidos inmediatamente, deberían conservarse de forma segura y el acceso a estos datos debería estar restringido.

Teniendo en cuenta la amplitud de la infracción, el número de personas afectadas y el alcance de las recomendaciones a las que la empresa debería dar seguimiento, la comisaria exigió una confirmación de que Google había respondido efectivamente a todos estos compromisos. De este modo, exigimos a Google que presentara en un plazo prescrito un informe de verificación por un tercero en el que se certificara que todas las recomendaciones formuladas tras concluir la investigación se habían aplicado debidamente.

Además de las medidas de seguimiento de la aplicación de nuestras recomendaciones, el ejemplo de Google Wi-Fi ilustra igualmente otra herramienta a la que recurrimos cada vez más a fin de que nuestras intervenciones beneficien lo más posible a los canadienses: hemos hecho público al mismo tiempo el informe de la investigación y el nombre de la empresa.

La mayoría de las organizaciones que son objeto de nuestras investigaciones cumplen todas nuestras recomendaciones, a menudo incluso antes de que se termine la investigación. Sin embargo, a veces debemos recurrir a las máximas medidas a nuestra disposición para que se cumplan nuestras recomendaciones, es decir, el Tribunal federal.

Esto fue lo que ocurrió al concluir una investigación sobre Nexopia, un sitio de redes sociales destinado a los jóvenes. La investigación realizada tras una demanda presentada por el Centro para la defensa del interés público permitió establecer que Nexopia contravenía varios aspectos de la LPIPDE. En total, al final de la encuesta se formularon 24 recomendaciones.

Nexopia respondió a 20 de ellas de manera satisfactoria para la comisaria. No obstante, la CPDP y la empresa en cuestión no lograron entenderse acerca de cuatro problemas relativos a la conservación de los datos personales de los usuarios de Nexopia.

La comisaria de protección de datos personales de Canadá se dirigió, pues, al Tribunal federal para pedirle que dictara un auto que obligara a Nexopia a dejar de conservar los datos personales durante un período indeterminado y a crear para ello una función de supresión. Nexopia cambió de propietario después de la interposición de la demanda. El nuevo propietario se comprometió a seguir todas las recomendaciones formuladas en el informe sobre las conclusiones. El caso todavía está siendo estudiado por el Tribunal federal.

Podemos hacer pública toda la información vinculada a las prácticas de gestión de una organización si creemos que ello beneficia al interés público. Con el fin de determinar si el interés público saldría ganando en un caso dado, basamos nuestro análisis en un buen número de factores. En general, aplicamos los criterios siguientes:

• La decisión de nombrar debe ser respaldada por los hechos y un análisis que demuestren el interés público en cuestión;
• La decisión debe tomarse caso por caso, y no sobre la base de una política global que favorezca el uso universal del poder de nombrar;
• El uso del poder de nombrar debe hacer que avancen los objetivos de la ley: la decisión de nombrar debe estar vinculada de manera racional a los motivos por los que este poder ha sido otorgado desde el principio;
• La decisión debe tener en cuenta el justo equilibrio entre la divulgación y la confidencialidad, puesto que los dos van en interés del público; y
• El alcance de la divulgación debe estar limitado a la información necesaria para lograr el objetivo previsto.

e) La verificación

El quinto y último mecanismo de intervención en el abanico medios al alcance de la CPDP es la verificación, es decir, una revisión de las prácticas de gestión de los datos personales de una organización o de un sector dado, medio del que nos servimos para hacer frente a los problemas sistemáticos.

A veces, la existencia de problemas sistemáticos que da lugar a una verificación se manifiesta en el transcurso de una investigación. Esto fue lo que ocurrió durante una investigación relativa al Ministerio de Excombatientes concluida en octubre de 2010, cuando constatamos que los controles establecidos en el Ministerio no protegían adecuadamente los datos personales que poseía el Ministerio conforme a la Ley de protección de los datos personales.

Más específicamente, la investigación mostró que los datos médicos delicados de un excombatiente habían sido comunicados a funcionarios que no tenían ninguna necesidad legítima de verlos. Se llegó a encontrar algunos datos médicos en las notas de información ministeriales que describían las actividades de defensa de los derechos llevadas a cabo por ese excombatiente.

La violación del derecho a la intimidad en cuestión era de tal gravedad que podía pensarse en la existencia de problemas sistémicos. Por ello, pusimos en marcha una verificación de las prácticas de gestión de los datos personales que se utilizaban en el ministerio en cuestión.

Sobre la base de un razonamiento parecido empezamos una verificación de Staples, minorista canadiense de material de oficina. En este caso, realizamos dos investigaciones entre 2004 y 2008 en relación con dos denuncias distintas en las que se alegaba que la empresa no suprimía todos los datos de los clientes que se encontraban en los dispositivos de almacenamiento devueltos a la tienda, como, por ejemplo, computadoras portátiles y discos duros externos, antes de volverlos a vender o a alquilar.

Al concluir las dos investigaciones, la empresa se había comprometido a tomar las medidas correctivas necesarias. Ante ciertos reportajes aparecidos en los medios de comunicación en 2009 en los que se decía que Staples seguía revendiendo dispositivos electrónicos devueltos sin haber borrado los datos personales del anterior propietario, realizamos una verificación.

Dado que nuestra verificación demostró que los problemas sistémicos relativos a la gestión de los dispositivos de almacenamiento de datos devueltos no habían sido solucionados completamente, exigimos que la empresa nos presentara durante el año posterior a la verificación un informe redactado por un tercero independiente en el que se detallara la forma en que se habían cumplido nuestras recomendaciones.

Conclusión

En conclusión, espero haberles dado algunas ideas fundamentales.

En primer lugar, la variedad de los riesgos de la protección de la vida privada exige adoptar una visión integral de las medidas de intervención que se ofrecen a las autoridades de protección de los datos. Esta visión global es crucial con el fin de adoptar medidas creativas y estratégicas que se imponen para hacer frente a los casos cada vez más complejos, echando mano de recursos que, lamentablemente para muchos de nosotros, son cada vez más limitados.

En segundo lugar, debemos tener en cuenta la realidad con objeto de seguir siendo no solo eficaces, sino también pertinentes frente a los nuevos modelos comerciales y las nuevas realidades tecnológicas que tienen una influencia tan grande en la realización de nuestros mandatos, es decir, proteger el derecho a la privacidad en nuestros territorios de competencia respectivos. Esto exige una flexibilidad de intervención que permita aplicar la intervención justa, según las circunstancias.

En tercer lugar, nuestro mayor poder es el de la movilización de los ciudadanos y, por tanto, es preciso que nuestras intervenciones respondan a las expectativas, los derechos y las necesidades de los ciudadanos.

Cedo ahora la palabra a mis eminentes colegas y espero con interés continuar la conversación con todos ustedes.