El cumplimiento de la legislación en materia de protección de datos requiere un enfoque multidisciplinar. En este contexto, aparecen las tecnologías de mejora de la privacidad (privacy enhancing technologies, o PET, por sus siglas en inglés), que son herramientas de seguridad de la información creadas con el objetivo de promover los principios de protección de datos, provocando una ganancia en seguridad, minimizando el tratamiento de datos personales, o, en términos generales, de promover la autodeterminación informativa.
El tema ha sido ampliamente debatido en todo el mundo, habiendo sido abordado recientemente por la Organización de Cooperación y Desarrollo Económico (OCDE) en su guía Emerging Privacy Enhancing Technologies y por la autoridad de protección de datos del Reino Unido, la Information Commissioner’s Office (ICO).
La ICO ha publicado dos guías sobre el uso de las tecnologías PET. Uno está dirigido a los delegados de protección de datos (data protection officers, o DPO, por sus siglas en inglés) y personas con responsabilidades relacionadas con la protección de datos en grandes organizaciones, y el otro está dirigido a un público más técnico. Tales guías generaron discusiones sobre el tema en el mercado de la protección de datos y sobre la relevancia del uso de estas tecnologías en los programas de gobernanza de la privacidad.
Con respecto a los conceptos legales, es posible establecer un paralelismo entre el propósito de las PET y la idea de privacidad por diseño. Este concepto está presente en el artículo 25 del Reglamento General de Protección de Datos (RGPD) de la Unión Europea y en la legislación brasileña, más específicamente en el artículo 46, párrafo 2, de la Ley General de Protección de Datos (Ley N.º 13.709/18, o LGPD), y se ocupa de la adopción de políticas y medidas internas por parte del responsable del tratamiento que cumplan con los principios de protección de datos desde la fase inicial de diseño de un producto o servicio.
Por lo tanto, como se mencionó anteriormente, el uso de las PET puede promover varios principios de protección de datos. La minimización de datos—correspondiente al principio de necesidad de la LGPD—puede llevarse a cabo a través de herramientas que aseguren que solo se tratan los datos necesarios para una determinada finalidad. Un ejemplo son las herramientas de aprendizaje federado, que permiten entrenar modelos de aprendizaje automático en diferentes sistemas, buscando minimizar la cantidad de datos compartidos entre las partes.
Las técnicas de encriptación y anonimización promueven el principio de seguridad. Este es el caso de las tecnologías de privacidad diferencial (differential privacy) que generan estadísticas anónimas al agregar ruido a los registros individuales; y entornos de ejecución confiables (trusted execution environments) que buscan mejorar la seguridad al permitir el entrenamiento de datos en una parte segura del sistema relevante, aislado del sistema operativo principal y otras aplicaciones[1].
Las tecnologías mencionadas también promueven el principio de prevención establecido en la LGPD y ayudan a mitigar los dos riesgos del tratamiento de datos con el fin de evitar que se produzcan daños por este tratamiento.
Es decir, de los ejemplos anteriores, que son solo algunos de los muchos modelos PET existentes, es posible ver que estas tecnologías permiten el análisis de datos, reduciendo los riesgos existentes para la privacidad de las personas. Así, las PET son mucho más que soluciones de seguridad que permiten el cumplimiento de la legislación de protección de datos. Son tecnologías pensadas precisamente para mejorar la obtención de percepciones relevantes para el negocio a través del tratamiento de los datos y, deliberadamente, mitigar los riesgos que suelen estar vinculados a tales operaciones. Es por eso que ahora se recomiendan su uso en el contexto de los programas de gobernanza de la privacidad de las más diversas organizaciones que buscan maximizar la inteligencia en función de los datos que tienen.
Las PET suelen recomendarse especialmente en situaciones que implican el análisis de grandes conjuntos de datos, como en el caso de las operaciones de big data, la inteligencia artificial, computación en la nube e Internet de las cosas. En este sentido, la realización de un informe de impacto en la protección de datos personales (data protection impact assessment, o DPIA, por sus siglas en inglés), alineado con la LGPD y el RGPD, es un ejemplo de un ejercicio recomendado para analizar el contexto del tratamiento de datos personales en una gran escala. También es posible identificar si las PET pueden ayudar a mitigar los riesgos existentes.
Por otro lado, si bien las PET pueden ser aliadas importantes en el análisis de datos, su uso puede presentar riesgos. Giran en torno a la falta de madurez o solidez de la tecnología para lograr el resultado práctico previsto; errores en su implementación, por lo que el objetivo teórico por el cual se creó una PET es diferente del resultado obtenido en la práctica; o la falta de experiencia para implementar las PET de manera que se genere el equilibrio deseado entre la privacidad y la utilidad de la herramienta. Por eso es de gran importancia concienciar sobre su uso.
En este sentido, el uso de tecnologías PET para ayudar en el cumplimiento de la legislación evita que las obligaciones legales se limiten a conceptos abstractos transmitidos a los empleados a través de políticas internas y capacitación. La automatización del cumplimiento de estos estándares de forma integrada con los procesos de la organización, a través de tecnologías como las PET, resulta ser un modelo mucho más eficiente que prácticamente puede garantizar la protección de datos como algo imprescindible desde la concepción de actividades, productos y servicios. Esta es una percepción reciente pero cada vez más común en el mercado de la protección de datos.
Por último, como puede verse, no sólo el mercado está pendiente del tema sino también los reguladores y las autoridades relacionadas con el contexto de la protección de datos personales, que incluirán cada vez más estas tecnologías en el contexto de las evaluaciones de protección de datos y la legislación sobre el tema.
*Las opiniones expresadas en esta publicación son las de los autores. No pretenden reflejar las opiniones o puntos de vista de Novartis, Mattos Filho o sus miembros.
[1] Chapter 5: Privacy-enhancing technologies (PETs). Information Commissioner’s Office (ICO). 2022. Página 11. Disponible: https://ico.org.uk/media/about-the-ico/consultations/4021464/chapter-5-anonymisation-pets.pdf