Protección de datos y seguridad
La seguridad es un elemento necesario, pero no suficiente, para la garantizar los derechos y libertades de las personas con relación a la protección de datos de carácter personal. Además, si las medidas de seguridad no están orientadas a la protección de dichos derechos pero sí orientadas a la consecución de otros objetivos, pueden suponer en sí mismas una amenaza para la libertad.
Imaginemos por un momento que vamos caminando por la calle y alguien se acerca y nos dice que dispone de gran información sobre nuestra familia. Un extraño que, por ejemplo, nos dice algo así como que conoce a nuestros hijos, sabe sus nombres, el colegio al que van y los nombres de sus amigos. Nos habla acerca de sus dificultades con determinadas asignaturas y da consejos precisos sobre cómo tendría que ayudarles, nos comenta con todo tipo de detalle sus secretos y todos los problemas que han tenido últimamente con algunos de sus compañeros, a los que también conoce. Pero no solo de nuestros hijos sino también de nuestra pareja, familiares, amigos, …
La misma persona afirma que esa es una pequeña parte de la información de la que dispone, pero que no es necesario que nos preocupemos: solo lo hace por nuestro bien y todos esos datos están seguros en su poder. Él dispone de todas las certificaciones posibles que garantizan que no habrá ningún problema que pueda poner en riesgo la confidencialidad, la integridad y la disponibilidad de la información que atesora.
El hecho de que un extraño tuviera toda la información de nuestra familia, hasta el último detalle íntimo, aunque en teoría de forma segura ¿nos tranquilizaría? Hasta el momento, la respuesta en los foros en los que se ha planteado esta pregunta ha sido siempre negativa, y el sentimiento compartido y generalizado es que se estaría produciendo una injerencia en la vida familiar, en nuestra intimidad y en nuestra privacidad. Más aun, tanta seguridad en la conservación y recogida de cada uno de los datos, nuestros datos, nos daría miedo, pues no podemos pretender que la seguridad de los datos sustituya a la protección de los datos. Es un hecho histórico, y que desafortunadamente nos resulta familiar, que seguridad y derechos fundamentales no siempre caminaron juntos.
La protección de datos es un derecho del ser humano que nace vinculado a la Declaración Universal de Derechos Humanos aprobada por la Asamblea General de las Naciones Unidas en 1948 con el objetivo de garantizar la dignidad del ser humano y como instrumento de lucha contra la opresión, la impunidad y las afrentas a la dignidad humana. Este derecho tiene como objeto preservar la dignidad humana frente a la invasión que supone la recogida y tratamiento excesivo de datos personales. Su objetivo es el de establecer un marco de garantías que haga posible el ejercicio de los derechos fundamentales y las libertades del ser humano y con el fin de impedir que el uso de la información personal pueda utilizarse indiscriminadamente en contra de dichos derechos y libertades inherentes al ser humano.
El artículo 12 de la Declaración Universal de Derechos Humanos expresa nítidamente este objetivo de este derecho fundamental:
12 Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques.
La Declaración Universal de Derechos Humanos expresa también la necesidad de hacer extensibles los derechos y libertades que proclama a cualquier persona y así lo proclama en su artículo 2:
2.1. Toda persona tiene todos los derechos y libertades proclamados en esta Declaración, sin distinción alguna de raza, color, sexo, idioma, religión, opinión política o de cualquier otra índole, origen nacional o social, posición económica, nacimiento o cualquier otra condición.
2.2. Además, no se hará distinción alguna fundada en la condición política, jurídica o internacional del país o territorio de cuya jurisdicción dependa una persona, tanto si se trata de un país independiente, como de un territorio bajo administración fiduciaria, no autónomo o sometido a cualquier otra limitación de soberanía.
El derecho a la protección de datos hereda esta necesidad de proteger de forma especial cualquier información sobre las personas que contenga información de raza, color, inclinación sexual, religión, ideología política con el objetivo de permitir que los derechos humanos sean extensibles a cualquier persona independientemente de estos factores. La seguridad de la información no protege a las personas frente a los posibles atropellos que pudieran ocasionarse derivados de estos factores.
La seguridad de la información se orienta a preservar la integridad, la disponibilidad y la confidencialidad mediante recursos materiales técnicos y organizativos adecuados y proporcionales para conseguir uno o varios objetivos. Estos pueden ser diversos: garantizar la continuidad de negocio, la seguridad del Estado, evitar el fraude, preservar la imagen institucional, o, por ejemplo, garantizar la privacidad.
Las medidas técnicas y organizativas para garantizar la seguridad de los datos personales constituyen parte de las garantías que permiten implementar de forma efectiva la protección de datos. Pero para que dichas medidas estén realmente orientadas hacia la privacidad, la selección e implementación de la seguridad de la información es un paso más en proceso de aplicación de los principios de protección de datos. El proceso de gestión del derecho a la protección de datos comienza por el establecimiento de la licitud del tratamiento y continúa con la aplicación de los principios de lealtad, transparencia, finalidad, proporcionalidad, exactitud, limitación, aplicación de derechos, responsabilidad proactiva y, finalmente y derivado de los requisitos fijados por la implementación de todos los anteriores, las medidas de seguridad.
En ningún caso la seguridad de la información es un elemento previo, ni puede anteponerse o sustituir, al resto de principios. El análisis de la seguridad de la información no es el punto de partida para la implementación efectiva de la protección de datos en una entidad, sino la última etapa del proceso de aplicar una política de privacidad, ya que la seguridad de la información no entiende de derechos fundamentales. De los derechos fundamentales se ocupa la protección de datos y la seguridad se encuentra a disposición de la protección de datos en el camino para alcanzar la licitud de los tratamientos. Las medidas técnicas y organizativas necesarias para garantizar la confidencialidad, la integridad y la disponibilidad de la información tienen que orientarse a implementar los principios de la protección de datos para garantizar los derechos y libertades de las personas en un estado de derecho, incluso más allá del punto en el que pudiera tener lugar la rotura del estado de derecho. La seguridad de la información es un recurso necesario, aunque no suficiente, para garantizar el derecho fundamental a la protección de datos personales.