Antes de iniciar el desarrollo de un sistema de IdC, los desarrolladores deben tener claros sus objetivos principales y sus posibles objetivos y usos secundarios. Puede ocurrir que ese objetivo no sea compatible con las normas éticas y jurídicas de la UE (como, por ejemplo, la Carta de los Derechos Fundamentales de la Unión Europea). Si el sistema priva o reduce la capacidad de los interesados de tomar decisiones libres sobre sus vidas, si toma decisiones sobre las libertades fundamentales y las libertades sin ninguna forma de supervisión humana o posibilidades de reparación, si el sistema se basa en la necesidad de crear una especie de adicción, etc., el proyecto no debería ser respaldado.
Otra posibilidad es que el objetivo del sistema de IdCimplique un uso desproporcionado de datos personales que desafíe el principio de minimización, lo que dificulta el cumplimiento del marco jurídico aplicable. Además, los desarrolladores también deben tener en cuenta que el tratamiento de datos en la IdCtambién puede afectar a personas que no serán suscriptores o usuarios de su tecnología[1]. Este escenario crea riesgos asociados al hecho de que algunos sujetos de datos podrían no ser conscientes de que sus datos están siendo procesados. Además, “si el responsable del tratamiento prevé un “modelo” en el que toma únicamente decisiones automatizadas que tienen un alto impacto en las personas sobre la base de los perfiles elaborados sobre ellas y no puede basarse en el consentimiento de la persona, en un contrato con la persona o en una ley que lo autorice, el responsable del tratamiento no debería proceder”.[2] Por último, los responsables del tratamiento deberán evaluar si el proyecto es aceptable según las normas éticas, a pesar de que cumpla con las obligaciones legales.
En resumen, los desarrolladores deberán analizar cuidadosamente el posible impacto de la tecnología y las medidas apropiadas que deben diseñarse para garantizar la protección de datos, la privacidad y otros derechos, tal y como se definen en la Carta de los Derechos Fundamentales de la Unión Europea y el marco legal relacionado En lo que respecta a la protección de datos y la privacidad, si el análisis muestra que el tratamiento no será aceptable sobre la base de la Carta de los Derechos Fundamentales de la Unión Europea, el RGPD y el marco de ePrivacy, el proyecto no debe ser respaldado.
| Cuadro 1: Gafas inteligentes
El Grupo de Trabajo del Artículo 29 llama la atención sobre esta cuestión con el siguiente ejemplo: “es probable que los dispositivos vestibles, como las gafas inteligentes, recojan datos sobre otros sujetos de datos distintos del propietario del dispositivo. Es importante destacar que este factor no impide que la legislación de la UE se aplique a estas situaciones. La aplicación de las normas de protección de datos de la UE no está condicionada por la propiedad de un dispositivo o terminal, sino por el tratamiento de los datos personales en sí.” Si los desarrolladores están dispuestos a crear un dispositivo como este, deben ser conscientes de que el RGPD exige el tratamiento justo y lícito de todos los datos personales recogidos. Esto incluye, entre otras cosas, la condición de una base legal válida para una operación de procesamiento, la limitación de la finalidad, la minimización de los datos, la limitación de la retención de datos, la calidad y seguridad de los datos, los derechos de los interesados y la supervisión independiente. El RGPD también introduce el principio de responsabilidad como obligación general de esforzarse por cumplir no sólo la letra de la ley. También proporciona instrumentos y herramientas concretas para lograr la responsabilidad, con un enfoque basado en el riesgo aplicado, entre otras cosas, en las evaluaciones de impacto de la protección de datos (EIPD), la protección de datos desde el diseño y por defecto, el nombramiento de un responsable de la protección de datos, así como el cumplimiento de los códigos de conducta y los mecanismos de certificación existentes. Los promotores deben tener en cuenta todas estas cuestiones esenciales en las primeras fases del desarrollo de su proyecto, para evitar esfuerzos innecesarios, si no se puede garantizar el cumplimiento del marco legal de protección de datos. |
Además, una idea clara del proyecto ayudará a determinar en las primeras fases del desarrollo otras cuestiones legales dentro de la ley de protección de datos, como la posible necesidad de transferencias internacionales de datos, la existencia de corresponsables o procesadores, que deben ser cuidadosamente seleccionados, o las medidas de seguridad y organización para minimizar los riesgos.
Este documento analizará con más detalle las principales obligaciones en materia de protección de datos.