Embed Size (px)
Citation preview
1
Consulta de Contribución de la IAF:
“Consentimiento y Privacidad” Julio 2016
2
Índice de contenidos
La respuesta de la IAF conforme a la consulta de "Consentimiento y privacidad", iniciada por la
Oficina del Comisionado de Privacidad de Canadá.
1. Resumen de los comentarios
2. IAF
3. Factores clave
a. Ley de Privacidad; Asegurando la autonomía individual y un tratamiento equitativo
de los Datos
b. La diferenciación del pensar y actuar con los Datos
c. Clasificación de datos
d. Más Datos Existen en los Ecosistemas que en Llanuras lineales
e. Definiendo la Ética de Datos
4. Soluciones
a. Las decisiones individuales mejor informadas
b. La Desidentificación y oscuridad de los datos
c. "Zonas prohibidas”
d. Responsabilidad-Los intereses comerciales legítimos, las evaluaciones éticas, los
códigos de conducta y las marcas de confianza.
3
La respuesta de la IAF conforme a la consulta de "Consentimiento y privacidad", iniciada
por la Oficina del Comisionado de Privacidad de Canadá
Los siguientes comentarios de la Fundación de Información sobre responsabilidad (IAF por sus
siglas en inglés) son en respuesta al "Aviso de Consulta y convocatoria para las sumisiones:
Documento de debate sobre el consentimiento". La IAF es una organización sin objetos de lucro,
exenta de impuestos bajo la Sección 501 (c) (3) del Código de Rentas Internas de los Estados
Unidos. Está organizada y operada exclusivamente para fines de investigación y caridad
educacional. La IAF fue creada para desarrollar una directriz de una política de información basada
en la Responsabilidad que protegerá los intereses individuales al mismo tiempo que va facilitando la
información impulsada por la innovación. El equipo de la IAF que trabajó en estos comentarios se
conformó por Martin Abrams, Peter Cullen, Lynn Goldstein y Nick Warren.1 Estos comentarios
reflejan su punto de vista y no necesariamente reflejan el punto de vista de la comisión de la IAF,
sino la ideología de sus patrocinadores y otros participantes involucrados en las actividades de la
IAF.
Al finalizar, nosotros presentamos nuestras tres preguntas conforme la consulta:
1. De las soluciones identificadas en este documento, ¿Cuál o cuáles de todas tiene/tuvieron mayor
mérito y por qué?
2. ¿Qué soluciones no hemos identificado que nos serían de utilidad para abordar los retos del
consentimiento y por qué?
3. ¿Qué funciones, responsabilidades y autoridades deben tener las partes responsables de promover
el desarrollo y la adopción de soluciones para producir el sistema más efectivo?
La cuarta pregunta va más allá de la misión caritativa de la IAF.
La IAF también está liderando un proyecto canadiense para desarrollar un marco de evaluación para
Big Data y un tratamiento similar que es relevante para esta consulta; Sin embargo, no estará
completo en el plazo de la consulta.
4
Resumen de los comentarios
Creemos que la Oficina del Comisionado de Privacidad de Canadá (OPC por sus siglas en inglés)
ha hecho un excelente trabajo al presentar el entorno actual de los datos y al realizar las preguntas
adecuadas. Sin embargo, creemos que hay cuestiones que deberían plantearse y debatirse como
parte del proceso canadiense. Esas cuestiones incluyen:
La ley de privacidad abarca ambos los cuales constan de; asegurar la autonomía individual
y el tratamiento equitativo de los datos. Estos dos son parte de los principales pilares de la
Ley para la Protección de Datos Personales y los Documentos Electrónicos (PIPEDA por
sus siglas en inglés), el consentimiento y la a Responsabilidad facilitan esos dos objetivos
clave. Sin embargo, los ecosistemas de datos emergentes dan mayor confianza en el
tratamiento equitativo con el apoyo de la Responsabilidad.
La forma de pensar y actuar con los datos crea diferentes impactos en los individuos, y a su
vez en la directriz y esto es algo importante dado a que se debe diferenciar ambos.
No todos los datos se originan de la misma manera. Algunos datos son proporcionados
directamente por los individuos; otros datos son observados. Además, algunos datos se
crean base al análisis. La directriz de la política debe reflejar la naturaleza del origen de los
datos y cómo se clasifican.
Los datos existen cada vez más en los ecosistemas con muchos participantes, todos
teniendo obligaciones hacía los individuos afectados por los datos que tienen.
En los procesos de evaluación el uso de la ética es necesaria dentro de la comunidad de
privacidad para así definir la clave ética que debe tenerse en cuenta en este tipo de
evaluaciones.
Hemos abordado una serie de las soluciones creadas base al documento de consulta. En primer
lugar, estamos de acuerdo en que no hay soluciones milagrosas, y es necesaria una mezcla de
soluciones para poder resolverlo. Nuestros comentarios mencionan:
La transparencia debe ser considerada en un panorama mas amplio que sólo en sus
avisos de privacidad aumentando de esta manera su funcionalidad, ya que se relaciona
con el consentimiento. La transparencia ha de tener en cuenta al público con los fines
de informar.
La desidentificación requiere del cinturón y los tirantes de la tecnología, así como de la
ejecución de políticas. Por otra parte, existen tecnologías emergentes que
proporcionaran un control más gradual para que las reglas de las políticas puedan ser
ejecutadas con mayor seguridad.
Las zonas prohibidas están mejor guiadas por las reglas sociales, establecidas por otros
regímenes jurídicos, tales como los establecidos para protección de los consumidores y
de los pacientes. Las zonas prohibidas pueden tener consecuencias dado a que se estaría
metiendo lo la seguridad de la información.
Creemos que las evaluaciones éticas son un aumento natural a la directriz de la
Responsabilidad y cuando se usan de una manera razonable y legítima, crean algo
equivalente al concepto Europeo en el aspecto de intereses legítimos. Además, las
evaluaciones éticas pueden ser apoyadas por los códigos de conducta y certificaciones
de manera voluntaria.
IAF
5
La Fundación de Información sobre Responsabilidad (IAF por sus siglas en inglés) es una
organización sin fines de lucro, exenta de impuestos bajo la Sección 501 (c) (3) del Código de
Rentas Internas de los Estados Unidos. En la actualidad es el organizador y secretario para un
proyecto en Canadá en donde se desarrolla un proceso para evaluar éticamente los usos no
tradicionales de los datos, manteniendo al mismo tiempo la protección y el respeto de los derechos
fundamentales.2 Además, la IAF está liderando una iniciativa de investigación llamada proyecto de
gobernanza efectiva en la Protección de datos (EDPG por sus siglas en inglés), que busca mejorar la
eficiencia operacional y la certeza regulatoria en el era digital.3 Mientras que ambos proyectos aún
están en progreso, muchos de los conceptos iluminados por los proyectos están incluidos en estos
comentarios.
Un Punto Excelente de Partida
La Oficina del Comisionado de Privacidad de Canadá (OPC por sus siglas en inglés) ha hecho un
excelente trabajo al enmarcar las cuestiones y proponer posibles soluciones en "Consentimiento y
privacidad: Un documento de debate que explora las áreas de oportunidad del consentimiento en
términos de la Ley para la Protección de los Datos Personales y los Documentos Electrónicos)". El
debate del documento sobre los retos planteados por los datos de observación, Big Data, el Internet
de las cosas y las dificultades que crean para el control individual son al punto y muy relevantes, c
las descripciones de las soluciones propuestas por las organizaciones como la IAF, Centro de
información para la política de Liderazgo y Foro del futuro de la privacidad. Además, el documento
pone en el marco la necesidad de pensar más ampliamente sobre la Responsabilidad organizacional,
que es también una base para la PIPEDA. La IAF ha compartido el documento de la OPC en
numerosos entornos y ha puesto en marcha una traducción del documento al español, que será
distribuido a los medios globales en los que participa la IAF.
Nuestros comentarios responden a algunas de las soluciones propuestas por este documento y
plantean una serie de cuestiones secundarias que creemos deben ser parte de esta consulta. Estas
consideraciones adicionales de ninguna manera afectan nuestra creencia de que el documento de
consulta de la OPC es una excelente contribución para la mejora de la situación en la protección de
datos.
Puntos clave
Ley de Privacidad; Asegurando la autonomía individual y un tratamiento equitativo de los
Datos
La Ley para la Protección de Datos Personales y los Documentos Electrónicos (PIPEDA
por sus siglas en inglés), las leyes provinciales y las Directrices de la OCDE (OECD por sus
siglas en inglés) forman parte de la base de la ley de privacidad de Canadá han sido
diseñadas para facilitar la libre circulación de los datos y para proteger a los individuos de
la pérdida de autonomía y los impactos negativos del tratamiento injusto. Hay momentos en
los que el asegurar la autonomía y el correcto tratamiento, llevas a cabo el mismo fin de las
actividades da do a que tienen estas dos funciones el mismo objetivo. Aquí es donde por lo
general se proporcionan datos directamente del individuo y los usos son fáciles de describir
y de entender. Como algunos comentaristas sugieren, uno otorga un tratamiento equitativo
al proporcionar la autonomía en primer lugar y los mejores medios para proporcionar la
autonomía es a través del consentimiento informado. Sin embargo, a veces lo que es
efectivo en la protección de la autonomía no siempre proporciona una protección sólida
para asegurar el tratamiento equitativo. Como los datos se hace más robustos y los usos son
más diversos, la Responsabilidad robusta puede ser más efectiva para asegurar el
6
tratamiento equitativo. Cuando uno piensa con los datos, por ejemplo, aún cuando se
recabaron los datos en virtud de un aviso que menciona los usos para la investigación,
evaluación y correcciones como parte de la responsabilidad, se proporcionan los elementos
más efectivos para la protección.
Esta consulta se inició en parte porque se reconoce que el consentimiento no siempre es
totalmente efectivo para proporcionar a la autoridad un tratamiento equitativo en un mundo
de datos que cada vez es más complejo. Para facilitar el debate, creemos que es útil recordar
a los participantes que la ley de privacidad, que tienen el doble objetivo de proporcionar un
tratamiento equitativo, así como una autonomía. Un tratamiento que es efectivo requiere del
reconocimiento de que las metodologías a usar proporcionar un tratamiento equitativo, para
así buscar una alternativa a los métodos y finalmente proporcionar una mejor autonomía.
La diferencia entre pensar y actuar con los Datos
El documento del 2013 "Big Data y el Análisis: Búsqueda de las bases para una orientación
efectiva en la privacidad"4 sugiere que uno debe diferenciar el proceso de descubrimiento
de nuevos conocimientos, a través del análisis avanzado llamado; "fase de descubrimiento",
y la implementación de esos conocimientos conforme uno toma las decisiones se le llama;
"fase de implementación". La fase de descubrimiento es típicamente donde se lleva a cabo
la innovación impulsada por la información. También es una fase en la que por lo general
hay menos o ningún impacto sobre los individuos a quienes les pertenecen los datos,
siempre y cuando el tratamiento se lleve a cabo con los niveles adecuados de seguridad y
que otras obligaciones relacionadas con el riesgo sean cumplidas. El consentimiento puede
ser implícito para el uso de los datos en la fase de descubrimiento, pero los objetivos
específicos de investigación no siempre se observan en una política de privacidad. Por lo
tanto, un proceso de evaluación en esta etapa puede requerir de garantías adicionales para
que el tratamiento se considere apropiado a un individuo que tiene esta capacidad de
razonarlo.
La fase de implementación es donde los datos pueden ser personalmente impactantes, por lo
que la gobernanza y la Responsabilidad asumen una mayor importancia. Por otra parte, es
mucho más fácil implementar las prácticas justas de información tales como el
consentimiento cuando se implemente un modelo. Las finalidades están bien definidas, y
los datos tratados para lograr las finalidades son claros, por lo que los avisos de privacidad
pueden definir explícitamente la actividad a llevar.
Por ejemplo, los cardiólogos han desarrollado algoritmos basados en millones de pacientes
que atendieron en un pasado, con esto lo que obtienen es una predicción y una probabilidad
de que un individuo pueda tener un incidente cardíaco durante un período de tres años en
base a los datos anteriores. El uso de los datos de pacientes anteriores no es generalmente
impactante, pero los pacientes futuros no podrían haber anticipado esta actividad en
específica si no es porque la investigación progresa con el tiempo. Es por eso que lo más
probable es que consideraren razonable dicha investigación. Por otra parte, hay muchos
beneficios para la sociedad en este escenario que también deben tenerse en cuenta. La
creación del modelo predictivo es el descubrimiento a la cura del mismo problema.
El modelo puede entonces ser utilizado para generar puntuaciones para los nuevos pacientes
en función de sus datos actuales y sus diagnósticos clínicos utilizados. Las puntos en
especifico también pueden ser utilizados para otros objetivos con menos impacto individual
(por ejemplo, la asignación de los recursos de salud). La generación y el uso de la datos
7
específicos pueden ser la fase de implementación y pueden tener impacto en las vidas de
aquellos pacientes. Mientras que este tratamiento es impactante, es un ejemplo de cuando el
consentimiento adicional puede ser apropiado, ya que la finalidad del tratamiento es ahora
conocida.
El descubrimiento donde los datos no son personalmente impactantes, plantean por lo tanto
riesgos nocivos menos explícitos para los individuos. La implementación— donde los
riesgos por conocimientos inexactos, datos incompletos y la discriminación son más altos—
es también el lugar en donde las prácticas de información justa para la reducción de riesgos
son más fáciles de implementar, pero también donde se necesita de la Responsabilidad para
un tratamiento equitativo. El consentimiento explícito, por ejemplo, es mucho más fácil de
ejercer, más efectivo y relevante para la implementación de datos cuando se tiene un
impacto individual en lugar de utilizar los datos como parte del descubrimiento.
En el 2015, la IAF comenzó a simplificar la terminología en torno a estos conceptos: el
"descubrimiento" se convirtió en "pensar con los datos" y la "implementación" se convirtió
en "actuar con los datos". La IAF cree que el uso de estos conceptos de pensar y actuar con
los datos en el desarrollo de soluciones para las limitaciones de consentimiento sería una
metodología más útil. La recomendación explícita de la IAF es que las prácticas
recomendadas por la OPC deberían tomar en consideración esta diferenciación.
Clasificación de datos
La Ley de Privacidad normalmente debate sobre la obtención de datos, pero no
necesariamente los medios por los cuales se recaban los datos.5 La definición de obtención
de Merriam Webster es "el acto o proceso de obtener la información de diferentes lugares y
así posteriormente juntar lo recabado." El lugar del cual los datos provienen es una
consideración muy importante en la privacidad gobernante. Esto se reconoce en el
documento de la OPC, en particular en la sección sobre el Internet de las cosas.
La IAF sugiere que los medios por los cuales se ponen a disposición los datos son también
muy importantes. En el 2014 la IAF creó una taxonomía de datos basada en el origen.6 La
taxonomía describe cuatro clasificaciones principales de los datos y plantea cuestiones de
gobernanza relacionadas con cada clasificación. La cuarta clasificación, "los datos
inferidos", son datos del proceso de análisis. Por ejemplo, los cardiólogos ejecutan los datos
de muchas pruebas de diagnóstico diferentes y datos del paciente (como la edad), y llegan a
una puntuación de calcio que predice la probabilidad de que un paciente tenga una situación
cardiaca durante los próximos tres años. El individuo recibió casi con toda seguridad el
aviso y otorgó la autorización cuando él o ella ayudó a llenar el expediente de paciente o
entregó el/ella mismo/a a la prueba de diagnóstico. Estos avisos pueden haberse referido a
las futuras implementaciones de los datos. Sin embargo, los análisis impulsados por los
datos que crearon la puntuación son probablemente la pieza más impactante de los datos de
todos. Los datos más impactantes no fueron recabados, sino más bien creados.
La IAF cree que la comunidad política debe reconocer las diferencias entre las clases de
datos para diseñar mejor las soluciones cuando no sólo se trate del uso de los datos, sino
también de la naturaleza de los datos en sí cuando se requieran nuevos enfoques de
gobernanza.
Más Datos Existen en los Ecosistemas que en Llanuras lineales.
8
Los teléfonos inteligentes, con sus sensores y aplicaciones, comenzaron a hacernos
conscientes de que los datos ya no existen en una cadena lineal fácilmente gobernada por
los requisitos de la responsabilidad. En lugar de ello, los datos existen en los ecosistemas
que se definen por muchos jugadores que observan el comportamiento, creando datos y
utilizando esos datos para comprender mejor los entornos de soluciones que crean. Todos
los jugadores tienen obligaciones hacía los individuos afectados por los datos o a otros
jugadores que formen parte del ecosistema y a la sociedad en su conjunto. El proyecto de
Gobernanza Efectiva de la Protección de Datos de la IAF fue creado para mejorar la
comprensión de los flujos modernos de datos, las obligaciones asociadas con los usos y
cómo podrían ser manejados responsablemente de manera que provoquen la innovación al
mismo tiempo que protegen a las partes interesadas. Nosotros creemos que el documento de
consulta ha identificado esta tendencia; Sin embargo, creemos que un mayor énfasis sería
útil cuando se configuren soluciones.
Definiendo la Ética de Datos
Desde el 2014, la IAF ha argumentado que el tratamiento equitativo que involucra el
análisis de Big Data y los ecosistemas de información compleja, requiere de una
superposición ética para evaluar si el tratamiento es legal, justo y equitativo. Al mismo
tiempo, las agencias encargadas de hacer cumplir la privacidad comenzaron a sugerir que
los responsables del tratamiento vieran más allá de la conformidad técnica de la ética para
evaluar si su tratamiento de los datos se encuentra a la par con el espíritu de la ley de
privacidad. Sin embargo, mientras que la IAF se mostró a favor de la ética, todavía se debe
tener un verdadero debate sobre la ética o la ética que crea barreras de seguridad para las
evaluaciones.
Como un proxy para la ética, la IAF extendió cinco valores para el análisis que creo
finalmente la decisión a una determinación de lo que sería considerado justo. Cuando uno
hace ingeniería inversa en el proceso, se puede observar qué peso se ha colocado en los
siguientes conceptos clave:
Honrar los compromisos y las reglas establecidas;
Identificar y comprender a las partes interesadas, los riesgos que podrían
soportar y los beneficios que podrían recibir del tratamiento;
Asegurarse que los riesgos y los beneficios coincidan con todas las partes
interesadas.
Darle un papel importante al análisis es una ética occidental comúnmente conocida como la
"regla de oro"— trata a los demás como te gustaría que te traten a ti.
El Supervisor Europeo de Protección de Datos (EDPG por sus siglas en inglés) reconoció
esta brecha en la definición y nombró a una Comisión ética de asesoría para que a finales
de este año de informes sobre el trabajo dado. El trabajo de esta comisión dará lugar a
consultas internacionales que pueden ser útiles en la creación de un consenso sobre la ética
clave para evaluar el tratamiento equitativo cuando se utilicen datos más allá del claro
entendimiento de los individuos.
Mientras tanto, lo que queda es la primacía de la autonomía individual, la única ética clave
en una política de información que se ha definido. La influencia de esta ética en la consulta
es evidente en la primer referencia a la obra de Alan Westin sobre la importancia del
consentimiento. Pero si la autonomía es la única ética, entonces la ética no ayudará a
9
resolver cómo a gobernar cuando el consentimiento no es plenamente efectivo. Por lo tanto,
hay necesidad de la participación del trabajo clave mencionado anteriormente.
Nunca haríamos la sugerencia de que la IAF es el órgano apropiado para definir la ética
clave en esta era de la información, pero sí sugerimos que la OPC supervise el trabajo que
esté realizando el EDPS y otros en la definición de la ética clave en una era de la
información. Si el trabajo tiene valor, debe incluirse en las directrices a ser desarrolladas
por la OPC.
Soluciones
En primer lugar y ante todo, estamos de acuerdo en que los retos de gobernanza del 2016 no tienen
una solución milagrosa. Lograr la protección de los datos, mientras que se facilita la innovación
impulsada por los datos, requiere de una funda llena de soluciones. La IAF cree que las soluciones
que se debaten tendrán una implementación si la comunidad civil canadiense decide que la
legislación es necesaria o no.
Las mejores decisiones individuales informadas
La IAF cree que la transparencia sobre la creación, obtención, uso y gestión de los datos
debe ser mejorada. Esto comienza con el estímulo de los usuarios de datos en todos los
sectores para probar y perfeccionar cualquier medio que ayude a los individuos y a las
comunidades de los individuos a comprender los datos y su implementación. Los individuos
tienen una función en la gobernanza, a través de las decisiones que toman, no sólo a través
de su consentimiento, sino también con quienes hacen negocios. Los grupos de individuos
también tienen una función en la presión que ejercen sobre las organizaciones para que
tengan prácticas de implementación de datos que sean justas y que tengan sentido. Los
reguladores obviamente tienen la función que es informada por las políticas de privacidad
que las organizaciones publican.
El debate sobre los avisos de privacidad que están completos frente a los fáciles de
comprender, en muchos aspectos es un debate equivoco. El trabajo de la IAF sobre la
Gobernanza Efectiva en la Protección de Datos sugiere que los avisos largos, detallados y
completos tienen una función importante. Ellos informan a los expertos y crean un mapa de
la supervisión normativa. Sin embargo, no son demasiado útiles para informar sobre las
decisiones tomadas por los individuos. Donde se espera que los individuos, los pacientes y
los ciudadanos tomen decisiones, será necesario informar los mecanismos específicos para
esas decisiones. Los modelos de anuncios de los servicios financieros de los Estados
Unidos, mientras que no son ideales, son el ejemplo de una notificación que es específica a
las opciones disponibles para los individuos. No describe todos los usos de los datos, sólo
aquellos en los que la ley exige opciones. Las explicaciones generales sobre cómo las
organizaciones utilizan los datos, qué valor crean con esos usos, son una tercera versión de
la transparencia. La IAF cree que se necesita un camino hacia delante en donde se acepten
las tres estrategias de transparencia, y los reguladores deben encontrar no sólo la
multiplicidad de estrategias como equitativa, sino también fomentar su creación.
La Desidentificación y oscuridad de los datos
La IAF ve la oscuridad de los datos como un mecanismo útil para corregir los riesgos para
los individuos, en particular cuando las tecnologías que oscurecen están vinculadas con la
promesa de una política. Las nuevas tecnologías que oscurecen están empezando a
10
evolucionar, lo que va a crear herramientas de control que tengan una mayor
sistematización. Sin embargo, esos datos tienen que ir emparejados de manera que se
proteja la exactitud y fiabilidad de los conocimientos que se obtienen cuando se piensa con
los datos. Por lo tanto, la IAF no ve la oscuridad de los datos como una cuestión relacionada
con la jurisdicción para la regulación de la información personal, sino como una estrategia
de corrección al ponderar todos los factores necesarios para asegurar la exactitud de los
resultados en comparación con los controles de acceso.
Una cuestión relacionada es la gobernanza de los datos que se refieren a personas ya sean
personales o no. El proyecto del EDPG está explorando la gobernanza basada en una visión
de 360 grados de los datos, que incluye la obtención, creación, e usos por las partes y la
destrucción. La gobernanza efectiva requiere la comprensión de los riesgos y beneficios
relacionados con la implementación de los datos, sin importar si los datos son o no
identificables. Las evaluaciones integrales de los datos que están desarrolladas en el
proyecto del EDPG, incluyen una mirada de 360 grados en los datos, así como los riesgos y
beneficios para todas las partes interesadas.
"Zonas prohibidas”
Las leyes de protección al consumidor, los pacientes, los ciudadanos y los empleados
prohíben los usos discriminatorios de los datos. Este es particularmente el caso cuando las
organizaciones actúan con los datos. Esas reglas sociales deben ser respetadas por las
organizaciones que estén tratando los datos más allá de las expectativas individuales. Sin
embargo, cuando se piensa con los datos, uno no siempre sabe qué conocimientos pueden
obtenerse del tratamiento. Descubrir un patrón predictivo no es discriminatorio en sí mismo.
Es típicamente en la actuación con los datos en donde se ven afectadas las personas. La
creación de conocimientos imprecisos, que puede resultar del Big Data un mal hecho, ya
que puede crear riesgos. Es por ello que los procesos de evaluación ética realizan preguntas
que identificarán cuestiones relacionadas con la calidad de la investigación. Sin embargo, el
sólo oponerse a un área de investigación puede ser riesgoso. Por lo tanto, la IAF sugiere que
los creadores de políticas sean muy cautelosos sobre la creación de las zonas prohibidas
cuando se piensa con los datos.
Responsabilidad - Los intereses comerciales legítimos, las evaluaciones éticas, los
códigos de conducta y las marcas de confianza.
La IAF cree que las cuestiones sobre las soluciones están unidas. Primeramente, la IAF cree
que los intereses comerciales legítimos se encuentran mejor enmarcados como intereses
legítimos. En Canadá, los intereses legítimos pueden equipararse con el concepto de
PIPEDA sobre las finalidades legítimas. La Sección 5 (3) de la PIPEDA habla sobre las
finalidades que son "apropiadas" si son consideradas por una "persona razonable". Los
intereses legítimos ven la gama completa de los riesgos y beneficios para todas las partes
interesadas, con énfasis en los individuos, para lograr en los ojos de las personas razonables
el tratamiento legal, justo y equitativo de los datos. Los datos en una era de la información
deben utilizarse para mejorar la gama de intereses humanos. El sugerir que la evaluación es
un simple punto de apoyo que pondera los intereses empresariales en contra de los intereses
de autonomía del individuo, es sugerir que la evaluación deja toda la gama de intereses
fuera de la ecuación y crea el riesgo de que los individuos y la sociedad se vean
perjudicados por el mero hecho de que no se entiende cómo crear la escala correcta.
Las evaluaciones éticas son los medios para la construcción de la escala que integra toda la
11
gama de intereses de las partes interesadas. El proyecto canadiense de la IAF está diseñado
para crear un modelo a escala para dar una aproximación del punto en el que el uso de los
datos es legal, justo y equitativo.
En segundo lugar, la complejidad de la evolución de los ecosistemas de información están
explotando. Hay demasiados jugadores como para que el individuo pueda en un momento
comprender todos los aspectos de cómo se recaban, usan y comparten los datos. Cada vez
se llevan a cabo más intercambios de datos, haciéndolo para el individuo y así proporcionar
una gobernanza efectiva a través de todo el ecosistema. Cada participante, ya sea
directamente conocido de la persona o no, debe ser responsable de sus respectivas
obligaciones basadas en los datos que recaban, reciben o crean, cómo utilizan los datos y
con quién lo comparten.
Mientras que el IAF no cree que su función sea el asesorar sobre si es necesaria una nueva
legislación en Canadá, hicimos uso de numerosas disposiciones de la legislación
canadiense, tales como la razonabilidad, conveniencia y legitimidad para crear estructuras
de gobernanza. En el desarrollo de un proceso de evaluación canadiense para cuando los
datos sean obtenidos, usados y divulgados de una manera que no habría sido anticipada por
los individuos, tiene que estar en su lugar un marco que va más allá de los principios de las
prácticas justas de la información. Tal proceso de evaluación depende de los valores clave
que se basan en la legislación canadiense y proporcionan el rigor jurídico para la
determinación de las finalidades legítimas basadas en los intereses de las partes interesadas.
Por último, a uno se le deja con la pregunta sobre si las escalas se calibran correctamente, si
se usan con integridad y si las organizaciones tienen el conjunto de habilidades necesarias
para utilizar la escala. Aquí es donde los códigos de conducta tienen un uso. Esto también
encaja con el concepto canadiense de responsabilidad. La IAF, al trabajar con los
reguladores de Europa, América del Sur y del Norte, llevó a cabo una consulta sobre cómo
uno puede ejecutar en contra de un proceso de evaluación ética. Como parte de la consulta,
fue explorado el uso de códigos de conducta que permiten establecer no sólo la integridad
de un proceso de evaluación, sino también la gobernanza en el proceso de evaluación. Los
resultados de esa consulta se publicaron en octubre de 2015, como "La ejecución de un
proceso para la evaluación ética".7
La certificación externa a menudo crea una mayor acreditabilidad en los códigos de
conducta. El Sistema de Reglas de Privacidad transfronterizo de la APEC esencialmente
crea un código de conducta para el movimiento transfronterizo de datos donde la adhesión
al código está certificada por un agente de confianza. La IAF cree que las marcas de
confianza pueden desempeñar un papel similar para las organizaciones que desean
demostrar de forma proactiva que están utilizando una escala común que ha sido calibrada y
está siendo utilizada de manera competente con integridad.
La IAF agradece la oportunidad de participar en la consulta y le complacería en ampliar plenamente
en cualquiera de los puntos mencionados en estos comentarios.
12
1 Los pronombres “nosotros ” and “nuestros” refiere a la preparación del equipo de trabajo de la IAF.
2 El financiamiento del proyecto incluye una beca de investigación de la Oficina del Comisionado para la
protección de la intimidad que se está llevando a cabo con total independencia. El proyecto incluirá una
sesión de evaluación de múltiples interesados que incluirá a la sociedad civil canadiense y la comunidad
académica.
3 Veasé también la efectividad de la protección de datos en la Gobernanza–
http://informationaaccountability.org/effective-data-protection- governance-project/.
4 Abram, Martin, Paula Bruening y Meg Leta Jones (2013), “Big Data and Analytics: Buscando Bases para
una eficaz orientación de la Privacidad", el Centro para el liderazgo y la política de información”
http://informationaccountability.org/wp-content/uploads/Big_Data_and_Analytics_February_2013.pdf.
5 PIPEDA no definen colección. La ley de Ontario que gobierna sobre la ley y cuidado de la información,
PHIPA, define recolectar, en relación a al cuidado de la información recabada, para significar recolectar,
adquirir, recibir, u obtener la información por cualquier medio de cualquier fuente y “colección” tiene un
significado correspondiente.
6 Abrams, Martin (2014) “Los orígenes de la información personal y su forma de governancia ,” La
fundación de la responsabilidad de la información, http://informationaccountability.org/wp-
content/uploads/Data-Origins-Abrams.pdf.
7 Abrams, Martin and Lynn A. Goldstein (2015) “Haciendo cumplir procesos del gravamen de los datos, “la
fundación de la responsabilidad de la información,
http://informationaccountability.org/publications/enforcing-big-data-assessment-processes/.
