4305 003 Manual sobre protección de datos en la acción ...

MANUAL SOBRE PROTECCIOacuteN DE DATOS EN LA ACCIOacuteN HUMANITARIACOEDITORES CHRISTOPHER KUNER Y MASSIMO MARELLI

SEGUNDA EDICIOacuteN

REF

EREN

CIA



IacuteNDICE

AGRADECIMIENTOS 12

PROacuteLOGO 13

GLOSARIO DE TEacuteRMINOS DEFINIDOS Y ABREVIADOS 14

PARTE 1 - CONSIDERACIONES GENERALES

1 INTRODUCCIOacuteN 21

11 Contexto 22

12 Objetivo 23

13 Estructura y enfoque 28

14 Puacuteblico destinatario 28

2 PRINCIPIOS BAacuteSICOS RELATIVOS A LA PROTECCIOacuteN DE DATOS 31

21 Introduccioacuten 32

22 Conceptos baacutesicos de la proteccioacuten de datos 35

23 Conjuntos de datos agregados seudonimizados y anonimizados 37

24 Derecho aplicable y organizaciones internacionales 39

25 Principios aplicables al tratamiento de datos 40

251 Principio de licitud y lealtad del tratamiento 40

252 Principio de limitacioacuten del propoacutesito 40

253 Principio de proporcionalidad 41

254 Principio de minimizacioacuten de los datos 42

255 Principio de calidad de los datos 43

26 Situaciones particulares en materia de tratamiento de datos 43

261 Fines sanitarios 44

262 Actividades administrativas 45

263 Procesamiento ulterior 45

27 Conservacioacuten de los datos 47

28 Seguridad de los datos y seguridad del tratamiento 48


282 Seguridad fiacutesica 50

283 Seguridad informaacutetica 50

284 Obligacioacuten de mantener discrecioacuten y conducta del personal 52

285 Planificacioacutendecontingencias 52

286 Meacutetodos de destruccioacuten 52

287 Otras medidas 54

29 Principio de responsabilidad demostrada 54

210 Informacioacuten 55

2101 Datos obtenidos del titular de los datos 55

2102 Notas informativas 56

2103 Datos no obtenidos del titular de los datos 57

211 Derechos de los titulares de los datos 58


2112 Derecho de acceso 58

2113 Derechoderectificacioacuten 60

2114 Derecho de eliminacioacuten 61

2115 Derecho de objecioacuten 62

212 Intercambio de datos e intercambio internacional de datos 63

3 BASES LEGIacuteTIMAS PARA EL TRATAMIENTO DE DATOS PERSONALES 65


32 Consentimiento 67

321 Inequiacutevoco 68

322 Oportuno 68

323 Validez 68

324 Vulnerabilidad 68

325 Nintildeos 69

326 Consentimiento informado 70

327 Consentimiento documentado 71

328 Negacioacuten o retiro del consentimiento 71

33 Intereacutes vital 72

34 Fundamentos importantes de intereacutes puacuteblico 73

35 Intereacutes legiacutetimo 74

36 Ejecucioacuten de un contrato 76

37 Cumplimiento de una obligacioacuten juriacutedica 76

4 INTERCAMBIO INTERNACIONAL DE DATOS 79


42 Normas baacutesicas para el intercambio internacional de datos 82

43 Base legiacutetima del intercambio internacional de datos 82


432 Bases legiacutetimas del intercambio internacional de datos 83

44 Atenuacioacuten de los riesgos para el individuo 83

441 Garantiacuteas correspondientesClaacuteusulas contractuales 84

442 Responsabilidad 85

45 Relacioacuten entre el controlador de datos y el encargado

del tratamiento de datos 86

46 Divulgacioacuten de datos personales a las autoridades 87

5 EVALUACIOacuteN DE IMPACTO RELATIVA A LA PROTECCIOacuteN

DE DATOS (EIPD) 89


52 Proceso de EIPD 91

521 iquestEs necesaria la EIPD 91

522 Equipo encargado de la EIPD 91

523 Descripcioacuten del tratamiento de datos personales 93

524 Consulta a las partes interesadas 93

525 Identificacioacutendelosriesgos 94

526 Evaluacioacuten de los riesgos 94

527 Identificacioacutendelassoluciones 94

528 Recomendaciones 94

529 Aplicacioacuten de las recomendaciones acordadas 94

5210 Control o auditoriacutea de la EIPD por un experto 95

5211 ActualizacioacutendelaEIPDencasodemodificaciones

del proyecto 95

6 ANAacuteLISIS DE DATOS Y MACRODATOS 97


62 Aplicacioacuten de los principios baacutesicos relativos a la proteccioacuten de datos 104

621 Limitacioacuten del propoacutesito y tratamiento ulterior 105

622 Bases legiacutetimas para el tratamiento de datos personales 106

623 Procesamiento leal y liacutecito 109

624 Minimizacioacuten de los datos 110

625 Seguridad de los datos 111


64 Intercambio de datos 113

65 Intercambio internacional de datos 113



67 Evaluaciones de impacto relativas a la proteccioacuten de datos 116

7 DRONESVANT Y TELEOBSERVACIOacuteN 119




722 TransparenciaInformacioacuten 127











8 BIOMETRIacuteA 135















9 PROGRAMAS DE TRANSFERENCIAS DE EFECTIVO 151



93 Principios baacutesicos relativos a la proteccioacuten de datos 158












10 SERVICIOS EN LA NUBE 169


102 Responsabilidad y responsabilidad demostrada en la nube 172





1034 Transparencia 176



1041 Proteccioacuten de los datos en traacutensito 182

1042 Proteccioacuten de activos 182

10421 Ubicacioacuten fiacutesica 182

10422 Seguridad de los centros de datos 183

10423 Seguridad de los datos en reposo 183

10424 Sanitizacioacuten de datos 183

10425 Eliminacioacuten de los equipos 183

10426 Disponibilidad 184

1043 Separacioacuten de los usuarios 184

1044 Gobernanza 184

1045 Seguridad operacional 184

1046 Personal 185

1047 Desarrollo 185

1048 Cadena de suministro 185

1049 Gestioacuten de los usuarios 185

10410 Identidad y autenticacioacuten 186

10411 Interfaces externas 186

10412 Administracioacuten de los servicios 186

10413 Auditoriacuteas 186

10414 Utilizacioacuten de los servicios 186






109 Privilegios e inmunidades en la nube 188

1091 Medidas legiacutetimas 189

1092 Medidas organizativas 189

1093 Medidas teacutecnicas 190

11 APLICACIONES DE MENSAJERIacuteA MOacuteVIL 193


1111 Las aplicaciones de mensajeriacutea moacutevil en la accioacuten humanitaria 196


1121 Procesamiento de datos personales a traveacutes de las

aplicaciones de mensajeriacutea moacutevil 198

11211 Amenazas potenciales 199

1122 Tipos de datos que recogen y conservan las aplicaciones

de mensajeriacutea 200

1123 Maneras en que otras partes pueden acceder a los datos

que se intercambian en las aplicaciones de mensajeriacutea 202

1124 Funcionalidades de las aplicaciones de mensajeriacutea

relacionadas con la privacidad y la seguridad 205

11241 Anonimato permitido o ausencia del requisito de

verificacioacuten de la identidad 205

11242 No conservacioacuten del contenido de los mensajes 205

11243 Cifrado de extremo a extremo 206

11244 Propiedad de los datos 206

11245 No conservacioacuten o conservacioacuten miacutenima de metadatos 206

11246 Coacutedigo abierto de la aplicacioacuten de mensajeriacutea 206

11247 Examen minucioso por parte de la empresa de las solicitudes

de divulgacioacuten que realizan las fuerzas del orden 207

11248 Intercambio limitado de datos personales con terceros 207

11249 Restriccioacuten de acceso a traveacutes del sistema operativo

del software o de parches de seguridad del dispositivo 207

1125 Procesamiento de datos personales recogidos a traveacutes

de las aplicaciones de mensajeriacutea moacutevil 208



115 Derechosderectificacioacutenydeeliminacioacutendeltitulardelosdatos 210



118 Gestioacutenanaacutelisisyverificacioacutendelosdatos 212

119 Proteccioacuten de datos desde el disentildeo 213


12 IDENTIDAD DIGITAL 215


1211 Autenticacioacutenidentificacioacutenyverificacioacuten

iquestquieacuten es usted y coacutemo puede demostrarlo 218

1212 Identidad digital 219

1213 Disentildeo y gestioacuten del sistema 220

1214 Identidaddigitalenelsectorhumanitariocasosposibles 221

1215 Identidad digital como identidad fundacional 223


123 Proteccioacuten de datos desde el disentildeo y por defecto 225

124 Relacioacuten entre el controlador de datos y el encargado del tratamiento de datos 226

125 Derechos de los titulares de los datos 2261251 Derecho de acceso 2281252 Derechosderectificacioacutenyeliminacioacuten 228

126 Aplicacioacuten de los principios baacutesicos relativos a la proteccioacuten de datos 2291261 Bases legiacutetimas para el tratamiento de datos personales 2291262 Limitacioacuten del propoacutesito y tratamiento ulterior 2301263 Proporcionalidad 2301264 Minimizacioacuten de los datos 2311265 Seguridad de los datos 2311266 Conservacioacuten de los datos 232


13 REDES SOCIALES 235131 Introduccioacuten 236

1311 Redes sociales en el sector humanitario 2361312 Redes sociales y datos 238

13121 iquestQueacute datos se generan en las redes sociales y coacutemo 238

13122 iquestQueacute datos se pueden compartir con terceros 240

13123 iquestQueacute datos pueden obtener las autoridades gubernamentales

y las autoridades encargadas de hacer cumplir la ley 241

132 Evaluaciones de impacto relativas a la proteccioacuten de datos 242133 Cuestioneseacuteticasyotrasdificultades 244134 Relacioacuten entre el controlador de datos y el encargado del

tratamiento de datos 245135 Principios baacutesicos de la proteccioacuten de datos 247

1351 Bases legiacutetimas para el tratamiento de datos personales 2471352 Informacioacuten 2471353 Conservacioacuten de los datos 2481354 Seguridad de los datos 249


14 CADENAS DE BLOQUES 253141 Introduccioacuten 254

1411 iquestQueacute son las cadenas de bloques (blockchain) 2541412 Clases de cadenas de bloques 2571413 Las cadenas de bloques en la praacutectica 2581414 Casos de uso humanitario 260

142 Evaluaciones de impacto relativas a la proteccioacuten de datos 262143 Proteccioacuten de datos desde el disentildeo y por defecto 264144 Relacioacuten entre el controlador de datos y el encargado


145 Principios baacutesicos de la proteccioacuten de datos 2671451 Minimizacioacuten de los datos 2681452 Conservacioacuten de los datos 2681453 Proporcionalidad 2681454 Seguridad de los datos 269

146 Derechos de los titulares de los datos 2701461 Derecho de acceso 2701462 Derechoderectificacioacuten 2711463 Derecho a la eliminacioacuten 2711464 Limitacioacuten de los derechos de los titulares de los datos 272

147 Intercambio internacional de datos 273Anexo Marco para la toma de decisiones respecto del uso de cadenas

de bloques en la accioacuten humanitaria 274

15 CONECTIVIDAD COMO ASISTENCIA 279151 Introduccioacuten 280

1511 Descripcioacuten de intervenciones de conectividad como asistencia 280

1512 Contexto operacional 2811513 Muacuteltiples alianzas y partes interesadas 282

152 Evaluaciones de impacto relativas a la proteccioacuten de datos 284153 Relacioacuten entre el controlador de datos y el encargado

del tratamiento de datos 286154 Principios baacutesicos de la proteccioacuten de datos 287

1541 Bases legiacutetimas para el tratamiento de datos personales 2871542 Seguridad de los datos 2871543 Conservacioacuten de los datos 2891544 Informacioacuten 289


16 LA INTELIGENCIA ARTIFICIAL Y EL APRENDIZAJE AUTOMAacuteTICO 293161 Introduccioacuten 2941611 iquestQueacutesonlainteligenciaartificialyelaprendizajeautomaacutetico 2941612 iquestCoacutemofuncionanlainteligenciaartificialyelaprendizaje

automaacutetico 2951613 Lainteligenciaartificialenelsectorhumanitario 2971614 Dificultadesyriesgosdelempleodelainteligenciaartificial 298

162 Evaluaciones de impacto relativas a la proteccioacuten de datos 300163 Aplicacioacuten de los principios baacutesicos relativos a la proteccioacuten de datos 301

1631 Limitacioacuten del propoacutesito y tratamiento ulterior 3011632 Procesamiento leal y liacutecito 302

16321 Licitud 302

16322 Lealtad v sesgo 304


1633 Minimizacioacuten de los datos 3071634 Conservacioacuten de los datos 3081635 Seguridad de los datos 308

164 Derechos de los titulares de los datos 3101641 Derecho a ser informado 3101642 Derecho a la eliminacioacuten 3101643 Derechos referidos a la toma de decisiones automatizada 311

165 Relacioacuten entre el controlador de datos y el encargado del tratamiento de datos 3121651 Responsabilidad demostrada 3121652 Responsabilidad 313

166 Intercambio internacional de datos 313167 Proteccioacuten de datos desde el disentildeo y por defecto 314168 Problemasydificultadesdenaturalezaeacutetica 316

ANEXO I PLANTILLA DE INFORME DE EIPD 321

ANEXO II PARTICIPANTES DE LOS TALLERES 327

12 MANUAL SOBRE PROTECCIOacuteN DE DATOS EN LA ACCIOacuteN HUMANITARIA

AGRADECIMIENTOSEste manual es una publicacioacuten conjunta del Brussels Privacy Hub el centro de investigaciones acadeacutemicas de la Vrije Universiteit Brussel (Universidad Libre de BruselasoVUB)enBruselasBeacutelgicaylaOficinadeProteccioacutendeDatosdelComiteacuteInternacional de la Cruz Roja (CICR) en Ginebra Suiza

Fue elaborado bajo la direccioacuten conjunta de Christopher Kuner de la VUB y Massimo Marelli del CICR

Elconsejoasesoryelequipoderedaccioacutencontaronconlaparticipacioacutende

bull Christopher Kuner Juacutelia Zomignani Barboza y Lina Jasmontaite de la VUB

bull Massimo Marelli Vincent Graf Narbel Sarah Dwidar Luca Bettoni Pierre Apraxine y Romain Bircher del CICR

bull Catherine Lennman Autoridad de la Proteccioacuten de Datos de Suiza

bull Claire-Agnes Marnier Olivier Matter y Petra Candellier Supervisor Europeo de Proteccioacuten de Datos

bull AlexanderBeckOficinadelAltoComisionadodelasNacionesUnidasparalosRefugiados (ACNUR)

bull Christina Vasala Kokkinaki Organizacioacuten Internacional para las Migraciones (OIM)

bull Lucie Laplante y James De France Federacioacuten Internacional de Sociedades de la Cruz Roja y de la Media Luna Roja

bull StuartCampoOficinadeCoordinacioacutendeAsuntosHumanitariosdelasNacionesUnidas

bull Nathaniel Raymond Universidad de Yale

bull Alexandrine Pirlot de Corbion Ed Geraghty y Gus Hosein Privacy International

bull Marine Revel Asociacioacuten Francoacutefona de Autoridades de Proteccioacuten de Datos Personales

bull Carmela Troncoso Instituto Federal Suizo de Tecnologiacutea de Lausanne

bull Mary Nunn Meacutedicos Sin Fronteras

bull Awa Ndiaye y Anna Thiam Autoridad encargada de la Proteccioacuten de Datos de Senegal

Los autores desean expresar su agradecimiento a ICT Legal Consulting por permitirles utilizar los documentos sobre seguridad en la nube (httpswwwictlegalconsultingcomlang=en) y a Trilateral Research (httptrilateralresearchcom) por autorizarlos a utilizar el material sobre Evaluaciones de impacto relativas a la proteccioacuten de datos

Los capiacutetulos de este manual basados en contribuciones especiacuteficas de terceroscontienen una nota al pie de paacutegina que asiacute lo indica

MANUAL SOBRE PROTECCIOacuteN DE DATOS EN LA ACCIOacuteN HUMANITARIA 13

PROacuteLOGOJean-Philippe Walter comisionado para la Proteccioacuten de Datos Consejo de Europa y miembro de la Comisioacuten Independiente para el Control de la Proteccioacuten de Datos del CICR

Me complace presentar el Manual sobre proteccioacuten de datos en la accioacuten humanitaria que es el producto de una muy fructiacutefera colaboracioacuten entre el Comiteacute Internacional de la Cruz Roja (CICR) y el Brussels Privacy Hub (BPH)

La proteccioacuten de datos personales reviste una importancia fundamental para las organizaciones humanitarias dado que es una parte integral de la proteccioacuten de la vidalaintegridadyladignidaddesusbeneficiarios

En 2015 la XXXVII Conferencia Internacional de Autoridades de Proteccioacuten de Datos y Privacidad aproboacute la Resolucioacuten sobre Privacidad y Accioacuten Internacional Humanitaria Uno de los objetivos de la resolucioacuten era satisfacer la demanda de cooperacioacuten expresada por los actores humanitarios con el propoacutesito de establecer directrices para la proteccioacuten de datos Se organizoacute un grupo de trabajo que participoacute en el proyecto sobre proteccioacuten de datos en la accioacuten humanitaria encabezado conjuntamente por el BPH y el CICR cuyos objetivos eran estudiar la relacioacuten entre la legislacioacuten sobre proteccioacuten de datos y la accioacuten humanitaria comprender las repercusiones de las nuevastecnologiacuteassobreproteccioacutendedatosenelsectorhumanitarioydefinirlasdirectrices adecuadas

El proyecto reunioacute a organizaciones humanitarias autoridades de proteccioacuten de datos y expertos en tecnologiacutea en una serie de talleres que trataron temas diversos como el anaacutelisis de datos los drones la biometriacutea los programas de transferencia de efectivo los servicios en la nube y las aplicaciones de mensajeriacutea todos los cuales revisten cada vez maacutes importancia en el sector humanitario

Uno de los frutos de ese proyecto es este manual que seraacute una herramienta de utilidad para sensibilizar a las organizaciones humanitarias y ayudarlas a respetar las normas relativas a la proteccioacuten de datos personales Este documento aborda asimismo la necesidaddecontarcondirectricesespeciacuteficasparalainterpretacioacutendelosprincipiossobre la proteccioacuten de datos aplicables a la accioacuten humanitaria en particular cuando se emplean nuevas tecnologiacuteas Estoy convencido de que este manual seraacute un instrumento valioso tanto para los actores humanitarios como para las autoridades de la proteccioacuten de datos y las empresas privadas Aquiacute se demuestra claramente que la legislacioacuten sobre proteccioacuten de datos no prohiacutebe la recopilacioacuten y el intercambio de datos personales sino queestableceunmarcoenelquelosdatospersonalespuedenutilizarsecontotalconfianzasabiendo que se respetaraacute el derecho de los individuos a mantener su privacidad

Jean-Philippe Walter es excomisionado federal adjunto de Proteccioacuten de Datos e Informacioacuten de Suiza y fue ademaacutes presidente de la Asociacioacuten Francoacutefona de Autoridades de Proteccioacuten de Datos Personales y coordinador del grupo de trabajo sobre la Resolucioacuten sobre Privacidad y Accioacuten Internacional Humanitaria de la Conferencia Internacional de Autoridades de Proteccioacuten de Datos y Privacidad (actualmente denominada Asamblea Global de Privacidad)


GLOSARIO DE TEacuteRMINOS DEFINIDOS Y ABREVIADOS

Accioacuten humanitariaactividademprendidademaneraimparcialquetienecomofinrealizar operaciones de asistencia socorro y proteccioacuten en respuesta a situaciones de emergencia humanitaria La accioacuten humanitaria puede comprender la ldquoasistencia humanitariardquo la ldquoayuda humanitariardquo y la ldquoproteccioacutenrdquo

Anaacutelisis de datos praacutectica que consiste en combinar grandes voluacutemenes de informacioacuten proveniente de diversas fuentes (macrodatos) y analizarla mediante algoritmoscomplejosparajustificarlasdecisiones

Anonimizacioacuten teacutecnicas que pueden utilizarse para garantizar que los conjuntos de datos que contengan datos personales sean total e irreversiblemente anoacutenimos demaneratalquenoseaposiblerelacionarlosconunapersonafiacutesicaidentificadaoidentificableoqueyanoseaposibleidentificaraltitulardelosdatos

Aprendizaje automaacuteticounaformaespeciacuteficadeinteligenciaartificialquepuededefinirsecomoelestudiodealgoritmosquemejoransudesempentildeoalcompletaruna determinada tarea con experiencia en forma de datos legibles por maacutequina

APSacuerdodeprestacioacutendeserviciosCompromisooficialentreunprestadordeserviciosyunclienteenparticularparaacordarlaprestacioacutendeserviciosfiablesde telecomunicaciones e internet

Biometriacutea (o reconocimiento biomeacutetrico) reconocimiento automaacutetico de personas en funcioacuten de sus comportamientos y sus caracteriacutesticas bioloacutegicas

Cadenas de bloques (blockchain) ldquoen esencia una base de datos descentralizada de solo adicioacutenrdquo mantenida mediante un algoritmo de consenso y almacenada en muacuteltiples nodos (computadoras)rdquo1

CERT (Computer Emergency Response Team) equipos de respuesta a emergencias informaacuteticas

CISO ndash Chief Information Security Officer responsable de seguridad informaacutetica

ldquoConozca a su clienterdquo (Know Your Customer KYC) proceso que permite a lasempresasverificarlaidentidaddesusclientesafindecumplirconlanormativayla legislacioacuten sobre lavado de dinero y corrupcioacuten2

Consentimiento todamanifestacioacutendevoluntad libreespeciacuteficae informadamediante la que el titular de los datos consiente el tratamiento de los datos personales que le conciernen

1 Finck Blockchains and Data Protection in the European Union 4(1) European Data Protection LawReview(2018)paacuteg17httpsdoiorg1021552edpl201816

2 PWC Know Your Customer Quick Reference Guide httpwwwpwccoukfraud-academyinsightsanti-money-laundering-know-your-customer-quick-refhtml

GLOSARIO DE TeacuteRMINOS DEFINIDOS y ABREvIADOS 15

Controlador de datos persona u organizacioacuten que sola o en conjunto con otras establecelosfinesylosmediosparaeltratamientodedatospersonales

CSIRT (Computer Security Incident Response Team) equipos de respuesta a incidentes de seguridad informaacutetica

CSO (Chief Security Officer)oficialjefedeseguridad

CTO (Chief Technical Officer) jefe teacutecnico

Datos personales toda informacioacutenrelativaaunapersona fiacutesica identificadaoidentificable

Datos relativos a la salud datos relacionados con la salud fiacutesica o mental de una persona y que revelan informacioacuten sobre su estado de salud

Datos sensibles datos personales que de ser divulgados podriacutean generar una situacioacuten de discriminacioacuten o de represioacuten contra la persona de que se trata En general suelen considerarse datos sensibles los relativos al estado de salud la raza o el origen eacutetnico la pertenencia a una religioacuten partido poliacutetico o grupo armado o bien los datos geneacuteticos y biomeacutetricos Todos los datos sensibles requieren una proteccioacuten reforzada aun cuando los distintos tipos de datos comprendidos en esta categoriacutea (por ejemplo diferentes tipos de datos biomeacutetricos) no posean el mismo grado de sensibilidad Dadas las situaciones concretas en las que las organizaciones humanitarias desempentildean su labor y la posibilidad de que ciertos datos pudieran dar lugar a hechos de discriminacioacuten no resulta pertinente establecer una lista definitiva de categoriacuteas de datos sensibles en la accioacuten humanitaria Tanto lasensibilidad de los datos como las garantiacuteas correspondientes (por ejemplo medidas de seguridad organizativas y teacutecnicas) deben considerarse caso por caso

DPO (Data Protection Officer)enelcontextodeestemanualoficinadeproteccioacutende datos o funcionario encargado de la proteccioacuten de datos en una organizacioacuten humanitaria

Drones pequentildeos aparatos aeacutereos o no aeacutereos que funcionan de manera autoacutenoma o a control remoto Tambieacuten se conocen como vehiacuteculos aeacutereos no tripulados (VANT)

o sistemas aeacutereos no tripulados (SANT)

Emergencia humanitaria situacioacuten o conjunto de situaciones (generalmente araiacutezdeconflictosarmadosocataacutestrofesnaturales)queplanteanunaamenazasignificativapara lasalud laseguridadoelbienestardeunacomunidaduotrogrupo numeroso de personas por lo general en una zona de grandes dimensiones

Encargado del tratamiento de datos persona u organizacioacuten que trata datos personales en nombre de un controlador de datos

Evaluacioacuten de impacto relativa a la proteccioacuten de datos (EIPD) anaacutelisis para identificarevaluaryabordarlosriesgosparalosdatospersonalesquesurgendeunproyecto una poliacutetica un programa u otra iniciativa

IaaS (Infrastructure as a Service) infraestructura como servicio


Identidad digital ldquoun conjunto de atributos de identidad capturados y almacenados en formato electroacutenico que describen a una persona de manera uacutenica en un contexto dado y que se utilizan para transacciones electroacutenicasrdquo3

Inteligencia artificial ldquo[un] conjunto de ciencias teoriacuteas y teacutecnicas cuyo propoacutesito es reproducir mediante una maacutequina las capacidades cognitivas de un ser humanordquo4 En su forma actual procura permitir que los desarrolladores de tecnologiacutea ldquole confiacuteen a una maacutequina tareas complejas que antes se delegaban en un ser humanordquo5

Intercambio internacional de datos todo acto que consiste en transferir o facilitar datos personales fuera del paiacutes o de la organizacioacuten internacional donde fueron inicialmente recopilados o tratados sea a una unidad diferente dentro de la misma organizacioacuten humanitaria o bien a un tercero utilizando medios electroacutenicos internet u otra viacutea

Organizacioacuten humanitaria organizacioacuten que tiene como objetivo prestar asistencia para aliviar el sufrimiento humano o proteger la vida y la salud de las personas asiacute como respetar la dignidad humana en situaciones de emergencia humanitaria de conformidad con su cometido o misioacuten

Organizacioacuten internacional organizacioacuten que junto con sus oacuterganos subordinados se rigen por el derecho internacional puacuteblico o bien cualquier otro organismo creado a partir de un acuerdo entre dos paiacuteses o maacutes o sobre la base de eacutel

PaaS (Platform as a Service) plataforma como servicio

Persona buscada persona dada por desaparecida para la cual se ha iniciado una operacioacuten de buacutesqueda

Programa de transferencia de efectivo asistencia en efectivo asistencia en vales intervenciones de asistencia en efectivo y asistencia en efectivo son expresiones que se utilizan en el sector humanitario para describir la entrega de ayuda humanitaria en forma de vales o de efectivo

SaaS (Software as a Service) software como servicio

3 GSMA World Bank Group amp Security Identity Alliance Digital Identity Towards Shared Principles for Public and Private Sector Cooperation 2016 paacuteg11httpswwwgsmacommobilefordevelopmentresourcesdigital-identity-towards-shared-principles-public-private-sector-cooperation

4 Consejo de Europa (CoE) Glossary on Artificial Intelligence httpswwwcoeintenwebartificial-intelligenceglossary

5 CoE Glossary on Artificial Intelligence


Servicios en la nube ldquoun modelo tecnoloacutegico que permite el acceso ubicuo adaptado y a demanda a traveacutes de la red a un conjunto de recursos de computacioacuten configurables y compartidos (por ejemplo redes servidores dispositivos de almacenamiento aplicaciones y servicios) que pueden ser raacutepidamente suministrados y ofrecidos al usuario con un esfuerzo de gestioacuten reducido y una interaccioacuten miacutenima con el proveedor del serviciordquo6

Seudonimizacioacuten (diferente de la anonimizacioacuten) tratamiento de datos personales demanera talqueesosdatosyanopuedanatribuirseaunapersonaespeciacuteficasin utilizar informacioacuten adicional siempre que esa informacioacuten adicional sea conservada aparte y se le apliquen medidas teacutecnicas y organizativas para garantizar que losdatospersonalesno seanatribuidosaunapersona fiacutesica identificadaoidentificable

Subencargado de tratamiento de datos persona u organizacioacuten a la que el encargado del tratamiento de datos encarga el tratamiento de datos personales en su nombre

Terceros (o terceras partes) persona fiacutesica o legiacutetima autoridad puacuteblica servicio o cualquier otro organismo que no sea el titular de los datos el controlador de datos o el encargado del tratamiento de datos

Titular de los datospersonafiacutesica(esdecirunindividuo)quesepuedeidentificardirecta o indirectamente en particular al hacer referencia a sus datos personales

TLS (Transport Layer Security) seguridad de la capa de transporte Protocolo que cifralosmensajesafindegarantizarlaprivacidadylaintegridaddelosdatosentreun cliente y un servidor en una conexioacuten de internet

Tratamiento toda operacioacuten o conjunto de operaciones que se hagan con datos personales o conjuntos de datos personales tanto si se hacen con medios automatizados o no como su obtencioacuten registro organizacioacuten estructuracioacuten almacenamiento adaptacioacuten o alteracioacuten recuperacioacuten consulta uso divulgacioacuten por transmisioacuten difusioacuten del tipo que sea alineacioacuten combinacioacuten o eliminacioacuten

Tratamiento ulterior tratamiento adicional de datos personales que va maacutes allaacute de losfinesinicialmenteestablecidosalmomentoderecopilaresosdatos

Violacioacuten de los datosmodificacionescopiasymanipulacionesnoautorizadasdestrucciones ilegales peacuterdidas accidentales y divulgaciones o transferencias indebidas de datos personales

6 US NIST SP 800-145 The NIST Definition of Cloud Computingseptiembrede2011 httpnvlpubsnistgovnistpubsLegacySPnistspecialpublication800-145pdf

ANAacuteLISIS DE DATOS

SERVICIOS EN LA NUBE

PROGRAMAS DE TRANSFERENCIADE EFECTIVO

IDENTIDAD DIGITAL

APLICACIONES DE MENSAJERIacuteA

BIOMETRIacuteA

CADENAS DE BLOQUES (BLOCKCHAIN)

INTELIGENCIA ARTIFICIAL

REDES SOCIALES

DRONES

CONECTIVIDAD COMO ASISTENCIA

APROBAR

INSUMOS DEL CICR

DISPONIBLES

FOUND HIM




IDENTIDAD DIGITAL


BIOMETRIacuteA



REDES SOCIALES

DRONES


CAPIacuteTULO 1

INTRODUCCIOacuteN

22 PARTE 1 - CONSIDERACIONES GENERALES

11 CONTEXTOLa proteccioacuten de los datos personales es fundamental para proteger la vida la integridad y la dignidad de las personas por lo que tiene vital importancia para las organizaciones humanitarias

Las sugerencias que se formulan en este manual sobre la forma en que las organizaciones humanitarias deberiacutean aplicar los principios relativos a la proteccioacuten de datos se basan en directrices existentes procedimientos de trabajo y praacutecticas establecidos en el marco de la accioacuten humanitaria en los entornos maacutes inestables y enbeneficiodelasviacutectimasmaacutesvulnerablesdeconflictosarmadosotrassituacionesde violencia cataacutestrofes naturales pandemias y otras emergencias humanitarias (en conjunto denominadas ldquosituaciones de emergencia humanitariasrdquo) Algunas de las directrices los procedimientos y las praacutecticas que se mencionan son anteriores al surgimiento y al desarrollo de la legislacioacuten sobre proteccioacuten de datos pero todos se basan en el principio de la dignidad humana y en el mismo concepto de proteccioacuten que sustenta la legislacioacuten que rige la proteccioacuten de los datos Estas directrices se describen principalmente en la Normativa profesional relativa a la labor de proteccioacuten7

7 CICR Normativa profesional relativa a la labor de proteccioacuten llevada a cabo por los agentes humanitarios y los defensores de los derechos humanos en los conflictos armados y otras situaciones de violenciasegundaedicioacutenGinebra2013httpswwwicrcorgspaassetsfiles2011p0999-spapdf (todas las referencias de internet fueron consultadas en marzo de 2020)

Unmotociclistapasadelantedeedificiosdestruidosporlaguerraenlaciudadde Al Bab Siria marzo de 2017

K A

shaw

iREU

TERS


En los uacuteltimos antildeos el desarrollo de nuevas tecnologiacuteas que facilitan y aceleran el tratamiento del creciente volumen de datos personales en un mundo interconectado ha generado preocupacioacuten acerca de la posible intromisioacuten en la esfera privada de los individuos Actualmente se hacen esfuerzos en materia normativa a nivel mundial para atender estas preocupaciones

Este manual ha sido publicado en el marco del proyecto sobre proteccioacuten de datos en la accioacuten humanitaria organizado conjuntamente por el Brussels Privacy Hub centro de investigaciones acadeacutemicas de la Vrije Universiteit Brussel (Universidad Libre de BruselasoVUB)enBruselasBeacutelgicaylaOficinadeProteccioacutendeDatosdelComiteacuteInternacional de la Cruz Roja (CICR) en Ginebra Suiza Su contenido fue elaborado a partir de una serie de talleres organizados en Bruselas y en Ginebra entre 2015 y 2016 con representantes de organizaciones humanitarias (y personal humanitario) autoridades de la proteccioacuten de datos acadeacutemicos organizaciones no gubernamentales investigadores y otros especialistas que se reunieron para abordar cuestiones de intereacutes comuacuten relativas a la aplicacioacuten de la proteccioacuten de datos en la accioacuten humanitaria sobre todo en el contexto de las nuevas tecnologiacuteas La lista de participantes de los talleresfiguraenelanexoII

12 OBJETIVOEste manual se propone profundizar los debates iniciados por la Resolucioacuten sobre privacidad y accioacuten internacional humanitaria aprobada en 2015 por la Conferencia Internacional de Autoridades de Proteccioacuten de Datos y Privacidad8 celebrada en Aacutemsterdam No tiene como objetivo sustituir el cumplimiento de las normas legiacutetimas aplicables ni de los reglamentos las poliacuteticas y los procedimientos en materia de proteccioacuten de datos que una organizacioacuten pueda haber adoptado En cambio procura sensibilizar a las organizaciones humanitarias y ayudarlas a respetar las normas relativas a la proteccioacuten de datos personales en el marco de sus actividades humanitariasproporcionaacutendolesorientacioacutenespeciacuteficasobrelainterpretacioacutendelosprincipios relativos a la proteccioacuten de datos en el contexto de la accioacuten humanitaria en particular cuando se emplean nuevas tecnologiacuteas

Este manual ha sido disentildeado para facilitar la integracioacuten de los principios y los derechos relativos a la proteccioacuten de datos en el entorno humanitario Sin embargo no reemplaza la legislacioacuten nacional en materia de proteccioacuten de datos aplicable a una organizacioacuten humanitaria que no goza de los privilegios y las inmunidades que suelen asociarse con una organizacioacuten internacional ni proporciona asesoramiento sobre su aplicacioacuten

8 Conferencia Internacional de Autoridades de Proteccioacuten de Datos y Privacidad Resolucioacuten sobre privacidad y accioacuten internacional humanitaria AacutemsterdamPaiacutesesBajos2015httpsedpseuropaeusitesedpfilespublication15-10-27_resolution_privacy_humanitarian_action_enpdf


Para respetar las normas relativas a la proteccioacuten de datos personales es preciso tener encuentaelalcanceyelpropoacutesitoespeciacuteficosdelasactividadeshumanitariasqueconsisten en atender las necesidades elementales y urgentes de las personas vulnerables La proteccioacuten de datos y la accioacuten humanitaria deben considerarse esferas compatibles y complementarias que se apoyan mutuamente Por lo tanto la proteccioacuten de datos no debe contemplarse como un impedimento para el trabajo de las organizaciones humanitarias sino que por el contrario debe estar al servicio de esa labor De igual modo los principios relativos a la proteccioacuten de datos nunca deben interpretarse como un obstaacuteculo para la labor humanitaria esencial sino que siempre deben ser una maneradepromoverelfinuacuteltimodelaaccioacutenhumanitariaesdecirpreservarlavidala integridad y la dignidad de las viacutectimas de situaciones de emergencia humanitaria

Las recomendaciones y las directrices que se formulan en este manual se basan en algunos de los instrumentos internacionales maacutes importantes en materia de proteccioacuten dedatosenparticular

bull Resolucioacuten 4595 de la Asamblea General de las Naciones Unidas del 14 de diciembre de 19909 mediante la cual se aprobaron los Principios rectores sobre la

reglamentacioacuten de los ficheros computadorizados de datos personales10 que contiene unaclaacuteusulahumanitariaenlaqueseinstaatenerparticularcuidadoyflexibilidadal aplicar los principios relativos a la proteccioacuten de datos en el sector humanitario

bull los Principios de la ONU sobre proteccioacuten de datos personales y privacidad aprobados por el Comiteacute de Alto Nivel sobre Gestioacuten del sistema de las Naciones Unidas (HLCM) en su 36o reunioacuten celebrada el 11 de octubre de 201811

bull Estaacutendares Internacionales sobre Proteccioacuten de Datos Personales y Privacidad (Resolucioacuten de Madrid) aprobados por la Conferencia Internacional de Autoridades de Proteccioacuten de Datos y Privacidad celebrada en Madrid en 200912

bull Marco de la OCDE para la proteccioacuten de la privacidad (2013)13

9 Resolucioacuten 4595 de la Asamblea General de las Naciones Unidas del 14 de diciembre de 1990 ARES4595 14 de diciembre de 1990

10 Asamblea General de las Naciones Unidas Principios rectores sobre la reglamentacioacuten de losficheroscomputadorizadosdedatospersonales14dediciembrede1990 httpwwwrefworldorgdocid3ddcafaachtml

11 Comiteacute de Alto Nivel sobre Gestioacuten del sistema de las Naciones Unidas (HLCM) UN Principles on Personal Data Protection and Privacy18dediciembrede2018 httpsarchivesunorgsitesarchivesunorgfiles_un-principles-on-personal-data-protection-privacy-hlcm-2018pdf

12 Conferencia Internacional de Autoridades de Proteccioacuten de Datos y Privacidad Estaacutendares Internacionales sobre Proteccioacuten de Datos Personales y Privacidad httpglobalprivacyassemblyorgwp-contentuploads201502The-Madrid-Resolutionpdfmc_phishing_protection_id=28047-br1tehqdu81eaoar3q10

13 The OECD Privacy Framework httpswwwoecdorginternetieconomyprivacy-guidelineshtm


bull Convenio del Consejo de Europa para la proteccioacuten de las personas con respecto al tratamiento automatizado de datos de caraacutecter personal (Convenio 108)14 incluido el Protocolo STCE no223quemodificaelConvenio(actualmenteconocidocomoConvenio 108+)15

Asimismosehantenidoencuentaotrasnormasimportantesenparticular

bull losrecientesavancesnormativosenlamedidaenquereflejanlaevolucioacutendelos conceptos y los principios relativos a la proteccioacuten de datos en vista de su aplicacioacutenalolargodelosantildeosylasdificultadesgeneradasapartirdelasnuevastecnologiacuteas (como la actualizacioacuten del Convenio 108 asiacute como el Reglamento general de proteccioacuten de datos (RGPD) 2016679 de la Unioacuten Europea)16

bull la Resolucioacuten sobre proteccioacuten de datos y desastres naturales importantes17 adoptada en 2011 por la Conferencia Internacional de Autoridades de Proteccioacuten de Datos y Privacidad en Ciudad de Meacutexico

bull la Resolucioacuten sobre privacidad y accioacuten internacional humanitaria aprobada en 2015 por la Conferencia Internacional de Autoridades de Proteccioacuten de Datos y Privacidad celebrada en Aacutemsterdam18

bull Normas sobre proteccioacuten de datos del CICR (2015)19

bull la Normativa profesional relativa a la labor de proteccioacuten del CICR (2013)20

14 El Convenio del Consejo de Europa para la proteccioacuten de las personas con respecto al tratamientoautomatizadodedatosdecaraacutecterpersonalseabrioacutealafirmael28deenerode1981yentroacuteenvigorel1deoctubrede1985STE108httpswwwcoeintenwebconventionsfull-list-conventionstreaty108

15 El Convenio del Consejo de Europa para la proteccioacuten de las personas con respecto al tratamientoautomatizadodedatosdecaraacutecterpersonaqueseabrioacutealafirmael10deoctubrede2018STCE223httpsrmcoeint16808ac918

16 Reglamento (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al tratamiento de datos personales y a la libre circulacioacuten de estos datos y por el que se deroga la Directiva 9546CE (Reglamento general de proteccioacuten de datos de la Unioacuten Europea) [2016] DO L 1191

17 Conferencia Internacional de Autoridades de Proteccioacuten de Datos y Privacidad Resolucioacuten sobreproteccioacutendedatosydesastresnaturalesimportanteshttpglobalprivacyassemblyorgwp-contentuploads201502Resolution-on-Data-Protection-and-Major-Natural-Disasterspdfmc_phishing_protection_id=28047-br1tehqdu81eaoar3q10

18 Conferencia Internacional de Autoridades de Proteccioacuten de Datos y Privacidad Resolucioacuten sobre privacidad y accioacuten internacional humanitaria AacutemsterdamPaiacutesesBajos2015httpglobalprivacyassemblyorgwp-contentuploads201502Resolution-on-Privacy-and-International-Humanitarian-Actionpdfmc_phishing_protection_id=28047-br1tehqdu81eaoar3q10

19 Normas del CICR en materia de proteccioacuten de datos personales httpswwwicrcorgendocumentdata-protection

20 CICR Normativa profesional relativa a la labor de proteccioacuten llevada a cabo por los agentes humanitarios y los defensores de los derechos humanos en los conflictos armados y otras situaciones de violencia segundaedicioacutenGinebra2013httpswwwicrcorgspaassetsfiles2011p0999-spapdf


bull las Poliacuteticas sobre la proteccioacuten de datos personales de las personas de intereacutes del ACNUR (2015)21

bull el Manual de proteccioacuten de datos de la OIM (2010)22

Este manual ofrece las normas miacutenimas recomendadas para el tratamiento de datos personales Las organizaciones humanitarias pueden establecer requisitos maacutes rigurosos en materia de proteccioacuten de datos si lo consideran oportuno o si estaacuten sujetas a leyes maacutes estrictas a nivel nacional o regional

Paracomenzarcabedestacaralgunascuestionesimportantes

bull Mientras que el derecho al respeto de la vida privada es un derecho humano reconocido a nivel mundial desde hace mucho tiempo23 el derecho a la proteccioacuten de los datos personales es un derecho humano bastante reciente que estaacute estrechamente relacionado con el derecho al respeto de la vida privada y que establece las condiciones para el tratamiento de datos relativos a una persona identificadaoidentificableEnlosuacuteltimosantildeossehanaprobadomaacutesdecienleyesynormasespeciacuteficasrelativasalaproteccioacutendedatosanivelregionaly nacional24 y el derecho fundamental a la proteccioacuten de datos personales es cada vez maacutes reconocido en todo el mundo Por consiguiente aun cuando dados los privilegios y las inmunidades otorgados a determinadas organizaciones humanitarias la aplicacioacuten de normas relativas a la proteccioacuten de datos personales no sea una obligacioacuten legiacutetima siacute deberiacutea constituir una prioridad para todas estas organizaciones puesto que el principal objetivo de sus actividades es trabajar por la seguridad y la dignidad de las personas

bull Algunas organizaciones humanitarias son organizaciones internacionales que gozan de privilegios e inmunidades y no estaacuten sujetas a la legislacioacuten nacional No obstante el respeto de la vida privada y de las normas relativas a la proteccioacuten de datos es en muchos casos un requisito indispensable para que puedan recibir datos personales de otras entidades

21 Alto Comisionado de las Naciones Unidas para los Refugiados (ACNUR) Poliacuteticas sobre la proteccioacuten de datos personales de las personas de intereacutes del ACNUR (mayo de2015)httpwwwrefworldorgcgi-bintexisvtxrwmainopendocpdfpdfreldoc=yampdocid=58aadc2b4

22 Organizacioacuten Internacional para las Migraciones (OIM) Data Protection Manual(2010)httpspublicationsiomintbooksiom-data-protection-manual

23 V el artiacuteculo 12 de la Declaracioacuten Universal de Derechos Humanos y el artiacuteculo 17 del Pacto Internacional de Derechos Civiles y Poliacuteticos

24 V Conferencia de las Naciones Unidas sobre Comercio y Desarrollo (UNCTAD) Normativa de proteccioacuten de datos y flujos internacionales de datos implicaciones para el comercio y el desarrollo(2016)httpunctadorgenpagesPublicationWebflyeraspxpublicationid=1468


bull Las circunstancias de emergencia excepcionales en las que trabajan las organizaciones humanitarias crean problemaacuteticas particulares en lo que respecta a laproteccioacutendedatosPorlotantohadetenerseparticularcuidadoyflexibilidadal aplicar los principios relativos a la proteccioacuten de datos en el sector humanitario Estanecesidadsereflejatambieacutenenmuchosdelosinstrumentosynormasinternacionales mencionados anteriormente que preveacuten reglas maacutes estrictas para el tratamiento de datos sensibles25

bull La ausencia de un enfoque homogeacuteneo en la legislacioacuten sobre proteccioacuten de datos respecto de los datos personales de personas fallecidas implica que las organizaciones humanitarias deben adoptar sus propias poliacuteticas sobre el tema (por ejemplo aplicar a las personas fallecidas las normas relativas a la proteccioacuten de datos en la medida que sea oportuno) En el caso de las organizaciones que no gozan de inmunidad de jurisdiccioacuten esta cuestioacuten puede estar regulada por el derecho aplicable

bull Este manual se centra en la proteccioacuten de datos personales y en la aplicacioacuten deesteaacutembitodelderechoenlaaccioacutenhumanitariaNoobstanteenconflictosarmados y en otras situaciones de violencia muchas de las amenazas no son individuales sino colectivas es decir que una aldea una comunidad o un grupo especiacuteficodehombresymujerespuedenestarexpuestosalasmismasamenazasPor lo tanto hacer hincapieacute uacutenicamente en la gestioacuten adecuada de los datos personalespodriacuteaserinsuficienteEnalgunoscasoseltratamientodedatosnopersonalespodriacuteaplantearamenazasespeciacuteficasanivelcolectivoEnestesentido varias iniciativas emprendidas en el sector humanitario se enfocan en las consecuencias del tratamiento de datos para las comunidades de manera maacutes generalyhacenreferenciaporejemploalainformacioacutendemograacuteficamenteidentificable26oalainformacioacutencomunitariamenteidentificable27

bull Las organizaciones humanitarias procesan los datos personales de diferentes categoriacuteas de personas en situacioacuten de emergencia humanitaria como los datos de losbeneficiariosylosinterlocutoresqueparticipanensusactividadesasiacutecomolos datos del personal de los prestadores de bienes y servicios o incluso de los donantes Si bien este manual se centra particularmente en el tratamiento de losdatospersonalesdelosbeneficiariosseaplicanconsideracionessimilaresala gestioacuten de los datos personales de otras categoriacuteas de personas

25 V Seccioacuten 22 Conceptos baacutesicos de la proteccioacuten de datos26 V The Signal Code ndash A Human Rights Approach to Information During Crisis

httpssignalcodeorg27 VHumanitarianDataExchangeInitiativehttpsdatahumdataorgaboutterms


13 ESTRUCTURA Y ENFOQUELa primera parte de este manual se aplica a todos los tipos de tratamiento de datos personalesengeneralLasegundaparteabordamaacutesespeciacuteficamentedeterminadostipos de tecnologiacuteas y situaciones relacionadas con el tratamiento de datos y analiza con mayor profundidad determinadas cuestiones en materia de proteccioacuten de datos Al leersobreloscontextosespeciacuteficosquesedescribenenlasegundapartesiemprehadetenerseencuentaelcontenidodelaprimeraparteLasdefinicionessonlasqueseincluyen en el Glosario incluido al principio de este documento

14 PUacuteBLICO DESTINATARIOEste manual estaacute dirigido al personal de las organizaciones humanitarias que participan en el tratamiento de datos personales para las operaciones humanitarias que lleva adelante cada organizacioacuten en particular los encargados de asesorar sobre las normas relativas a la proteccioacuten de datos y su aplicacioacuten Asimismo puede ser de utilidad para otras partes que participan en la accioacuten humanitaria o en la proteccioacuten de datos como las autoridades de la proteccioacuten de datos las empresas privadas y otros actores que participan en estas actividades

CAPIacuteTULO 2

PRINCIPIOS BAacuteSICOS RELATIVOS A LA PROTECCIOacuteN DE DATOS


21 INTRODUCCIOacuteNLas organizaciones humanitarias recogen y procesan los datos personales de personas afectadas por situaciones de emergencia humanitaria a fin de llevar adelanteactividades de caraacutecter humanitario Estas organizaciones trabajan principalmente en emergencias humanitarias donde la ley no siempre mantiene su plena vigencia En esos contextos el acceso a la justicia y el respeto del marco internacional de los derechos humanos podriacutea ser limitado o incluso nulo Asimismo es probable que la legislacioacuten sobre proteccioacuten de datos sea incipiente no exista o no se aplique plenamente

El derecho de una persona a la proteccioacuten de sus datos personales no es un derecho absoluto Debe considerarse en relacioacuten con el objetivo general de proteger la dignidad humana y debe ponderarse frente a otros derechos y libertades fundamentales conforme al principio de proporcionalidad28

Dado que las actividades de las organizaciones humanitarias se realizan principalmente en contextos de emergencias humanitarias estas organizaciones trabajan en situaciones dondelaproteccioacutendelosdatospersonalesdelosbeneficiariosydelpersonalsuele

28 El principio de proporcionalidad no debe confundirse en este contexto con el principio de proporcionalidad establecido en el derecho internacional humanitario (DIH) El principio de proporcionalidad que se analiza aquiacute exige que las organizaciones humanitarias adopten medidas lo menos invasivas posible cuando limiten el derecho a la proteccioacuten dedatosyalaccesoalosdatospersonalesafindecumplirsucometidoysulaborensituaciones de emergencia

Walungu provincia de Kivu Sur Repuacuteblica Democraacutetica del Congo El CICR entrega alimentos para 1750 familias de desplazados y residentes en diciembre de 2016

J S

chne

ider

CIC

R

2 PRINCIPIOS BaacuteSICOS RELATIvOS A LA PROTECCIOacuteN DE DATOS 33

ser necesaria para preservar su seguridad su vida y su trabajo Por consiguiente la proteccioacuten de datos personales y la accioacuten humanitaria son complementarias y se refuerzan entre siacute Sin embargo tambieacuten pueden surgir algunas fricciones al intentar encontrar un punto intermedio entre ciertos derechos y libertades (por ejemplo entre la libertad de expresioacuten y de informacioacuten y el derecho a la proteccioacuten de datos o entre el derecho a la libertad y a la seguridad de una persona y el derecho a la proteccioacuten de datos) El marco de los derechos humanos procura garantizar el respeto de todos los derechos humanos y las libertades fundamentales estableciendo un equilibrio entre derechos y libertades seguacuten cada caso Este enfoque a menudo requiere una interpretacioacuten teleoloacutegica de los derechos29 es decir una perspectiva que deacute prioridad alascausasfinalesqueellospersiguen

EJEMPLOLa legislacioacuten relativa a la proteccioacuten de datos exige que se brinde a las personas toda la informacioacuten baacutesica relacionada con el tratamiento de sus datos personales Sin embargo en situaciones de emergencia humanitaria es preciso sopesar este derecho frente a otros en particular los derechos de las personas afectadas en su conjunto Por ende ya no seriacutea necesario informar a todas las personas sobre las condiciones de la recopilacioacuten de datos antes de que ellas reciban asistencia si esto entorpeciera demorara o impidiera gravemente la distribucioacuten de ayuda En cambio las organizaciones humanitarias podriacutean brindar esa informacioacuten de manera menos selectiva e individualizada mediante comunicados puacuteblicos o bien en forma individual en una instancia posterior

Algunas organizaciones humanitarias que tienen un cometido asignado por el derecho internacional deben seguir procedimientos de trabajos especiacuteficos para estar encondiciones de cumplir plenamente ese cometido En virtud del derecho internacional esos cometidos pueden justificar la suspensioacuten de los principios y los derechosreconocidos en materia de tratamiento de datos personales

Por ejemplo podriacutea ser necesario encontrar un equilibrio entre por un lado los derechos relativos a la proteccioacuten de datos y por el otro el objetivo de cumplir la responsabilidad histoacuterica y humanitaria de las partes interesadas durante una emergencia humanitaria En efecto es probable que en situaciones de emergencia humanitaria las organizaciones humanitarias sean las uacutenicas entidades externas presentes y que representen la uacutenica posibilidad para las generaciones futuras de tener un relato externo de la historia y de dar voz a las viacutectimas30 Asimismo los datos de las

29 Conforme a la claacuteusula humanitaria establecida en los Principios rectores sobre la reglamentacioacutendelosficheroscomputadorizadosdedatospersonalesaprobadosmediantelaresolucioacuten 4595 de la Asamblea General de las Naciones Unidas el 14 de diciembre de 1990

30 V los archivos del CICR relativos a los prisioneros de la Primera Guerra Mundial registrados en el Programa Memoria del Mundo de la UNESCO15denoviembrede2007httpswwwicrcorgengresourcesdocumentsfeature2007ww1-feature-151107htm


organizaciones humanitarias tambieacuten podriacutean ser necesarios para prestar apoyo a las viacutectimasdeconflictosarmadosyotrassituacionesdeviolenciaoasusdescendientespor ejemplo para documentar su identidad y condicioacuten legiacutetima o para que puedan presentar solicitudes de reparacioacuten La conservacioacuten de los datos por parte de las organizaciones humanitarias puede tener una importancia primordial sobre todo porque en situaciones de emergencia humanitaria es probable que otros tipos de registros sean escasos o directamente inexistentes

La confidencialidad tambieacuten puede resultar esencial para algunas organizacioneshumanitarias dado que podriacutea ser un requisito indispensable para mantener la viabilidaddelaaccioacutenhumanitariaenentornosinestablesafindelograrsuaceptacioacutenpor laspartesenconflictoypor laspersonasinvolucradasenotrassituacionesdeviolencia asiacute como la proximidad con los maacutes necesitados y la seguridad de su personal Ello podriacutea repercutir por ejemplo en la medida en que los titulares de los datos puedan ejercer sus derechos de acceso31

La siguiente lista de verificacioacuten resume los principales puntos que se explicanexhaustivamente en este manual y es conveniente tenerla en cuenta al abordar la proteccioacutendedatosenrelacioacutenconlafinalidaddeltratamiento

bull iquestHay un tratamiento de los datos personales

bull iquestEsprobablequelosdatostratadospermitanlaidentificacioacutendepersonas bull iquestLa informacioacuten necesita ser protegida incluso si no se considera ldquodatos

personales

bull iquestSe ha respetado la legislacioacuten local en materia de proteccioacuten de datos y privacidad (si corresponde)

bull iquestConqueacutefinesserecogenyseprocesanlosdatosiquestEltratamientoselimitaestrictamenteaesafinalidadiquestLafinalidadjustificalaintromisioacutenenlavidaprivada del titular de los datos

bull iquestCuaacutel es la base legiacutetima del tratamiento iquestCoacutemo se garantizaraacute la lealtad y la licitud del tratamiento de los datos

bull iquestEl tratamiento de los datos es proporcional iquestPodriacutea alcanzarse el mismo objetivo de manera menos invasiva

bull iquestQuieacutenes son los controladores de datos y los procesadores de datos iquestQueacute relacioacuten existe entre ellos

bull iquestLos datos son exactos y estaacuten actualizados

bull iquestSe recogeraacute y trataraacute la menor cantidad de datos posible



bull iquestDurante cuaacutento tiempo se conservaraacuten los datos personales iquestCoacutemo se garantizaraacute que los datos se conservaraacuten uacutenicamente durante el tiempo necesarioparacumplirlafinalidaddeltratamiento

bull iquestSe han adoptado las medidas de seguridad adecuadas para proteger los datos

bull iquestLas personas han sido claramente informadas sobre quieacuten es el responsable del tratamiento de los datos personales

bull iquestLas personas han sido informadas sobre la manera en que se trataraacuten sus datos personales y con quieacutenes seraacuten compartidos

bull iquestExisten procedimientos implementados para garantizar que los titulares de los datos puedan ejercer sus derechos relativos al tratamiento de datos personales

bull iquestSeraacute necesario compartir datos con terceros iquestEn queacute circunstancias los datos personales podraacuten compartirse con terceros o ser accesibles para ellos iquestCoacutemo se les informaraacute a las personas sobre esa situacioacuten iquestCoacutemo se les informaraacute de ello a las personas

bull iquestSe podraacute acceder a los datos personales desde el exterior del paiacutes donde fueron inicialmente recogidos o tratados iquestCuaacutel es la base legiacutetima para hacerlo

bull iquestSe han elaborado evaluaciones de impacto relativas a la proteccioacuten de datos paraidentificarevaluaryabordarlosriesgosparalosdatospersonalesquesurgen de un proyecto una poliacutetica un programa u otra iniciativa

22 CONCEPTOS BAacuteSICOS DE LA PROTECCIOacuteN DE DATOS 32

La legislacioacuten y la praacutectica en materia de proteccioacuten de datos regulan el tratamiento de los datos personales de los titulares de los datosafindeprotegersusderechos

El tratamiento debe interpretarse como toda operacioacuten o conjunto de operaciones que se hagan con datos personales o conjuntos de datos personales tanto si se hacen con medios automatizados o no como su obtencioacuten registro organizacioacuten estructuracioacuten almacenamiento adaptacioacuten o alteracioacuten recuperacioacuten consulta uso divulgacioacuten por transmisioacuten difusioacuten del tipo que sea alineacioacuten combinacioacuten o eliminacioacuten

Por datos personales se entiende toda informacioacuten relativa a una persona fiacutesica identificadaoidentificableEltitular de los datos es una persona fiacutesica (es decir un individuo)quesepuedeidentificardirectaoindirectamenteenparticularalhacerreferencia a sus datos personales

Algunas leyes relativas a la proteccioacuten de datos incluyen la categoriacutea de datos sensibles dentrodelconceptodedatospersonalesAlosfinesdeestemanualseentiendepor

32 Losteacuterminosquesedefinenacontinuacioacutentambieacutenfiguranenelglosarioalprincipiodeeste manual



datos sensibles los datos personales que de ser divulgados podriacutean generar una situacioacuten de discriminacioacuten o de represioacuten contra la persona concernida En general suelen considerarse datos sensibles los relativos al estado de salud la raza o el origen eacutetnico la pertenencia a una religioacuten partido poliacutetico o grupo armado o bien los datos geneacuteticos y biomeacutetricos Todos los datos sensibles requieren una proteccioacuten reforzada aun cuando los distintos tipos de datos comprendidos en esta categoriacutea (por ejemplo diferentes tipos de datos biomeacutetricos) no posean el mismo grado de sensibilidad Dados los entornos concretos en los que desempentildean su labor las organizaciones humanitarias y la posibilidad de que ciertos datos pudieran dar lugar a hechos de discriminacioacutennoresultapertinenteestablecerunalistadefinitivadecategoriacuteasdedatos sensibles para la accioacuten humanitaria Por ejemplo en algunas situaciones una simplelistadenombrespodriacuteasermuysensiblesiexponealaspersonasquefiguranen la lista o a sus familiares al riesgo de sufrir persecucioacuten Del mismo modo en otros casos podriacutea ser necesario que la informacioacuten recogida para responder a situaciones de emergencia humanitaria contenga datos que en un contexto normal de proteccioacuten de datos podriacutean considerarse datos sensibles y su tratamiento estariacutea en principio prohibidoSinembargoenlaculturalocalydadaslascircunstanciasespeciacuteficasesetratamiento podriacutea ser relativamente inofensivo Por lo tanto la sensibilidad de los datos y las garantiacuteas correspondientes para proteger los datos sensibles (por ejemplo medidas de seguridad teacutecnicas y organizativas) deben considerarse seguacuten cada caso

Cabe recordar que en situaciones de emergencia humanitaria el tratamiento de datos puede causar graves dantildeos incluso cuando ellos no puedan considerarse datos personales De modo que las organizaciones humanitarias deben estar preparadas para aplicar las protecciones que se describen en este manual a otros tipos de datos tambieacuten dado que no hacerlo en alguacuten caso en particular conllevariacutea un riesgo para las personas

EJEMPLOUna organizacioacuten humanitaria revela involuntariamente el nuacutemero de personas que integran un grupo que huye de una situacioacuten de violencia armada y publica en internet imaacutegenes aeacutereas sobre esta cuestioacuten Uno de los actores armados que participan en la violencia que es el motivo que originoacute la huida utiliza luego esa informacioacuten para localizar a la poblacioacuten desplazada y ejercer represalias contra ella El nuacutemero de individuos en el grupo y las imaacutegenes aeacutereas (sujetos a la resolucioacuten y otros factores quepodriacuteanpermitirlaidentificacioacutendelaspersonas)nosondatospersonalesper se pero siacute son datos que podriacutean resultar extremadamente sensibles en determinadas circunstancias La organizacioacuten humanitaria debioacute haber protegido estos datos en lugar de revelarlos

Tambieacuten es importante comprender la diferencia entre el controlador de datos y el encargado del tratamiento de datos El controlador de datos es la persona u organizacioacutenquesolaoenconjuntoconotrasestablecelosfinesylosmediosparaeltratamiento de datos personales mientras que el encargado del tratamiento de datos


es la persona u organizacioacuten que procesa datos personales en nombre del controlador de datos Por uacuteltimo un tercero es una persona fiacutesica o legiacutetima autoridad puacuteblica servicio o cualquier otro organismo que no sea el titular de los datos el controlador de datos o el encargado del tratamiento de datos

EJEMPLOUna organizacioacuten humanitaria recoge informacioacuten sobre la identidad de algunas personas en una situacioacuten de emergencia humanitaria con el propoacutesito de prestarles asistencia Para ello solicita los servicios de una ONG local como ayuda la cual necesita utilizar la informacioacutendeidentificacioacutenquehabiacutearecogidolaorganizacioacutenhumanitariaAmbasorganizacionesfirmanuncontratoqueregulaelusodelosdatosenvirtuddelcuallaorganizacioacuten humanitaria internacional tiene la facultad de indicar a la ONG la manera en que debe utilizar los datos y la ONG se compromete a respetar las medidas de proteccioacuten para los datos que exige la organizacioacuten humanitaria La ONG a la vez solicita los servicios de una empresa consultora de tecnologiacutea informaacutetica para que realice el mantenimiento de rutina de su sistema informaacutetico en el cual se almacenan los datos

En la situacioacuten anterior tanto la organizacioacuten humanitaria internacional como la ONG y la empresa consultora en tecnologiacutea informaacutetica procesan los datos personales de algunas personas que son los titulares de los datos La organizacioacuten humanitaria internacional es un controlador de datos la ONG es un encargado del tratamiento de datos y la empresa consultora de tecnologiacutea informaacutetica es un subencargado del tratamiento de datos

23 CONJUNTO DE DATOS AGREGADOS SEUDONIMIZADOS Y ANONIMIZADOS

Como se mencionoacute anteriormente este manual no aborda el tratamiento de datos que no esteacuten relacionados con las personas en siacute como los datos agregados o estadiacutesticos ni de datos que hayan pasado a ser anoacutenimos es decir que el titular de los datos ya no puedeseridentificado

Si bien los datos agregados derivan de los datos personales y en determinadas circunstancias pueden suponer un riesgo para las personas concernidas es importante garantizar que el tratamiento el intercambio o la publicacioacuten de dichos datos no conduzcanalareidentificacioacutendeesaspersonas33

33 V UK Statistics Authority National Statisticianrsquos Guidance Confidentiality of Official Statistics httpsgsscivilservicegovukpolicy-storenational-statisticians-guidance-confidentiality-of-official-statistics


Peseaquenoesnecesarioobtenerelconsentimientoespeciacuteficodelostitularesdelos datos para utilizar sus datos personales en conjuntos de datos agregados o en estadiacutesticas las organizaciones humanitarias deben garantizar que el tratamiento de esos datos tenga otra base legiacutetima34 y que no perjudique ni vulnere la proteccioacuten de individuos o grupos de personas

La anonimizacioacuten de los datos personales puede ayudar a satisfacer las necesidades de proteccioacuten y asistencia de las personas vulnerables sin afectar su privacidad El teacutermino ldquoanonimizacioacutenrdquo abarca teacutecnicas que permiten convertir datos personales en datos anoacutenimos Al anonimizar los datos es indispensable garantizar que los conjuntos de datos que contengan datos personales sean convertidos en anoacutenimos de manera total e irreversible Los procesos de anonimizacioacuten son complejos en especial cuando existen conjuntos de datos voluminosos que contienen una gran cantidad de datos personales yquepuedensuponerunmayorriesgodereidentificacioacuten35

La ldquoseudonimizacioacutenrdquo (diferente de la anonimizacioacuten) es el tratamiento de datos personales de manera tal que esos datos ya no puedan atribuirse a una persona especiacuteficasinutilizarinformacioacutenadicionalsiemprequeesainformacioacutenadicionalseaconservada aparte y se le apliquen medidas teacutecnicas y organizativas para garantizar que losdatospersonalesnoseatribuyanaunapersonafiacutesicaidentificadaoidentificableEsteprocedimientopodriacuteasuponerelreemplazodelosdatosanagraacuteficos36 presentes en un conjunto de datos por un nuacutemero El intercambio de nuacutemeros de registro o deidentificacioacutenenvezdenombresesunapraacutecticaidoacuteneaperonoconstituyeunaanonimizacioacuten

Antes de compartir o de publicar datos anonimizados es importante asegurarse de que el conjunto de datos no contenga datos personales y que las personas no puedan ser reidentificadasEl teacuterminoldquoreidentificacioacutenrdquodescribe elprocesoque consisteen reconvertir datos presuntamente anonimizados en datos personales mediante la utilizacioacutendeteacutecnicasdeverificacioacutendedatosuotrassimilares37 Si se determina que elriesgodequeocurraunareidentificacioacutenesrazonablementeprobablelainformacioacutendebe ser considerada como datos personales y quedaraacute sujeta a todos los principios y las orientacionesestablecidasenestemanualElriesgodequeocurraunareidentificacioacutenpuede resultar muy difiacutecil de determinar con absoluta certeza

34 V Capiacutetulo 3 ldquoBases legiacutetimas para el tratamiento de datos personalesrdquo35 VOficinadelComisionadodeInformacioacutendelReinoUnidoAnonymisation managing

data protection risk ndash code of practice httpsicoorgukmedia1061anonymisation-codepdf v tambieacuten dictamen 052014 sobre teacutecnicas de anonimizacioacuten del Grupo de trabajodelartiacuteculo29delaUnioacutenEuropeahttpseceuropaeujusticearticle-29documentationopinion-recommendationfiles2014wp216_espdf

36 httpsenwiktionaryorgwikianagraphic37 Notaldquoidentificarrdquononecesariamentesignificaldquonombrarrdquolaposibilidaddeestablecerunviacutenculofiableentredeterminadosdatosyunapersonaconocidapodriacuteasersuficiente


Antes de compartir o de publicar datos agregados es importante asegurarse de que los conjuntos de datos no revelen la ubicacioacuten real de grupos vulnerables poco numerosos por ejemplo al asociar datos como el paiacutes de origen la religioacuten o vulnerabilidades especiacuteficas con las coordenadas geograacuteficas donde se encuentran las personasconcernidas

24 DERECHO APLICABLE Y ORGANIZACIONES INTERNACIONALES

La accioacuten humanitaria supone la participacioacuten de numerosos actores como organizaciones humanitarias autoridades locales y empresas privadas En lo que respecta a las organizaciones humanitarias algunas de ellas son organizaciones no gubernamentales (ONG) sujetas a la jurisdiccioacuten del paiacutes donde desempentildean su labor mientras que otras son organizaciones internacionales que gozan de privilegios e inmunidades que les permiten cumplir con plena independencia el cometido encomendado por la comunidad de Estados en virtud del derecho internacional

En cuanto a las ONG las normas que determinan el derecho aplicable en materia de proteccioacuten de datos dependen de varios elementos faacutecticos Este manual no aborda las cuestiones relativas al derecho aplicable Todas las dudas sobre este tema deben remitirsealdepartamentojuriacutedicodelaONGobienasuoficinadeproteccioacutendedatos38

Ademaacutes de la legislacioacuten a la que pueda estar sujeta la ONG el tratamiento de datos personales se rige por sus propias poliacuteticas o normas internas en materia de proteccioacuten de datos por eventuales compromisos contractuales y por otras normas pertinentes aplicables Las directrices que contiene este manual siempre deben aplicarse sin perjuicio de esas normas y obligaciones Dichas directrices se basan en praacutecticas idoacuteneas y normas reconocidas y se recomienda a las organizaciones internacionales tenerlo en cuenta al elaborar o interpretar sus propias normas y poliacuteticas relativas a la proteccioacuten de datos para la accioacuten humanitaria

Las organizaciones internacionales gozan de privilegios e inmunidades que les garantizan poder cumplir con plena independencia el cometido encomendado por la comunidad internacional en virtud del derecho internacional y no estaacuten bajo la jurisdiccioacuten del paiacutes donde desempentildean su labor Por lo tanto pueden tratar datos personales conforme a sus propias normas y estaacuten sujetas a los mecanismos internos de supervisioacuten y ejecucioacuten de sus propios sistemas de cumplimiento en este sentido tienen su propia ldquojurisdiccioacutenrdquo Estacaracteriacutesticadelasorganizacionesinternacionalestieneconsecuenciasespeciacuteficassobre todo para el intercambio internacional de datos que se abordaraacute con mayor profundidad en el capiacutetulo 4 ldquoIntercambio internacional de datosrdquo

38 V Seccioacuten 12 Objetivo


25 PRINCIPIOS APLICABLES AL TRATAMIENTO DE DATOSEl tratamiento de datos personales que realizan las organizaciones humanitarias debe respetar los principios que se enuncian a continuacioacuten

251 PRINCIPIO DE LICITUD Y LEALTAD DEL TRATAMIENTOLos datos deben tratarse de manera liacutecita y equitativa Para que sea liacutecito el tratamiento debe tener una base legiacutetima como se explica en el capiacutetulo 3 ldquoBases legiacutetimas para el tratamiento de datos personalesrdquo Para que sea leal el tratamiento debe ser transparente

El tratamiento de datos personales debe ser transparente para los titulares de los datos El principio de transparencia exige proporcionar a los titulares de los datos al menos un miacutenimo de informacioacuten sobre el tratamiento al momento de recoger los datos aunque sujeto a las condiciones logiacutesticas y de seguridad imperantes asiacute como de la posible urgencia del tratamiento La informacioacuten y la comunicacioacuten relativas al tratamiento de datos personales deben ser faacuteciles de acceder y de comprender lo cual implica prever un servicio de traduccioacuten si es necesario y utilizar un lenguaje claro y simple La seccioacuten 2102 Notas informativas contiene informacioacuten maacutes exhaustiva sobre las notas informativas que se deben facilitar antes de recoger los datos o en ese momento

252 PRINCIPIO DE LIMITACIOacuteN DEL PROPOacuteSITOAl momento de recoger los datos la organizacioacuten humanitaria debe determinar y exponerlospropoacutesitosespeciacuteficosdeltratamientodelosdatosloscualesdebenserexpliacutecitosylegiacutetimosPorejemplolossiguientespropoacutesitosespeciacuteficospodriacuteanserpertinentesenuncontextohumanitario

bull prestar asistencia humanitaria o brindar servicios a las poblaciones afectadas para que puedan mantener sus medios de subsistencia

bull restablecer el contacto entre familiares separados por situaciones de emergencia humanitaria

bull proteger a las personas afectadas y hacer respetar el derecho internacional de los derechos humanos y el derecho internacional humanitario (DIH) por ejemplo documentando violaciones individuales

bull prestar asistencia meacutedica

bull garantizar la inclusioacuten en los sistemas nacionales (por ejemplo para los refugiados)

bull proporcionar documentos o condicioacuten legiacutetimaidentidad por ejemplo a personas desplazadas o apaacutetridas

bull proteger al agua y el haacutebitat

Las organizaciones humanitarias deberiacutean tener la precaucioacuten de considerar e identificar(enlamedidaqueresulteposibleencircunstanciasdeemergencia)todoslosfinesposiblesprevistosyquesepuedancontemplarentodotratamientoulteriorprevio a la obtencioacuten de los datos para asiacute garantizar la mayor transparencia posible


253 PRINCIPIO DE PROPORCIONALIDADEl principio de proporcionalidad es el elemento central de la legislacioacuten relativa a la proteccioacuten de datos Se aplica a lo largo de todo el ciclo del tratamiento de datos y puede ser invocado en diferentes etapas de las operaciones relacionadas Exige evaluar si una accioacuten o una medida relacionada con el tratamiento de datos personales es apropiada para el objetivo que se intenta alcanzar (por ejemplo iquestla base legiacutetima seleccionada es proporcional al objetivo que se intenta alcanzar iquestLas medidas teacutecnicas y organizativas son proporcionales a los riesgos asociados al tratamiento)

Los datos que procesan las organizaciones humanitarias deben ser adecuados pertinentesynoexcesivospara losfinespara losquese los recogeyprocesaEnparticular es preciso garantizar que los datos personales que se recojan y luego se procesen sean uacutenicamente los necesarios para alcanzar los objetivos (establecidos con antelacioacuten) y que el periacuteodo durante el cual se almacenan los datos antes de ser anonimizados o eliminados se limite al miacutenimo posible39

El principio de proporcionalidad es particularmente importante para las evaluaciones transversales de las necesidades que realizan las organizaciones humanitarias sean internas o entre organizaciones Al realizar estas evaluaciones las organizaciones humanitarias corren el riesgo de recopilar cantidades de datos excesivas respecto del propoacutesito por ejemplo al hacer encuestas en las que hay que completar cientos de campos que podraacuten ser utilizados posteriormente o no En estas situaciones es importante poder distinguir entre lo que es ldquointeresante saberrdquo y lo que es ldquonecesario saberrdquo para ayudar a los beneficiarios Las organizaciones humanitarias tambieacutendeben sopesar su necesidad de conseguir datos en comparacioacuten con el dantildeo potencial que la obtencioacuten de dichos datos puede provocar a las personas asiacute como el riesgo de que la poblacioacuten ldquose saturerdquo como consecuencia de las evaluaciones y de crear falsas expectativas entre las personas a las que pretenden ayudar

No obstante a veces no es posible limitar la cantidad de datos que se recogen Por ejemplo cuando se produce una nueva emergencia humanitaria el alcance de las necesidades humanitarias no siempre se conoce al momento de recoger los datos Por lo tanto la aplicacioacuten de este principio puede restringirse en circunstancias excepcionales y durante un periacuteodo de tiempo limitado en caso de ser necesario para la proteccioacuten de los titulares de los datos o de los derechos y las libertades de otras personas

Tambieacuten es posible que a raiacutez de la emergencia el propoacutesito sea particularmente amplio al momento de la recopilacioacuten En esos casos quizaacutes se considerariacutea necesario recoger un gran volumen de datos que podriacutea reducirse posteriormente en funcioacuten de lascircunstanciasParadeterminarsiunainterpretacioacutenflexibledelaproporcionalidades aceptable ante una nueva emergencia humanitaria deben tenerse en cuenta los siguientesfactores

39 V Seccioacuten 27 Conservacioacuten de los datos


bull la urgencia de la accioacuten

bull la proporcionalidad entre la cantidad de datos personales recogidos y los objetivos de la accioacuten humanitaria

bull lasdificultadesprobables(debidoalimitacioneslogiacutesticasodeseguridad)paravolver a recurrir al titular de los datos en busca de informacioacuten adicional si se previeranotrospropoacutesitosespeciacuteficos

bull los objetivos de la accioacuten concreta de la organizacioacuten humanitaria

bull la naturaleza y el alcance de los datos personales que podriacutean ser necesarios paraalcanzarlospropoacutesitosespeciacuteficos

bull las expectativas de los titulares de los datos

bull la sensibilidad de los datos personales de que se trate

EJEMPLO Una organizacioacuten humanitaria recoge datos personales para prestar asistencia humanitaria a un grupo de personas vulnerables en una regioacuten afectada por una cataacutestrofe Al comienzo de la accioacuten no fue posible determinar las necesidades especiacuteficasdelaspersonasafectadasnilaasistenciaylosprogramasqueserequeririacuteanen forma inmediata o maacutes adelante (por ejemplo la destruccioacuten de las instalaciones de saneamiento podriacutea generar riesgos de epidemias) Por ende la organizacioacuten humanitaria emprende un importante proyecto de recopilacioacuten de datos con el objetivo de evaluar iacutentegramente las necesidades de las personas afectadas y elaborar programas derespuestaUnavezfinalizadalaemergenciaseconstataquesibienfuenecesariaunaaccioacuten humanitaria el saneamiento se restablecioacute a tiempo para evitar una epidemia En consecuencia es posible que ahora la organizacioacuten humanitaria deba eliminar los datos que inicialmente habiacutea recogido para abordar esta problemaacutetica en particular

En todos los casos la necesidad de conservar los datos recogidos debe evaluarse perioacutedicamenteafindegarantizar laaplicacioacutendelprincipiodeminimizacioacutende los datos

254 PRINCIPIO DE MINIMIZACIOacuteN DE LOS DATOSEl principio de minimizacioacuten de los datos se relaciona estrechamente con el principio de proporcionalidad La minimizacioacuten de los datos tiene como meta garantizar que se proceseuacutenicamentelacantidadmiacutenimadedatospersonalesparaalcanzarlasfinalidadespara las cuales se recopilaron Exige limitar el tratamiento de datos personales a la menor cantidad posible y en la miacutenima medida necesaria Los datos personales deben sereliminadoscuandoyanoseannecesariosalosfinesdelarecopilacioacuteninicialoparaun tratamiento ulterior compatible Los datos tambieacuten deben ser eliminados cuando los titulares de los datos hayan revocado su consentimiento para el tratamiento o se opongan justificadamenteaeacutelSinembargoaunenesascircunstancias losdatospersonalespuedenserconservadossisonnecesariosparafineshistoacutericosestadiacutesticos


ocientiacuteficoslegiacutetimososilaorganizacioacutenhumanitariatieneporleylaobligacioacutendeconservar tales datos sin dejar de considerar los riesgos asociados y la aplicacioacuten de las garantiacuteas correspondientes

Para determinar si los datos ya no son necesarios para el propoacutesito por el cual fueron recogidos o para realizar un tratamiento ulterior compatible las organizaciones humanitariasdebenevaluarlossiguientesaspectos

bull iquestSealcanzoacuteelpropoacutesitoespeciacutefico bull Si no es asiacute iquesttodos los datos todaviacutea son necesarios para alcanzarlo iquestEl propoacutesitoespeciacuteficoestandifiacutecildealcanzarquelaconservacioacutendelosdatosyanosejustifica

bull iquestLas inexactitudes afectaron la calidad de los datos personales

bull iquestLasactualizacionesyloscambiossignificativoshicieronqueelregistrodedatos personales recogidos al principio ya no sea necesario

bull iquestLosdatossonnecesariosparafineshistoacutericosestadiacutesticosocientiacuteficoslegiacutetimos iquestEs proporcional seguir conservando los datos teniendo en cuenta los riesgos asociados iquestSe aplican las garantiacuteas correspondientes para la proteccioacuten de los datos en caso de que se sigan conservando

bull iquestLa situacioacuten del titular de los datos cambioacute y esos nuevos factores hacen que el registro original sea obsoleto e irrelevante

255 PRINCIPIO DE CALIDAD DE LOS DATOSLos datos personales deben tener la mayor exactitud y actualizacioacuten posibles Por ello deben adoptarse todas las medidas razonables para corregir o eliminar cuanto anteslosdatospersonalesinexactosteniendoencuentalosfinesdeltratamientoLaorganizacioacutenhumanitariadeberevisarsistemaacuteticamentelainformacioacutenrecogidaafindeverificarqueseafiableexactayqueesteacuteactualizadaconformealasdirectricesylos procedimientos operacionales

Al considerar la frecuencia con que debe realizarse esa revisioacuten se debe tener en cuenta (i) las limitaciones logiacutesticas y de seguridad (ii) el o los propoacutesitos del tratamiento y (iii) las posibles consecuencias de los datos inexactos Deben adoptarse todas las medidas necesarias para minimizar el riesgo de tomar una decisioacuten que pudiera perjudicar a una persona como excluirla de un programa humanitario sobre la base de datos que podriacutean ser incorrectos

26 SITUACIONES PARTICULARES EN MATERIA DE TRATAMIENTO DE DATOS

A continuacioacuten se describen algunos ejemplos de situaciones comunes en materia de tratamiento de datos que requieren explicaciones particulares


261 FINES SANITARIOSLa gestioacuten inadecuada (incluida la divulgacioacuten) de datos relativos a la salud podriacutea causar un importante perjuicio a las personas afectadas Por lo tanto los datos relativos a la salud deben considerarse particularmente sensibles y deben aplicarse garantiacuteas especiacuteficasdurantesutratamientoaligualqueenelcasodelosdatossensiblesAdemaacuteslos datos relativos a la salud son un objetivo cada vez maacutes frecuente de los ataques ciberneacuteticos Los prestadores de asistencia de salud humanitaria deben tratar los datos conforme al Coacutedigo Internacional de Eacutetica Meacutedica de la Asociacioacuten Meacutedica Mundial40 queestableceobligacionesprofesionalesespeciacuteficasenmateriadeconfidencialidad

Las organizaciones humanitarias pueden tratar datos relativos a la salud con las siguientesfinalidades

bull medicina preventiva o del trabajo diagnoacutestico meacutedico prestacioacuten de asistencia meacutedica o tratamiento

bull gestioacuten de servicios de salud

bull razones de intereacutes vital como la prestacioacuten de asistencia meacutedica esencial necesaria para salvar la vida del titular de los datos

bull salud puacuteblica por ejemplo brindar proteccioacuten contra amenazas graves a la salud o garantizar un alto grado de calidad y de seguridad entre otras cosas para los medicamentos y los dispositivos meacutedicos

bull fineshistoacutericosestadiacutesticosocientiacuteficoscomolosregistrosdepacienteselaborados para mejorar los diagnoacutesticos y distinguir entre tipos de enfermedades similares ademaacutes de preparar estudios para terapias sujetos a determinadas condiciones y garantiacuteas

Los datos relativos a la salud se deberiacutean mantener separados de otros datos personales y el acceso a ellos solo deberiacutea estar autorizado a los prestadores de servicios de salud o al personal al que los prestadores de servicios de salud humanitarios les hayan encomendadoespeciacuteficamenteelmanejodetalesdatosoalpersonalquellevaacaboinvestigacioacutenentodosloscasosenvirtuddegarantiacuteasdeconfidencialidadvertidasencontratosdetrabajodeconsultoriacuteauotrosysoloparalosfinesdeinvestigacioacutenpreestablecidos

Las organizaciones humanitarias que realizan actividades de proteccioacuten o de asistencia tambieacuten pueden tratar datos relativos a la salud por ejemplo cuando sea necesario para localizar a personas desaparecidas (en caso de que los datos relativos a la salud puedan ser requeridosparaidentificarlasolocalizarlas)oparadefendereltratoadecuadodepersonasprivadas de libertad o incluso para establecer programas de subsistencia que aborden las necesidadesdedistintascategoriacuteasdebeneficiariosparticularmentevulnerables(comolaspersonasquepadecenmalnutricioacutenuotrasenfermedadesespeciacuteficas)41

40 Asociacioacuten Meacutedica Mundial Coacutedigo Internacional de Eacutetica Meacutedica httpswwwwmanetpolicies-postwma-international-code-of-medical-ethics

41 V Seccioacuten 263 Procesamiento ulterior


262 ACTIVIDADES ADMINISTRATIVASEn general las organizaciones humanitarias procesan datos personales confinesrelacionados con el empleo la gestioacuten de carreras laborales las evaluaciones el marketing directo u otros requisitos administrativos En algunos casos tambieacuten pueden realizar actividades de tratamiento sensibles como rastrear sus vehiacuteculos con GPS para lagestioacutendelasflotasydelaseguridadEnalgunascircunstanciasoperacionalesesposible que el tratamiento de datos personales pertenecientes al personal sea un tema particularmente sensible entre otras razones por las condiciones geopoliacuteticas en las que se brinda determinada asistencia humanitaria En estos casos quizaacutes sea necesario adoptar garantiacuteas adicionales (en la medida de lo necesario) para proteger tales datos

263 PROCESAMIENTO ULTERIORLasorganizacioneshumanitariaspuedentratardatospersonalesconfinesdiferentesalos establecidos inicialmente al momento de recopilar los datos cuando el tratamiento ulterior sea compatible con el propoacutesito inicial por ejemplo cuando sea necesario para fineshistoacutericosestadiacutesticosocientiacuteficos

Paradeterminarsilafinalidaddeuntratamientoulteriorescompatibleconelpropoacutesitopara el que se recogieron inicialmente los datos deben tenerse en cuenta los siguientes aspectos

bull el viacutenculo entre el o los propoacutesitos iniciales y el o los propoacutesitos del tratamiento ulterior previsto

bull las circunstancias en las que se recogieron los datos sin excluir las expectativas razonables de los titulares de los datos en cuanto a su futura utilizacioacuten

Estado de Jonglei Sudaacuten del Sur Evacuacioacuten de un herido de guerra

J Z

oche

rman

CIC

R


bull la naturaleza de los datos personales

bull las consecuencias para los titulares de los datos del tratamiento ulterior previsto

bull las garantiacuteas correspondientes

bull lamedidaenqueesasgarantiacuteasprotegeraacutenlaconfidencialidaddelosdatospersonales y el anonimato del titular de los datos

Las circunstancias en las que se recogieron los datos sin excluir las expectativas razonables de los titulares de los datos en cuanto a su futura utilizacioacuten es un factor particularmente importante sabiendo que cuando los titulares de los datos brindan informacioacuten con una finalidad normalmente comprenden que pueden existir unconjunto de actividades humanitarias asociadas y de hecho pueden tener la expectativa de que se implementaraacuten todas las medidas de proteccioacuten y asistencia humanitarias posibles Esto reviste particular importancia en situaciones humanitarias dado que una comprensioacuten demasiado acotada de la compatibilidad podriacutea impedir que los titulares delosdatosrecibanbeneficioshumanitarios

En consecuencia es probable que los fines estrictamente vinculados a la accioacutenhumanitaria (y que no entrantildean riesgos adicionales no previstos en el propoacutesito inicial) seancompatiblesentresiacuteysiesacompatibilidadseconfirma lasorganizacioneshumanitarias podraacuten tratar legiacutetimamente los datos personales maacutes allaacute del propoacutesito especiacuteficoporelcualfueronrecogidossiemprequelohaganenelmarcodelaaccioacutenhumanitaria En principio el tratamiento ulterior deberiacutea permitirse si es necesario y proporcional para proteger la seguridad puacuteblica y la vida la integridad la salud la dignidad o la seguridad de las personas afectadas en el marco de la accioacuten humanitaria Estas caracteriacutesticas deben ser evaluadas seguacuten cada caso y no deben ser presumibles

Auncuandolosfinesdeltratamientoulterioresteacutenestrechamenterelacionadosconla accioacuten humanitaria el tratamiento con un nuevo propoacutesito no debe considerarse compatiblesilosriesgosparaeltitulardelosdatossonmayoresquelosbeneficiosdel tratamiento ulterior o si este supone nuevos riesgos Este anaacutelisis depende de las circunstancias de cada caso Por ejemplo podemos llegar a esta conclusioacuten si existe el riesgo de que el tratamiento vaya en contra de los intereses de la persona con quien se relaciona la informacioacuten o de sus familiares sobre todo cuando haya peligro de vulnerar su vida su integridad su dignidad su seguridad fiacutesica o psicoloacutegica su libertad o su reputacioacutenLasconsecuenciaspuedenserlassiguientes

bull acoso o persecucioacuten por parte de las autoridades o de terceros

bull enjuiciamientos

bull problemas sociales

bull graves sufrimientos psicoloacutegicos


Por ejemplo un tratamiento ulterior puede considerarse incompatible cuando los datos personales se han recopilado como parte de la informacioacuten necesaria para contribuir a la buacutesqueda de una persona buscada Es posible que el tratamiento adicional de esta informacioacuten para solicitar que las autoridades pertinentes investiguen posibles violaciones de la legislacioacuten aplicable (por ejemplo en el contexto de actividades de proteccioacuten de la poblacioacuten civil) no reuacutena las condiciones para que se lo considere tratamiento ulterior Ello se debe a las posibles consecuencias negativas que el tratamiento ulterior previsto podriacutea tener para los titulares de los datos y la probabilidad de que resulte difiacutecil brindar garantiacuteas adecuadas

Silafinalidaddeltratamientoulteriorprevistanofuesecompatibleconelpropoacutesitopara el que se recogieron inicialmente los datos el tratamiento ulterior no debe realizarse a menos que se lo considere apropiado en virtud de una base legiacutetima diferente En este caso probablemente se necesiten medidas adicionales en funcioacuten de la base aplicable42

El tratamiento ulterior de datos personales no debe considerarse compatible si es contrario a obligaciones legiacutetimas o profesionales a obligaciones de discrecioacuten y confidencialidadoalprincipiodeldquonocausardantildeordquo

Por otra parte es posible agregar y anonimizar datos para reducir su sensibilidad y permitir su utilizacioacuten en casos accesorios

EJEMPLOLos datos recogidos para distribuir alimentos y ofrecer refugio durante una operacioacuten deasistenciahumanitaria tambieacutenpodriacuteanutilizarseparaplanificar laprestacioacutende servicios sanitarios a personas desplazadas Sin embargo el tratamiento de los datosrecogidos(sinosonagregadosoanonimizados)paraplanificarlasnecesidadespresupuestarias de la organizacioacuten humanitaria para el antildeo entrante no puede considerarse un tratamiento ulterior compatible

27 CONSERVACIOacuteN DE LOS DATOSCadacategoriacuteadedatosdebeconservarseporunperiacuteododetiempoespeciacutefico(porejemplo tres meses o un antildeo) Cuando al momento de la recopilacioacuten no sea posible determinar el tiempo durante el cual se almacenaraacuten los datos deberaacute establecerse un periacuteodo de conservacioacuten inicial Una vez transcurrido ese tiempo se realizaraacute una evaluacioacuten para determinar si los datos deben ser eliminados o si auacuten son necesarios paraalcanzarelpropoacutesitodelarecopilacioacuteninicial(oparaunfinlegiacutetimoulterior)Enese caso el periacuteodo de conservacioacuten inicial deberiacutea renovarse por un plazo limitado

42 V Capiacutetulo 3 ldquoBases legiacutetimas para el tratamiento de datos personalesrdquo


Cuando los datos se eliminen tambieacuten deben eliminarse todas sus copias Si la organizacioacuten humanitaria compartioacute los datos con terceros deberaacute entonces adoptar todas las medidas razonables para asegurarse de que esas terceras partes tambieacuten los eliminenEstaobligacioacutendeeliminarlosdatosdebetenerseencuentaenlasreflexionesiniciales para determinar si se compartiraacute informacioacuten con terceros y deberaacute quedar plasmada en cualquier acuerdo que regule el intercambio de datos43

28 SEGURIDAD DE LOS DATOS Y SEGURIDAD DEL TRATAMIENTO

281 INTRODUCCIOacuteNLaseguridaddelosdatosformaparteesencialdeunsistemaeficazdeproteccioacutendedatos Los datos personales deben tratarse de manera tal que se garantice su seguridad por ejemplo impidiendo el acceso a los datos y a los equipos que se emplean para su tratamiento o su uso no autorizado lo cual es auacuten maacutes necesario en los entornos inestables en los que a menudo desempentildean su labor las organizaciones humanitarias

Cualquier persona que actuacutee bajo la autoridad del controlador de datos y que tenga acceso a datos personales deberaacute tratarlos solamente conforme a las poliacuteticas aplicables que se explican en este manual

Para preservar la seguridad el controlador de datos deberaacute evaluar los riesgos especiacuteficosinherentesaltratamientoeimplementarmedidasparamitigaresosriesgosEsas medidas deberaacuten garantizar un nivel de seguridad adecuado (que tenga en cuenta la tecnologiacutea disponible las condiciones logiacutesticas y de seguridad imperantes y los costos de implementacioacuten) en relacioacuten con los riesgos y la naturaleza de los datos personalesquehandeprotegersePorejemplolasmedidaspuedenconsistiren

bull capacitacioacuten del personal y de los asociados

bull gestioacuten de derechos de acceso a bases de datos que contengan datos personales

bull seguridad fiacutesica de las bases de datos (por ejemplo cuestiones relacionadas con la reglamentacioacuten del acceso o los dantildeos provocados por el agua y la temperatura)

bull seguridad informaacutetica (por ejemplo proteccioacuten de las contrasentildeas transferencia segura de datos cifrados o copias de seguridad perioacutedicas)

bull claacuteusulas de discrecioacuten

bull acuerdos sobre intercambio de datos con asociados y terceros

bull meacutetodos de destruccioacuten de datos personales

bull procedimientos operativos estaacutendar para la gestioacuten y la conservacioacuten de datos

bull cualquier otra medida pertinente

43 V Seccioacuten 212 Intercambio de datos e intercambio internacional de datos y Capiacutetulo 4 ldquoIntercambio internacional de datosrdquo


El objetivo de estas medidas es garantizar la seguridad de los datos personales tanto en el plano teacutecnico como organizativo y su proteccioacuten con medidas razonables y adecuadas frentealuso indebido lasmodificaciones copiasymanipulacionesnoautorizadas la destruccioacuten ilegal la peacuterdida accidental y la divulgacioacuten o transferencia indebidas (en su conjunto ldquoviolacioacuten de los datosrdquo) Las medidas de seguridad de los datosvariaraacutenseguacutenlossiguientesfactoresentreotros

bull el tipo de operacioacuten

bull el nivel de los riesgos evaluados relativos a la proteccioacuten de datos

bull la naturaleza y la sensibilidad de los datos personales de que se trate

bull la forma o el formato de almacenamiento transferencia e intercambio de datos

bull elentornoolugardondeseencuentranlosdatospersonalesespeciacuteficos bull las condiciones logiacutesticas y de seguridad imperantes

Las medidas de seguridad de los datos deberaacuten revisarse y mejorarse perioacutedicamente para garantizar un nivel de proteccioacuten de los datos que sea adecuado para el grado de sensibilidad que se aplica a los datos personales asiacute como el posible desarrollo de nuevas tecnologiacuteas que permitan una mayor seguridad

Elcontroladordedatoseselencargadode

bull implementar un sistema de gestioacuten de la seguridad informaacutetica Para ello deberaacute establecer y actualizar perioacutedicamente una poliacutetica de seguridad de los datos basada en normas internacionalmente aceptadas y en una evaluacioacuten de riesgos que deberaacute consistir por ejemplo en pautas de seguridad fiacutesica una poliacutetica de seguridad informaacutetica pautas de seguridad del correo electroacutenico pautasdeusodelosequiposinformaacuteticospautasparalaclasificacioacutendelainformacioacuten(esdecircategorizarlacomopuacuteblicainternaconfidencialoestrictamenteconfidencial)unplandecontingenciaypautasparaladestruccioacuten de documentos

bull desarrollar una infraestructura de comunicacioacuten y bases de datos para preservarlaconfidencialidadlaintegridadyladisponibilidaddelosdatosconforme a la poliacutetica de seguridad establecida

bull adoptar todas las medidas adecuadas para proteger la seguridad de los datos tratados en el sistema informaacutetico del controlador de datos

bull otorgar y administrar el acceso a las bases de datos que contengan datos personales por ejemplo garantizando el acceso seguacuten la necesidad de su conocimiento

bull garantizar la seguridad de las instalaciones que permiten al personal autorizado acceder al sistema

bull garantizar que el personal al que se otorgue acceso a los datos esteacute en condiciones de respetar plenamente las normas de seguridad Ello implica una capacitacioacuten pertinente y la inclusioacuten de un compromiso de discrecioacuten o una claacuteusuladeobligacioacutendeconfidencialidadenelcontratodeempleoquesefirmeantesdequeseotorgueaccesoalasbasesdedatos


bull mantener un registro de personal con acceso a cada una de las bases de datos y actualizarlo cuando corresponda (por ejemplo cuando se asignen al personal responsabilidades distintas que ya no requieran ese acceso)

bull si es factible mantener un registro histoacuterico y probablemente realizar auditoriacuteas del personal que haya tenido acceso a cada una de las bases de datos durante el periacuteodo en el que los datos tratados por esos miembros del personal se mantengan en la base de datos

Cada miembro del personal deberaacute tratar los datos dentro de los liacutemites de los derechos de tratamiento que se le hayan otorgado Quienes tengan maacutes derechos de acceso o esteacuten a cargo de la administracioacuten de los derechos de acceso pueden estar sujetos a otras obligacionescontractualesrelacionadasconlaconfidencialidadylanodivulgacioacuten

282 SEGURIDAD FIacuteSICACadaunodeloscontroladoresdedatosesresponsablede

bull establecernormasdeseguridadquedefinancontrolesdeseguridadteacutecnicos administrativos y de procedimientos para garantizar niveles de confidencialidadadecuadosasiacutecomolaintegridadfiacutesicayladisponibilidaddelas bases de datos (sean fiacutesicas o informatizadas) seguacuten los riesgos imperantes queseidentifiquen

bull garantizar que el personal conozca y respete esas normas de seguridad

bull desarrollar mecanismos de control adecuados para garantizar que se mantenga la seguridad de los datos

bull garantizar que se apliquen a los lugares de almacenamiento estaacutendares adecuados de proteccioacuten frente a incendios y riesgos eleacutectricos

bull garantizar que los voluacutemenes de almacenamiento se mantengan en el miacutenimo estrictamente necesario

283 SEGURIDAD INFORMAacuteTICAElcontroladordedatosdeberaacute

bull establecernormasdeseguridadquedefinancontrolesdeseguridadteacutecnicos administrativos y de procedimientos para garantizar niveles de confidencialidadintegridadydisponibilidadadecuadosparalossistemasinformaacuteticos que se utilicen seguacuten la evaluacioacuten de riesgos


bull establecernormasdeseguridadespeciacuteficasparapartedelainfraestructurade comunicacioacuten informaacutetica una base de datos o un departamento especiacuteficodesernecesarioporejemplocuandoseprocesandatospersonalesparticularmente sensibles o criacuteticos

Toda la correspondencia por correo electroacutenico ya sea interna o externa que contenga datos personales deberaacute tratarse seguacuten la necesidad de su conocimiento Los


destinatarios de los correos electroacutenicos deberaacuten seleccionarse cuidadosamente para evitar una divulgacioacuten innecesaria de datos personales a personas que no los necesiten en el contexto de la funcioacuten que desempentildean No deben utilizarse cuentas de correo electroacutenico privadas para la transferencia de datos personales

Los accesos remotos a los servidores y el uso domeacutestico de computadoras de escritorio y portaacutetiles deben cumplir los estaacutendares que se establecen en la poliacutetica de seguridad informaacutetica del controlador de datos A menos que sea absolutamente necesario por razones operacionales debe evitarse el uso de puntos de acceso a internet y conexiones inalaacutembricas no seguras para obtener intercambiar transmitir o transferir datos personales

El personal encargado de la gestioacuten de datos personales debe adoptar las precauciones necesarias al establecer conexiones remotas con los servidores del controlador de datosLascontrasentildeasdebenprotegersesiempredebenmodificarseperioacutedicamentey no deben ingresarse automaacuteticamente mediante un ldquoalmaceacuten de contrasentildeasrdquo44 Elpersonaldebeverificarsihasalidoadecuadamentedelossistemasinformaacuteticosysiha cerrado los navegadores abiertos

Las computadoras portaacutetiles los teleacutefonos inteligentes y otros equipos portaacutetiles requieren precauciones especiales particularmente cuando se trabaja en entornos difiacuteciles Los equipos portaacutetiles deben guardarse en todo momento en lugares seguros y protegidos

No deben utilizarse dispositivos portaacutetiles o extraiacutebles para almacenar documentos que contengandatospersonalesclasificadoscomosensiblesSifuerainevitablehacerlolosdatos personales deberaacuten transferirse cuanto antes a sistemas informaacuteticos y aplicaciones de bases de datos adecuados Si se utilizan dispositivos de memoria flash como memorias USB y tarjetas de memoria para almacenar temporalmente datos personales esos dispositivos deben estar protegidos y sus registros electroacutenicos deben cifrarse Asimismo debe eliminarse la informacioacuten del dispositivo portaacutetil o extraiacuteble en cuanto se haya almacenado correctamente si ya no es necesario conservarla en dicho dispositivo

Se deben cubrir todos los registros electroacutenicos con mecanismos de recuperacioacuten y procedimientos de copia de seguridad eficaces y el responsable de tecnologiacuteade la informacioacuten y las comunicaciones (TIC) debe asegurarse de que se hagan perioacutedicamente copias de seguridad La frecuencia de los procedimientos de copia de seguridad variaraacute seguacuten la sensibilidad de los datos personales en cuestioacuten y los recursos teacutecnicos disponibles A la vez es preciso automatizar los registros electroacutenicos para permitir una recuperacioacuten sencilla en situaciones en las que los procedimientos de copia de seguridad sean difiacuteciles debido entre otros factores a cortes de luz perioacutedicos fallos del sistema y desastres naturales

44 Un almaceacuten de contrasentildeas o gestor de claves es una aplicacioacuten o un hardware que permite a los usuarios guardar y organizar varias contrasentildeas bajo una uacutenica contrasentildea maestra


Cuando ya no se necesiten los registros electroacutenicos y las aplicaciones de bases de datos el controlador de datos deberaacute coordinar con el responsable de ICT pertinente para asegurarse de su eliminacioacuten permanente

284 OBLIGACIOacuteN DE MANTENER DISCRECIOacuteN Y CONDUCTA DEL PERSONAL

La obligacioacuten de mantener discrecioacuten es un elemento clave de la seguridad de los datos personaleseimplica

bull quetodoelpersonalylosconsultoresexternosfirmenacuerdosdediscrecioacutenyconfidencialidadenelmarcodesuscontratosdeempleoodeconsultoriacuteaEsterequisito va junto con el requisito de que el personal solo procese datos seguacuten las instrucciones del controlador de datos

bull quecualquierprocesadorexternotengaclaacuteusulasdeconfidencialidadensucontrato Este requisito va junto con el requisito de que el procesador solo procese datos seguacuten las instrucciones del controlador de datos

bull laaplicacioacutenestrictadelasdirectricesrelativasalaclasificacioacutendelainformacioacutenseguacutensuniveldeconfidencialidad

bull garantizar que los pedidos de los titulares de los datos reciban la respuesta adecuada y que no se los comparta con terceros ademaacutes de que se los consigne con exactitudyenformasegurayconfidencialenellegajodeltitularesdelosdatos

bull limitarelriesgodequesefiltreinformacioacutendemodoquesoloelpersonaldebidamente autorizado esteacute a cargo de obtener y gestionar datos de fuentes confidencialesygarantizarquedichopersonalaccedaalosdocumentosseguacutenlasdirectricesaplicablesalaclasificacioacutendelainformacioacuten

Losmiembrosdelpersonalsonresponsablesdeatribuirnivelesdeconfidencialidadalosdatosqueprocesenbasadosenlasdirectricesaplicablesalaclasificacioacutendelainformacioacutenyderespetarlaconfidencialidaddelosdatosqueconsultentransmitenoutilicen a los efectos de su tratamiento externo El miembro del personal que atribuyoacute inicialmenteunniveldeconfidencialidadpuedemodificarencualquiermomentoesenivel atribuido a los datos en caso de ser pertinente

285 PLANIFICACIOacuteN DE CONTINGENCIASEl controlador de datos es responsable de disentildear y poner en marcha un plan de proteccioacuten evacuacioacuten o destruccioacuten segura de los registros para casos de emergencia

286 MEacuteTODOS DE DESTRUCCIOacuteNCuando se establezca que ya no es necesario conservar ciertos datos personales todos los registros y las copias de seguridad deberaacuten destruirse o anonimizarse El meacutetodo de destruccioacutendependeraacuteentreotrascosasde

bull la naturaleza y la sensibilidad de los datos personales

bull el formato y el dispositivo de almacenamiento

bull el volumen de registros electroacutenicos o en papel


El controlador deberaacute evaluar la sensibilidad antes de la destruccioacuten a fin deasegurarse de que se utilicen meacutetodos de destruccioacuten adecuados para eliminar esos datos personales En este sentido los tres paacuterrafos siguientes se basan en informacioacuten obtenida del Manual de proteccioacuten de datos de la OIM45

Los registros en papel deberaacuten destruirse con meacutetodos como la trituracioacuten o la incineracioacuten de modo que no puedan reconstruirse ni utilizarse en el futuro Si se decide que los registros en papel deben digitalizarse mediante una conversioacuten correcta al formato electroacutenico deberaacute destruirse cualquier rastro de los registros en papel a menos que la legislacioacuten nacional correspondiente requiera la retencioacuten de dicho registro o establezca que debe guardarse una copia en papel a efectos de archivo La destruccioacuten de grandes voluacutemenes de registros en papel puede subcontratarse a empresas especializadas En estas circunstancias el controlador de datos deberiacutea garantizarquelaconfidencialidaddelosdatospersonaleslapresentacioacutenderegistrosdeeliminacioacutenylacertificacioacutendeladestruccioacutenformenpartedelasobligacionescontractuales de los procesadores de datos a lo largo de la cadena de custodia asiacute como que estos cumplan con estas obligaciones

Por otra parte es preciso derivar la destruccioacuten de registros electroacutenicos al personal de ICT pertinente dado que las opciones de borrado de los sistemas informaacuteticos no garantizan necesariamente una eliminacioacuten completa Tras recibir las instrucciones correspondientes el personal de ICT pertinente deberaacute asegurarse de eliminar completamente de los sistemas informaacuteticos y los programas de software cualquier rastro de datos personales Las unidades de disco y las aplicaciones de bases de datos deberaacutenlimpiarseytodoslosmediosreescribiblescomoCDDVDmicrofichascintasde video y cintas de audio que se utilicen para almacenar datos personales deberaacuten borrarse antes de volver a utilizarse Asimismo debe realizarse un seguimiento estricto de los medios fiacutesicos para destruir registros electroacutenicos como el reciclaje la pulverizacioacuten o la incineracioacuten

El controlador de datos deberaacute asegurarse de que todos los contratos de servicios memorandos de entendimiento acuerdos y contratos escritos de transferencia o tratamiento pertinentes incluyan un periacuteodo de retencioacuten para la destruccioacuten de datospersonalestraselcumplimientodelfinqueseespecificaLasterceraspartesdeberaacutendevolverlosdatospersonalesalcontroladordedatosycertificarquesehandestruido todas las copias de esos datos incluidos los datos personales divulgados a sus agentes autorizados y subcontratistas Por otra parte han de mantenerse registros de eliminacioacuten que indiquen el momento y el meacutetodo de destruccioacuten asiacute como la naturaleza de los registros destruidos los cuales deberaacuten adjuntarse a los informes de proyecto o de evaluacioacuten

45 Organizacioacuten Internacional para las Migraciones (OIM) Data Protection Manual 2010 paacutegs83-84httpspublicationsiomintbooksiom-data-protection-manual


287 OTRAS MEDIDASLa seguridad de los datos requiere asimismo normas organizativas internas adecuadas incluida una divulgacioacuten interna perioacutedica entre todos los empleados especialmente en relacioacutenconsusobligacionesdeconfidencialidaddelasnormasdeseguridaddelosdatos y sus obligaciones en virtud de la legislacioacuten relativa a la proteccioacuten de datos o de las normas internas de organizaciones que gozan de privilegios e inmunidades

Cada uno de los controladores de datos deberaacute asignar la funcioacuten de responsable de seguridad de los datos a un miembro de su personal o a varios (posiblemente de las aacutereas de administracioacuten o informaacutetica) para que lleven a cabo las operaciones de seguridadElresponsabledeseguridaddeberaacuteenparticular

bull garantizar el cumplimiento de los procedimientos y las normas de seguridad correspondientes

bull actualizar esos procedimientos cuando sea necesario

bull realizar capacitaciones adicionales para el personal sobre seguridad de los datos

29 PRINCIPIO DE RESPONSABILIDAD DEMOSTRADAEl principio de responsabilidad demostrada se basa en la responsabilidad que tienen los controladores de datos de respetar los principios sentildealados anteriormente y de demostrar que en sus respectivas organizaciones se han adoptado medidas adecuadas yproporcionalesafindegarantizarsucumplimiento

Algunos ejemplos de estas medidas (todas muy recomendadas para permitir a las organizaciones humanitarias cumplir los requisitos relativos a la proteccioacuten de datos)son

bull elaborar poliacuteticas de tratamiento de datos personales (incluidas poliacuteticas de seguridad del tratamiento)

bull llevar un registro interno de las actividades relativas al tratamiento de datos

bull crear un oacutergano independiente que supervise la aplicacioacuten de las normas en materiadeproteccioacutendedatoscomounaoficinadeproteccioacutendedatosydesignar un delegado de proteccioacuten de datos

bull implementar programas de capacitacioacuten sobre proteccioacuten de datos para todo el personal

bull realizar evaluaciones de impacto relativas a la proteccioacuten de datos (EIPD)46

bull registrarse ante las autoridades competentes (como las autoridades de la proteccioacuten de datos) si la ley asiacute lo requiere y si no es incompatible con el principio de ldquono causar dantildeordquo

46 V Capiacutetulo 5 ldquoEvaluacioacuten de impacto relativa a la proteccioacuten de datos (EIPD)rdquo


210 INFORMACIOacuteNConforme al principio de transparencia los titulares de los datos deben recibir cierta informacioacuten relativa al tratamiento de sus datos personales Como norma esta informacioacuten debe brindarse antes de que los datos personales sean tratados aunque este principio puede limitarse cuando sea necesario prestar ayuda de emergencia

Los titulares de los datos deben recibir la informacioacuten en forma verbal o por escrito Este procedimiento ha de ser tan transparente como las circunstancias lo permitan y de ser posible dirigieacutendose directamente a las personas interesadas Si ello no es factible la organizacioacuten humanitaria debe evaluar la manera de brindar la informacioacuten por otros mediosporejemplopublicaacutendolaeninternetomediantefolletosoafichesexhibidosen lugares y formatos de faacutecil acceso (espacios puacuteblicos mercados lugares de culto u oficinasdelaorganizacioacuten)comunicacionesporradioodebatesconrepresentantesde la comunidad En la medida de lo posible los titulares de los datos deben estar informados sobre el tratamiento de sus datos personales en cuanto a los actos que se emprenden en su nombre y los consiguientes resultados

La informacioacuten brindada puede variar dependiendo de si fue obtenida directamente del titular de los datos o no

2101 DATOS OBTENIDOS DEL TITULAR DE LOS DATOS Los datos personales pueden obtenerse directamente de los titulares de los datos en virtud de las siguientes bases legiacutetimas47

bull intereacutes vital del titular de los datos o de otras personas

bull intereacutes puacuteblico

bull consentimiento individual

bull intereacutes legiacutetimo de la organizacioacuten humanitaria

bull obligacioacuten legiacutetima o contractual

Parte de la informacioacuten suministrada a los titulares de los datos en cada uno de los casos mencionados anteriormente dependeraacute de las circunstancias particulares En estesentido laprioridadesque la informacioacutenproporcionadaseasuficienteparapermitirlesejercereficazmentesusderechosrelativosalaproteccioacutendedatos48

47 V Capiacutetulo 3 ldquoBases legiacutetimas para el tratamiento de datos personalesrdquo48 V Seccioacuten 211 Derechos de los titulares de los datos


2102 NOTAS INFORMATIVASEnloscasosespeciacuteficosenqueelconsentimientopuedaserutilizadocomobaselegiacutetima49lapersonadeberaacutepoderapreciarplenamentelosriesgosylosbeneficiosdel tratamiento de datos o de lo contrario el consentimiento podriacutea no ser considerado vaacutelido

Es necesario brindar informacioacuten exhaustiva cuando se utiliza el consentimiento o cuando los titulares de los datos ejercen su derecho a objetar el tratamiento o a acceder asusdatosrectificarlosoeliminarlosCabesentildealarqueeltitulardelosdatospuedeobjetar el tratamiento o retirar su consentimiento en cualquier momento El titular de los datos deber recibir la siguiente informacioacuten cuando la base legiacutetima sea el consentimiento

bull la identidad y los datos de contacto del controlador de datos

bull elfinespeciacuteficodeltratamientodesusdatospersonalesconunaexplicacioacutendelosposiblesriesgosybeneficiosqueelloimplica

bull elhechodequeelcontroladordedatospuedetratarsusdatospersonalesconfinesdistintosdelosqueseespecificaroninicialmenteenelmomentodesuobtencioacuten(siemprequeseacompatibleconelfinespeciacuteficoquesemencionoacuteanteriormente)asiacutecomounindiciodecuaacutelessonesosotrosfinescompatibles

bull el hecho de que si otorgoacute su consentimiento tambieacuten podraacute retirarlo en cualquier momento

bull lascircunstanciasenlasquetalveznoseaposibletratardemaneraconfidencialsus datos personales

bull su derecho a objetar el tratamiento y a acceder a sus datos personales corregirlos y eliminarlos asiacute como la manera de ejercer esos derechos y las posibles limitaciones del ejercicio de sus derechos

bull a queacute terceros paiacuteses u organizacioacuten internacional el controlador de datos tal vez necesite transferir los datos para alcanzar el propoacutesito de la recopilacioacuten inicial y del tratamiento ulterior

bull el periacuteodo durante el cual se conservaraacuten los datos personales o al menos los criterios utilizados para determinarlo asiacute como las medidas que se adoptan para garantizar que esos datos sean correctos y esteacuten actualizados

bull con queacute otras organizaciones como las autoridades del paiacutes donde se obtuvieron los datos pueden compartirse los datos personales

bull en caso de que se adopten decisiones sobre la base de un tratamiento automatizado informacioacuten sobre la loacutegica empleada

bull una referencia de las medidas de seguridad que aplica el controlador de datos con respecto al tratamiento de los datos

49 V Seccioacuten 32 Consentimiento


En virtud de otras bases legiacutetimas para el tratamiento el controlador de datos deberaacute realizar un anaacutelisis de riesgos y bastaraacute con suministrar maacutes informacioacuten baacutesica Si la base legiacutetima no es el consentimiento se recomienda brindar como miacutenimo la siguienteinformacioacutenaltitulardelosdatos


bull elfinespeciacuteficodeltratamientodesusdatospersonales bull a quieacuten contactar para evacuar todas las dudas acerca del tratamiento de los

datos personales

bull con quieacuten se compartiraacuten los datos sobre todo si pueden intercambiarse con autoridades (por ejemplo autoridades encargadas de hacer cumplir la ley) o entidades en otro territorio u otra jurisdiccioacuten

Es posible suministrar informacioacuten adicional cuando sea necesario para que las personas puedan otorgar su consentimiento y ejercer sus derechos de acceso objecioacuten rectificacioacutenyeliminacioacutenobiensieltitulardelosdatossolicitamaacutesinformacioacuten50

En circunstancias excepcionales cuando debido a limitaciones logiacutesticas y de seguridad(comodificultadesparaaccederalterreno)noseaposibleproporcionarestainformacioacuten en forma inmediata o en el lugar donde se encuentren las personas o bien cuando los datos no hayan sido obtenidos directamente del titular la informacioacuten debe estar disponible lo antes posible de manera tal que las personas puedan obtenerla y comprenderla faacutecilmente51 Asimismo las organizaciones humanitarias deben abstenerse de recoger grandes conjuntos de datos de los beneficiarios hasta queesta informacioacuten pueda ser suministrada en forma adecuada a menos que ello sea absolutamente necesario por motivos humanitarios

2103 DATOS NO OBTENIDOS DEL TITULAR DE LOS DATOSCuando los datos personales no hayan sido obtenidos del titular de los datos y seguacuten cuaacutel haya sido la base legiacutetima utilizada para recoger los datos la informacioacuten expresada en la seccioacuten 2102 deberaacute suministrarse al titular de los datos dentro de un periacuteodo razonable posterior a la obtencioacuten de dichos datos teniendo en cuenta lascircunstanciasespeciacuteficasdesutratamientoosisepreveacutesudivulgacioacutenauntercero a maacutes tardar cuando los datos sean divulgados por primera vez seguacuten lo permitan las limitaciones de logiacutestica y de seguridad Este requisito no se aplicaraacute cuando el titular de los datos ya cuente con la informacioacuten o bien cuando sea imposible entregarla o si el hacerlo implicariacutea un esfuerzo desproporcionado en cuyo caso se deberaacute considerar la adopcioacuten de las medidas que se mencionan en la seccioacuten 210 (Informacioacuten) maacutes arriba

50 V Seccioacuten 210 Informacioacuten y la Seccioacuten 32 Consentimiento 51 V Seccioacuten 210 Informacioacuten


EJEMPLOLa informacioacuten puede suministrarse despueacutes de haber obtenido los datos cuando por ejemplo se documente un caso de proteccioacuten relativo a varias viacutectimas y la informacioacuten se obtiene de solo una de ellas o de un tercero o bien cuando las autoridades u otras organizaciones proporcionen listas de personas desplazadas para la distribucioacuten de ayuda

211 DERECHOS DE LOS TITULARES DE LOS DATOS2111 INTRODUCCIOacuteNEl respeto de los derechos de los titulares de los datos es un elemento clave de la proteccioacuten de datos Sin embargo como se explica a continuacioacuten el ejercicio de esos derechos estaacute sujeto a determinadas condiciones y puede estar limitado

Una persona debe poder ejercer estos derechos utilizando los procedimientos internos de la organizacioacuten humanitaria pertinente por ejemplo al presentar una consulta o una queja ante el delegado de proteccioacuten de datos de la organizacioacuten No obstante en funcioacuten del derecho aplicable y cuando el controlador de datos no sea una organizacioacuten internacional con inmunidad de jurisdiccioacuten la persona tambieacuten puede tener derecho a presentar un recurso ante la justicia o ante una autoridad encargada de la proteccioacuten de datos En el caso de las organizaciones internacionales los recursos pueden presentarse ante un oacutergano equivalente encargado de las revisiones independientes de los casos de la organizacioacuten52

2112 DERECHO DE ACCESO Los titulares de los datos deben poder presentar ante la organizacioacuten humanitaria una solicitud para acceder a sus datos ya sea en forma verbal o por escrito Los titulares delosdatosdeberiacuteantenerlaoportunidadderevisaryverificarsusdatospersonalesEl ejercicio de este derecho puede estar restringido si la proteccioacuten de los derechos y las libertades de otras personas asiacute lo requieren o bien si fuese necesario para documentar presuntas violaciones del derecho internacional humanitario o del derecho internacional de los derechos humanos

52 VComisioacutendeControldelosFicherosdeINTERPOLhttpswwwinterpolintesInternetAcerca-de-INTERPOLComisiC3B3n-de-Control-de-los-Ficheros-CCF e ICRC Data Protection Commission httpswwwicrcorgendocumenticrc-data-protection-independent-control-commission


Con la debida consideracioacuten de la situacioacuten imperante y sus limitaciones de seguridad los titulares de los datos deben tener la oportunidad de que la organizacioacuten humanitaria lesconfirmeaintervalosrazonablesyenformagratuitasisusdatospersonalesestaacutensiendo tratados o no Cuando los datos personales sean tratados los titulares deben poder acceder a sus datos excepto en los casos que se describen a continuacioacuten

El personal de la organizacioacuten humanitaria no debe revelar ninguacuten tipo de informacioacuten relativa a los titulares de los datos a menos que se les proporcione una prueba de identidad satisfactoria ya sea de dichos titulares o de su representante autorizado

El acceso a los documentos puede ser denegado cuando otros intereses prioritarios asiacute lo exijan Por lo tanto una organizacioacuten humanitaria puede restringir el acceso a un titular de los datos si existen intereses puacuteblicos o de terceros primordiales Esto es lo que sucede particularmente cuando no se puede otorgar acceso sin revelar datos personales de otras personas salvo cuando el documento o la informacioacuten puedan editarse para eliminar toda referencia a eseesos otros titulares o cuando se haya obtenido su consentimiento para la divulgacioacuten sin que ello suponga en ambos casos un esfuerzo desproporcionado

El acceso que podriacutea poner en riesgo la capacidad de la organizacioacuten humanitaria de llevar adelante los objetivos de su accioacuten humanitaria o que genere riesgos para la seguridad de su personal siempre constituiraacute un intereacutes prioritario Tambieacuten puede suceder en el caso de los documentos internos de la organizacioacuten humanitaria cuya divulgacioacuten podriacutea perjudicar la accioacuten humanitaria En tales casos siempre que sea posible y en funcioacuten de las circunstancias imperantes la organizacioacuten humanitaria deberaacute hacer todo lo posible para documentar la naturaleza de dichos intereses

La comunicacioacuten con los titulares de los datos respecto de la informacioacuten expresada en esta seccioacuten debe transmitirse en forma inteligible es decir que es posible que la organizacioacuten humanitaria deba explicar el tratamiento con maacutes detalle a los titulares de los datos u ofrecerles servicios de traduccioacuten Por ejemplo en general no basta con citar abreviaciones o teacuterminos meacutedicos para responder a una solicitud de acceso incluso si esas abreviaciones o esos teacuterminos estaacuten registrados


Por otra parte podriacutea resultar oportuno revelar datos personales a familiares o tutores en el caso de titulares de los datos desaparecidos inconscientes o fallecidos o en el caso de familiares de titulares de los datos que solicitan acceso por razones humanitarias o administrativas o bien en el marco de investigaciones de la historia familiar En este caso el personal de las organizaciones humanitarias tampoco debe revelar ninguacuten tipo de informacioacuten a menos que se les proporcionen pruebas satisfactorias de la identidad de la persona que solicita los datos y que demuestren el viacutenculo de parentesco o de tutela seguacuten corresponda asiacute como que se han hecho esfuerzos razonables para determinar la validez del pedido

2113 DERECHO DE RECTIFICACIOacuteNEl titular de los datos tambieacuten debe poder asegurarse de que la organizacioacuten humanitaria corrija todos los datos personales inexactos que le conciernan Teniendo en cuenta elpropoacutesitodel tratamientoel titularde losdatosdebepoderrectificar losdatospersonales incompletos por ejemplo suministrando informacioacuten complementaria

Cuandolarectificacioacutensoloconsisteenlacorreccioacutendealgunosdatosfaacutecticos(porejemplolamodificacioacutendeunnombremalescritooelcambiodeunadireccioacutenode un nuacutemero telefoacutenico) la prueba de que esos datos son inexactos podriacutea no ser indispensableSinembargosi lasolicitudderectificacioacutenguardarelacioacutencon lasconclusiones o los registros de una organizacioacuten humanitaria (como la identidad

Resolucioacuten 1244 del Consejo de Seguridad de las Naciones Unidas

Pristina Kosovo Flores frescas colocadas en las fotografiacuteas de personas desaparecidasdesdeelfindelaguerraen1999

O S

altb

ones

CIC

R


legiacutetima del titular de los datos o el lugar de residencia correcto para el enviacuteo de documentos juriacutedicos o bien informacioacuten maacutes sensible sobre la situacioacuten humanitaria del titular de los datos o informacioacuten meacutedica referida a dicho titular) el controlador de datos podriacutea exigir pruebas de la presunta inexactitud y evaluar la credibilidad de laafirmacioacutenEsassolicitudesnodebensuponerunacargadelapruebaexcesivaparaeltitulardelosdatosqueleimpidaobtenerunarectificacioacutendesusdatosAsimismoantes de realizar cualquier correccioacuten el personal de la organizacioacuten humanitaria deberiacutea solicitar una prueba satisfactoria de la identidad de los titulares de los datos o de su representante autorizado

2114 DERECHO DE ELIMINACIOacuteN El titular de los datos tiene derecho a que se eliminen sus datos personales de las bases dedatosdelaorganizacioacutenhumanitariaenlassiguientescircunstancias

bull losdatosyanosonnecesariosparaelfinconelcualseobtuvieronysetrataronulteriormente o de alguna otra manera

bull el titular de los datos retiroacute su consentimiento para el tratamiento y no hay ninguna otra base para el tratamiento de los datos53

bull el titular de los datos objeta de manera satisfactoria el tratamiento de sus datos personales54

bull el tratamiento incumple la legislacioacuten las normas y las poliacuteticas aplicables en materia de proteccioacuten de datos y privacidad

El ejercicio de este derecho puede estar restringido si la proteccioacuten de los derechos y las libertades de otras personas asiacute lo requieren o bien si fuese necesario para documentar presuntas violaciones del derecho internacional humanitario o del derecho internacional de los derechos humanos por motivos de intereacutes puacuteblico en el sector de salud puacuteblica para cumplir con una obligacioacuten juriacutedica aplicable paraformularejercerodefenderreglamoslegiacutetimosoconfineshistoacutericosodeinvestigacioacuten legiacutetimos sujeto a las garantiacuteas correspondientes y teniendo en cuenta los riesgos para el titular de los datos y sus intereses Un ejemplo podriacutea ser el intereacutes en conservar archivos que representen el patrimonio comuacuten de la humanidad Ademaacutes antes de efectuar cualquier eliminacioacuten el personal de la organizacioacuten humanitariadebesolicitarunapruebadeidentidadsuficientequeconfirmequelostitulares de los datos son quienes dicen ser

53 V Seccioacuten 32 Consentimiento54 V Seccioacuten 34 Motivos importantes de intereacutes puacuteblico y la Seccioacuten 35 Intereacutes legiacutetimo


EJEMPLO Una organizacioacuten humanitaria sospecha que una solicitud de eliminacioacuten de datos se presentoacute bajo presioacuten de un tercero y que dicha eliminacioacuten impediriacutea la proteccioacuten del titular de los datos o la documentacioacuten de una presunta violacioacuten del derecho internacional humanitario o del derecho internacional de los derechos humanos En ese casosejustificariacuteaquelaorganizacioacutenhumanitariaserehusaraaeliminarlosdatos

2115 DERECHO DE OBJECIOacuteNLos titulares de los datos tienen derecho a oponerse por motivos fundados y legiacutetimos relativos a su situacioacuten concreta al tratamiento de sus datos personales en cualquier momento

El ejercicio de este derecho puede restringirse de ser necesario si la organizacioacuten humanitaria tiene motivos fundados y legiacutetimos para el tratamiento que priman sobre los intereses los derechos y las libertades del titular de los datos Entre esos motivos se incluyen por ejemplo la proteccioacuten del titular de los datos o de los derechos y las libertades de otras personas la documentacioacuten de presuntas violaciones del derecho internacional humanitario o del derecho internacional de los derechos humanos la sustanciacioacutenelejerciciooladefensadereclamoslegiacutetimosoconfineshistoacutericosode investigacioacuten legiacutetimos sujeto a las garantiacuteas correspondientes y teniendo en cuenta los riesgos para el titular de los datos y sus intereses En estos casos la organizacioacuten humanitariadebe

bull informar al delegado de proteccioacuten de datos de la organizacioacuten si lo hubiera

bull informar de ser posible al titular de los datos sobre la intencioacuten de la organizacioacuten humanitaria de continuar con el tratamiento de los datos sobre esta base

bull informar de ser posible al titular de los datos sobre su derecho a solicitar la revisioacuten de una decisioacuten de la organizacioacuten humanitaria por parte del delegado de proteccioacuten de datos la autoridad estatal o el tribunal competente o bien del oacutergano equivalente en el caso de las organizaciones internacionales

Ademaacutes antes de aceptar cualquier objecioacuten el personal de la organizacioacuten humanitaria debesolicitarunapruebadeidentidadsuficientequeconfirmequelostitularesdelosdatos son quienes dicen ser


212 INTERCAMBIO DE DATOS E INTERCAMBIO INTERNACIONAL DE DATOS

Por lo general las situaciones de emergencia humanitaria exigen a las organizaciones humanitarias compartir datos personales con procesadores de datos y con terceros (incluso los que se encuentran en otros paiacuteses) o bien con organizaciones internacionales La legislacioacuten relativa a la proteccioacuten de datos restringe el intercambio de datos personales con terceros y el acceso a esos datos sobre todo en casos de transferencias a traveacutes de fronteras o entre jurisdicciones Asimismo muchas leyes sobre proteccioacuten de datos limitan el intercambio internacional de datos es decir todo acto que consista en facilitar datos personales fuera del paiacutes donde fueron inicialmente recopilados o tratados sea a una unidad diferente dentro de la misma organizacioacuten humanitaria que no goce de la condicioacuten de organizacioacuten internacional o bien a un tercero utilizando medios electroacutenicos internet u otra viacutea55

El intercambio de datos exige tener debidamente en cuenta todas las condiciones enunciadas en este manual Por ejemplo dado que el intercambio de datos es una forma de tratamiento debe existir una base legiacutetima para ello y solo puede realizarse conlafinalidadespeciacuteficadelarecoleccioacuteninicialodeltratamientoulteriordelosdatos Asimismo los titulares de los datos tienen derechos relativos al intercambio de datos y deben ser informados al respecto Las condiciones que rigen el intercambio internacionaldedatosseespecificanenelcapiacutetulo 4 ldquoIntercambio internacional de datosrdquo

55 V Capiacutetulo 4 ldquoIntercambio internacional de datosrdquo

CAPIacuteTULO 3

BASES LEGIacuteTIMAS PARA EL TRATAMIENTO DE DATOS PERSONALES


31 INTRODUCCIOacuteNEn virtud del principio de licitud del tratamiento de datos enunciado en el capiacutetulo 2 ldquoPrincipios baacutesicos relativos a la proteccioacuten de datosrdquo las operaciones relacionadas con el tratamiento de datos personales deben tener una base legiacutetima

En su labor las organizaciones humanitarias procesan datos personales valieacutendose de lassiguientesbaseslegiacutetimas



bull el consentimiento

bull intereacutes legiacutetimo

bull la ejecucioacuten de un contrato

bull el cumplimiento de una obligacioacuten legiacutetima

En las situaciones de emergencia en las que normalmente trabajan las organizaciones humanitarias a veces resulta difiacutecil satisfacer las condiciones elementales necesarias para obtener un consentimiento vaacutelido y sobre todo que sea libre e informado Por ejemplo este caso podriacutea darse cuando el consentimiento para tratar datos personales es un requisito indispensable para recibir asistencia o bien en el aacutembito de los recursos humanos si el consentimiento es un requisito de contratacioacuten

El tratamiento realizado por las organizaciones humanitarias a menudo puede basarse en el intereacutes vital o en fundamentos importantes de intereacutes puacuteblico56 por ejemplo en el marco del cumplimiento de un cometido establecido por el derecho nacional o internacionalParaellohandereunirselassiguientescondiciones

bull sisetratadelintereacutesvitaldisponerdeloselementossuficientesparaconsiderarque ante la ausencia del tratamiento la persona podriacutea quedar expuesta a sufrir dantildeos fiacutesicos o morales Si se trata de fundamentos importantes de intereacutes puacuteblico aclararquelasoperacionesespeciacuteficasrelacionadasconeltratamientorespondenal cometido conferido a la organizacioacuten humanitaria en virtud del derecho regional nacional o internacional o bien que dicha organizacioacuten lleva a cabo una tareaofuncioacutenespeciacuteficaestablecidaporleyyquesirvealintereacutespuacuteblico

bull suministrar a la persona informacioacuten clara respecto del tratamiento propuesto

bull garantizar que la persona pueda expresar su opinioacuten y ejercer su derecho de objecioacuten57 En cualquier caso la oportunidad de oponerse al tratamiento debe ofrecerse de la manera maacutes pronta y clara posible preferentemente cuando se recogenlosdatosSieltitulardelosdatosjustificaadecuadamentesuobjecioacutenal tratamiento y si este no es necesario por cualquier otro motivo legiacutetimo (por ejemplo la Seccioacuten 33 Intereacutes vital o la Seccioacuten 34 Fundamentos importantes de intereacutes puacuteblico el tratamiento deberaacute entonces dejarse sin efecto

56 V Seccioacuten 33 Intereacutes vital y la Seccioacuten 34 Fundamentos importantes de intereacutes puacuteblico57 V Capiacutetulo 2 ldquoPrincipios baacutesicos relativos a la proteccioacuten de datosrdquo

3 BASES LEGiacuteTIMAS PARA EL TRATAMIENTO DE DATOS PERSONALES 67

El hecho de ampararse en una base legiacutetima adecuada no exime a la organizacioacuten humanitaria de su responsabilidad de evaluar el riesgo que conlleva recoger almacenar o utilizar datos personales para una persona un grupo o la propia organizacioacuten humanitaria Cuando los riesgos son particularmente altos la organizacioacuten debe considerar en primer lugar si no seriacutea maacutes adecuado abstenerse de recolectar o tratar datos Esos riesgos pueden revelarse inmediatamente a partir de la experiencia de laorganizacioacutenobienpuedenestarocultosenlacomplejidaddelosflujosdedatosinherentes a una nueva solucioacuten tecnoloacutegica Por ende la evaluacioacuten de impacto relativaalaproteccioacutendedatos(EIPD)esunaherramientaclaveparaidentificaryatenuar todos los riesgos pertinentes58

32 CONSENTIMIENTOEl consentimiento es la base legiacutetima maacutes habitual y a menudo la maacutes elegida para el tratamiento de datos personales Sin embargo dada la vulnerabilidad de gran partedelosbeneficiariosylanaturalezadelasemergenciashumanitariasmuchasorganizaciones humanitarias no pueden utilizar el consentimiento como base para la mayoriacutea de los tratamientos de datos personales La eleccioacuten de otra base legiacutetima es particularmenteapropiadaenlassiguientessituaciones

bull el titular de los datos no estaacute fiacutesicamente en condiciones de ser informado y de prestar su libre consentimiento por ejemplo porque es una persona buscada o porque estaacute inconsciente

bull las condiciones logiacutesticas y de seguridad imperantes en la zona de operaciones no permiten a la organizacioacuten humanitaria informar a los titulares de los datos ni obtener su consentimiento

bull la magnitud de la operacioacuten que debe realizarse no permite a la organizacioacuten humanitaria informar a los titulares de los datos ni obtener su consentimiento Esto puede suceder por ejemplo cuando (i) se elaboran listas para la distribucioacuten de asistencia humanitaria entre un gran nuacutemero de personas desplazadas o (ii) las autoridades suministran a las organizaciones humanitarias una lista de personas protegidas en virtud de una disposicioacuten derivada del derecho internacional humanitario o del derecho de los derechos humanos

bull seguacuten el anaacutelisis realizado por la organizacioacuten el consentimiento del titular de los datos no puede ser vaacutelido porque por ejemplo es una persona particularmente vulnerable (nintildeos ancianos o personas con discapacidad) al momento de prestar consentimiento o bien porque en realidad no tiene la opcioacuten de negar su consentimiento debido a la situacioacuten de vulnerabilidad y de necesidad en la que se encuentraincluidalaausenciadeunaalternativaalaasistenciaespeciacuteficaofreciday al tratamiento de datos empleado

58 V Capiacutetulo 2 ldquoPrincipios baacutesicos relativos a la proteccioacuten de datosrdquo


bull seutilizannuevastecnologiacuteasquesecaracterizanporpresentarflujosdedatoscomplejos y un gran nuacutemero de partes interesadas como procesadores de datos y subencargados del tratamiento de datos situados en diversas jurisdicciones En esta situacioacutenunapersonanopuedepercibirplenamentelosriesgosylosbeneficiosde un tratamiento de datos y por ende asume la responsabilidad que conlleva del consentimiento En este caso resultaraacuten maacutes adecuadas otras bases legiacutetimas que exijan a las organizaciones humanitarias asumir una mayor responsabilidad respectodelaevaluacioacutendelosriesgosylosbeneficiosdeltratamiento

Cabe destacar que obtener consentimiento no es lo mismo que suministrar informacioacuten sobre el tratamiento de datos (Seccioacuten 210 Informacioacuten) es decir que incluso cuando el consentimiento no pueda utilizarse auacuten se mantiene la obligacioacuten de informar por ejemplosobreelderechodeobjecioacutendeeliminacioacutendeaccesoyderectificacioacuten

A continuacioacuten se describen las condiciones que un consentimiento debe reunir para ser vaacutelido

321 INEQUIacuteVOCOEl consentimiento debe ser plenamente informado y otorgarse libremente mediante cualquiermeacutetodoqueresulteadecuadoesdecirqueeltitulardelosdatosmanifiestesu aceptacioacuten del tratamiento de sus datos personales El consentimiento puede darse por escrito o de no ser ello posible en forma verbal o mediante otro acto claramente afirmativodeltitulardelosdatos(odesututoraseguacutencorresponda)

322 OPORTUNOEl consentimiento debe obtenerse al momento de recoger los datos o tan pronto como sea razonablemente posible

323 VALIDEZNo debe considerarse que el consentimiento se ha prestado libremente si el titular de los datos no tiene la opcioacuten libre y genuina de hacerlo si no puede negar o retirar su consentimientosinsufrirperjuiciososinoharecibidolainformacioacutensuficientequelepermita comprender las consecuencias del tratamiento de datos personales

324 VULNERABILIDADLa vulnerabilidad del titular de los datos debe tenerse en cuenta al considerar la validez del consentimiento La evaluacioacuten de la vulnerabilidad implica comprender las normas sociales culturales y religiosas del grupo al que pertenecen los titulares de los datos asiacute como asegurarse de que cada uno de ellos sea tratado en forma individual como elpropietariodesusdatospersonalesRespetaralaspersonassignificaconsiderarlasautoacutenomas independientes y libres para que tomen sus propias decisiones


La vulnerabilidad depende de ciertas circunstancias En este sentido deben tenerse en cuenta los siguientes factores59

bull las caracteriacutesticas del titular de los datos como el analfabetismo las discapacidades la edad el estado de salud el sexo y la orientacioacuten sexual

bull el lugar donde se encuentra el titular de los datos como un centro de detencioacuten un campamento de reasentamiento o una zona remota

bull los factores ambientales o de otro tipo como un entorno desconocido o un idioma y conceptos foraacuteneos

bull la posicioacuten del titular de los datos respecto de otras personas como su pertenencia a una etnia o grupo minoritario

bull las normas sociales culturales y religiosas de las familias las comunidades u otros grupos a los que pertenecen los titulares de los datos

bull la complejidad de la operacioacuten de tratamiento prevista sobre todo si se utilizan nuevas tecnologiacuteas complejas

EJEMPLO Una organizacioacuten humanitaria realiza una evaluacioacuten de una emergencia humanitaria Alhacerlo recogedatosdeposiblesbeneficiariosporejemplo informacioacutensobrelosmediosdesubsistenciay lasvulnerabilidadesespeciacuteficasde las familiasafinde elaborar un programa de asistencia adecuado que podriacutea incluir elementos relacionados con la nutricioacuten la salud y la proteccioacuten Ello implica recopilar y tratar un gran volumen de datos personales La organizacioacuten debe informar a las personas con quienes se entreviste sobre el motivo por el que se recogen los datos pero no seraacute pertinente basar la recopilacioacuten en su consentimiento En efecto esas personas no tienen realmente la posibilidad de prestar su consentimiento a la recopilacioacuten de datos porque se encuentran en una situacioacuten de extrema vulnerabilidad y no tienen verdaderamente otra alternativa maacutes que aceptar cualquier operacioacuten relacionada con el tratamiento y que esteacute asociada a la aceptacioacuten de la ayuda propuesta Por ende es conveniente buscar otra base legiacutetima y suministrar la informacioacuten pertinente incluida la opcioacuten de oponerse al tratamiento previsto

325 NINtildeOS

Los nintildeos constituyen una categoriacutea especialmente vulnerable de titulares de datos y su intereacutes superior es primordial en todas las decisiones que los incumban Si bien los puntos de vista y las opiniones de los nintildeos deben respetarse en todo momento es particularmente necesario determinar si el nintildeo comprende perfectamente los riesgos ylosbeneficiosasociadosaltratamientodesusdatosyllegadoelcasoasegurarsedeque pueda ejercer su derecho de objecioacuten y de que pueda prestar consentimiento vaacutelido La vulnerabilidad de los nintildeos debe evaluarse en funcioacuten de su edad y su madurez

59 Organizacioacuten Internacional para las Migraciones (OIM) Data Protection Manual (2010) paacutegs45-48httpspublicationsiomintbooksiom-data-protection-manual


El consentimiento de los padres o tutores legales puede ser necesario si el nintildeo no tiene lacapacidadlegiacutetimaparaprestarconsentimientoAesosfinesespreciso

bull suministrar informacioacuten completa a los padres o tutores legales y obtener su firmamediantelacualmanifiestensuconsentimiento

bull verificarqueeltitulardelosdatoshayasidoclaramenteinformadoyquesehayan tenido en cuenta sus puntos de vista

326 CONSENTIMIENTO INFORMADOPara ser aceptado como base legiacutetima para el tratamiento de datos el consentimiento debe ser informado Para ello el titular de los datos debe recibir explicaciones en un lenguaje simple sin jerga que le permita percibir y comprender plenamente las circunstanciaslosriesgosylosbeneficiosdeltratamiento60

CAJED (Concert drsquoactions pour jeunes et enfants deacutefavoriseacutes) (organizacioacuten que trabaja con nintildeos desfavorecidos)

60 V Seccioacuten 210 Informacioacuten

Un nintildeo recibe un mensaje de su familia en el centro de traacutensito y orientacioacuten para nintildeos CAJED anteriormente asociado con fuerzas armadas o grupos armados Provincia de Kivu Norte Repuacuteblica Democraacutetica del Congo

P M

oore

CIC

R


327 CONSENTIMIENTO DOCUMENTADOCuando el tratamiento se basa en el consentimiento del titular de los datos es importante que se lleve un registro de ello que permita demostrar que la persona ha prestadosuconsentimientoaltratamientoParaellopuedesolicitarseunafirmaounacruz en presencia de una organizacioacuten humanitaria o bien si es en forma verbal un documento redactado por una organizacioacuten humanitaria que acredite la obtencioacuten del consentimiento La praacutectica que consiste en pedir una impresioacuten de la huella dactilar solo paraconfirmarelconsentimientosibiennoesdesconocidaenelaacutembitohumanitarioresulta sumamente problemaacutetica dado que puede considerarse una recopilacioacuten de datos biomeacutetricos y por ende debe evitarse Para un anaacutelisis de los riesgos relacionados con la recopilacioacuten de datos biomeacutetricos v Capiacutetulo 8 ldquoBiometriacuteardquo

Cuando se utiliza el consentimiento es importante registrar todas las posibles limitacionesocondicionesrespectodesuutilizacioacutenasiacutecomolosfinesespeciacuteficospara los que se obtiene el consentimiento Estos elementos tambieacuten deben registrarse en todas las bases de datos utilizadas por las organizaciones humanitarias para tratar los datos correspondientes y deben acompantildear los datos durante todo el tratamiento

Cuando el consentimiento no haya sido registrado o no pueda encontrarse registro deeacutelnosedebecontinuarconeltratamientodedatos(locualsignificaquelosdatosno deben transferirse a terceros si no existe un registro del consentimiento para la transferencia) a menos que sea posible hacerlo en virtud de otra base legiacutetima que no sea el consentimiento (por ejemplo intereacutes vital intereacutes legiacutetimo o intereacutes puacuteblico)

328 NEGACIOacuteN O RETIRO DEL CONSENTIMIENTO Si los titulares de los datos niegan expresamente su consentimiento deberaacuten ser informados sobre las consecuencias de esa decisioacuten por ejemplo las posibles repercusiones en la asistencia que las organizaciones humanitarias y los terceros podriacutean prestar o no Sin embargo cabe destacar que si no fuese posible prestar asistencia en ausencia del consentimiento este no puede considerarse base legiacutetima para el tratamiento61

En cualquier instancia del tratamiento los titulares de los datos tienen derecho a oponerse al tratamiento o a retirar el consentimiento prestado Cuando una organizacioacuten humanitaria sospeche que el consentimiento haya sido retirado bajo presioacuten de terceros es probable que pueda continuar con el tratamiento de los datos personales del titular de los datos sobre otra base por ejemplo que hay intereses vitales en juego (v la Seccioacuten 33)

61 V Seccioacuten 32 Consentimiento (cuarta vintildeeta)


33 INTEREacuteS VITALCuando el consentimiento no se pueda obtener de manera vaacutelida auacuten es posible tratar datos personales si la organizacioacuten humanitaria establece que el tratamiento responde al intereacutes vital del titular de los datos o de otra persona es decir que es necesario para proteger un intereacutes que es esencial para la vida la integridad la salud la dignidad o la seguridad del titular de los datos o de otra persona

Teniendo en cuenta la naturaleza de su labor y las situaciones de emergencia en las que trabajan las organizaciones humanitarias pueden basar el tratamiento de datos en el intereacutesvitaldeltitulardelosdatosodeotrapersonaenlossiguientescasos

bull gestioacuten de expedientes relacionados con personas buscadas

bull asistenciaprestadaalasautoridadesparaidentificarrestoshumanosolocalizara los familiares de una persona fallecida En este caso los datos personales se trataraacuten para responder al intereacutes vital de la familia

bull asistencia prestada a una persona inconsciente o en peligro que no puede expresar su consentimiento

bull atencioacuten o asistencia de salud

bull el tratamiento incluida la divulgacioacuten de informacioacuten es la medida maacutes adecuada frente a una amenaza inminente contra la integridad fiacutesica y mental de los titulares de los datos o de otras personas

bull el tratamiento es necesario para satisfacer las necesidades esenciales de una persona o de una comunidad durante una emergencia humanitaria o inmediatamente despueacutes

Sin embargo en estos casos la organizacioacuten humanitaria en la medida de lo posible debe garantizar que los titulares de los datos sean informados acerca del tratamiento cuantoantesqueposeanlasuficienteinformacioacutenparacomprenderyapreciarlosfinesespeciacuteficosdelarecopilacioacutenydeltratamientodelosdatospersonalesyquesepan que pueden oponerse al tratamiento si asiacute lo desearan Para ello conviene brindar explicaciones directas cuando se recogen los datos y por ejemplo durante la distribucioacutendeasistenciapormediodeafichesexplicacionescolectivasoinformacioacutencomplementaria suministrada en folletos o en sitios de internet al momento de registrar losdatosdelosbeneficiariosodedistribuirlaayuda62

62 V Seccioacuten 251 Principio de licitud y lealtad del tratamiento y Seccioacuten 210 Informacioacuten


EJEMPLOUna organizacioacuten humanitaria necesita recoger datos personales de personas vulnerablestrasunacataacutestrofenaturalafindeprestarasistenciavital(comoalimentosagua y atencioacuten meacutedica) La organizacioacuten puede utilizar los intereses vitales de las personas como base legiacutetima para la recopilacioacuten de datos personales sin necesidad de obtener su consentimiento Sin embargo debe 1) garantizar que dicha base legiacutetima se utilizaraacute uacutenicamente para prestar esa asistencia 2) otorgar a las personas el derecho de objecioacuten y 3) tratar los datos recogidos conforme a su poliacutetica de privacidad la cual debe ser facilitada a los titulares de los datos si la solicitan Asimismo la organizacioacuten debe suministrar toda la informacioacuten pertinente sobre el tratamiento de datos por ejemplopormediodeafichesexplicacionescolectivasoinformacioacutencomplementariasuministrada en folletos o en sitios de internet al momento de registrar los datos de los beneficiariosodedistribuirlaayuda

34 FUNDAMENTOS IMPORTANTES DE INTEREacuteS PUacuteBLICO

Los fundamentos importantes de intereacutes puacuteblico entran en juego cuando la actividad responde a un cometido humanitario establecido por el derecho nacional o internacional o si se trata de alguna actividad dispuesta por ley que revista intereacutes puacuteblico Este es el caso por ejemplo del CICR de las Sociedades Nacionales de la Cruz Roja o de la Media Luna Roja del Alto Comisionado de las Naciones Unidas para los Refugiados (ACNUR) del Fondo de las Naciones Unidas para la Infancia (UNICEF) del Programa Mundial de Alimentos (PMA) de la Organizacioacuten Internacional para las Migraciones (OIM) y de otras organizaciones humanitarias que llevan a cabo una tarea o funcioacuten especiacuteficasestablecidasporleyyquerevistenintereacutespuacuteblicoenlamedidaenqueel tratamiento de datos personales sea necesario para cumplir esas tareas63 Aquiacute el teacutermino ldquonecesariordquo debe interpretarse en sentido estricto (es decir que el tratamiento de datos debe ser verdaderamente necesario y no simplemente conveniente64 para alcanzarlafinalidadpertinente)

Esta base legiacutetima puede resultar adecuada para la distribucioacuten de asistencia cuando noseafactibleobtenerelconsentimientodetodoslosposiblesbeneficiariosycuandono se tenga la certeza de si la vida la seguridad la dignidad y la integridad del titular de los datos o de otras personas estaacuten en juego (en cuyo caso el ldquointereacutes vitalrdquo podriacutea ser la base legiacutetima maacutes adecuada para el tratamiento)

63 Por ejemplo el cometido del CICR en virtud de los cuatro Convenios de Ginebra y del ProtocoloadicionalIesactuarencasodeconflictoarmadointernacionalAdemaacutestieneelderechodeintervencioacutenhumanitariaenconflictosarmadossincaraacutecterinternacionalhttpswwwicrcorgesel-cometido-y-la-mision-del-cicr

64 V ejemplo en la Seccioacuten 36 Ejecucioacuten de un contrato


Esta base legiacutetima tambieacuten puede ser pertinente en el caso de que se procesen datos personales de personas detenidas cuando este tipo de actividad forme parte del cometido de la organizacioacuten humanitaria de que se trate Esto puede ocurrir por ejemplo cuando el tratamiento de datos personales se relaciona con personas privadas de libertad en unconflictoarmadouotrasituacioacutendeviolenciacuandolaorganizacioacutenhumanitariano puede todaviacutea visitar al titular de los datos privado de libertad con lo cual no puede obtener su consentimiento y por ende si el consentimiento no se considera una base legiacutetima vaacutelida a raiacutez de la vulnerabilidad de los titulares de los datos

Tambieacuten en estos casos la organizacioacuten humanitaria en la medida de lo posible debe garantizar que los titulares de los datos sean informados cuanto antes acerca deltratamientodesusdatospersonalesqueposeanlasuficienteinformacioacutenparacomprenderyapreciarlosfinesespeciacuteficosdelarecopilacioacutenydeltratamientodelos datos personales y que sepan que pueden oponerse al tratamiento en cualquier momento si asiacute lo desearan

35 INTEREacuteS LEGIacuteTIMOLas organizaciones humanitarias tambieacuten pueden tratar datos personales cuando tengan un intereacutes legiacutetimo sobre todo cuando sea necesario hacerlo para llevar a cabo unaactividadhumanitariaespeciacuteficaprevistaenelmarcodesumisioacutenysiemprequelos derechos y las libertades fundamentales del titular de los datos no primen sobre ese intereacutes En estas situaciones el teacutermino ldquonecesariordquo debe interpretarse en sentido

Detenidos en la prisioacuten central de Monrovia Liberia

T G

lass

CIC

R


estricto (es decir que el tratamiento de datos debe ser verdaderamente necesario y no simplemente conveniente65paraalcanzarlafinalidadpertinente)

Elintereacuteslegiacutetimopuedeabarcarsituacionescomolassiguientes

bull el tratamiento es necesario para que la organizacioacuten humanitaria pueda cumplireficazmentesumisioacutencuandonopuedainvocarseninguacutenfundamentoimportante de intereacutes puacuteblico

bull el tratamiento es necesario para garantizar la seguridad de los sistemas informaacuteticos y de la informacioacuten66 asiacute como la seguridad de los servicios relacionados ofrecidos por medio de estos sistemas informaacuteticos o bien a traveacutes de autoridades puacuteblicas de equipos de respuesta a emergencias informaacuteticas (CERT) de equipos de respuesta a incidentes de seguridad informaacutetica (CSIRT) de proveedores de redes y servicios de comunicaciones electroacutenicas y de proveedores de tecnologiacuteas y servicios de seguridad Un ejemplo puede ser impedir el acceso no autorizado a las redes de comunicaciones electroacutenicas y la difusioacuten de coacutedigos maliciosos bloquear los ataques por ldquodenegacioacuten de serviciordquo e impedir los dantildeos a los sistemas informaacuteticos y de comunicaciones electroacutenicas

bull el tratamiento es necesario para prevenir probar y detener un fraude o un robo

bull el tratamiento es necesario para la anonimizacioacuten o seudonimizacioacuten de datos personales67

bull el tratamiento es necesario para establecer ejercer o defender un reclamo legal sea en un procedimiento judicial administrativo o extrajudicial

EJEMPLO Una organizacioacuten humanitaria procesa datos personales para escanear sus sistemas informaacuteticosenbuscadevirusparaverificarlaidentidaddelosbeneficiariosensulucha contra el fraude y para defenderse en un procedimiento judicial iniciado por un exempleado Todas estas actividades de tratamiento estaacuten permitidas sobre la base del intereacutes de la organizacioacuten

65 V ejemplo en Seccioacuten 36 Ejecucioacuten de un contrat066 Laseguridaddelainformacioacutenpuedeabarcarlaproteccioacutendelaconfidencialidadla

integridad y la disponibilidad de la informacioacuten asiacute como otras propiedades como la autenticidadlaimputabilidadelnorepudioylafiabilidadVISOIEC177992005Information technology ndash Security techniques ndash Code of practice for information security management httpwwwisoorgisocatalogue_detailcsnumber=39612

67 V Seccioacuten 23 Conjunto de datos agregados seudonimizados y anonimizados La seudonimizacioacuten es el tratamiento de datos personales de manera tal que esos datos yanopuedanatribuirseaunapersonaespeciacuteficasinutilizarinformacioacutenadicional


36 EJECUCIOacuteN DE UN CONTRATOLas organizaciones humanitarias pueden tratar datos personales sobre esta base legiacutetima cuando el tratamiento sea necesario para ejecutar un contrato del que el titular de los datos forma parte o bien para adoptar las medidas necesarias a pedido del titular de los datos antes de celebrar un contrato Una vez maacutes el teacutermino ldquonecesariordquo debe interpretarse en sentido estricto (es decir que el tratamiento de datos debe ser verdaderamentenecesarioynosimplementeconvenienteparaalcanzarlafinalidadpertinente)

Por lo general este seraacute el caso cuando el tratamiento de datos se realice con los siguientesfines

bull la gestioacuten de expedientes de recursos humanos incluida la contratacioacuten

bull la gestioacuten de las relaciones con proveedores de bienes o servicios

bull las relaciones con los donantes

EJEMPLO Una organizacioacuten humanitaria conserva expedientes personales de sus empleados para cumplir sus obligaciones que le atantildeen como empleador Este acto estaacute permitido para ejecutar sus obligaciones contractuales respecto de su personal En cambio si esta organizacioacuten externalizoacute el tratamiento de datos a un tercero ubicado en el mismo paiacutes donde se encuentra su sede permitir que ese tercero acceda a las bases de datos de la organizacioacuten no se consideraraacute un acto necesario para la ejecucioacuten de su contrato con la empresa subcontratista dado que la externalizacioacuten del tratamiento de datos fue una opcioacuten conveniente maacutes que necesaria En este caso deberiacutea evaluarse si el intereacutes legiacutetimo de la organizacioacuten podriacutea ser una base legiacutetima adecuada

37 CUMPLIMIENTO DE UNA OBLIGACIOacuteN JURIacuteDICALas organizaciones humanitarias pueden tratar datos personales sobre esta base legiacutetima cuando el tratamiento sea necesario para respetar una obligacioacuten juriacutedica que les atantildee o a la que estaacuten sujetas Por ejemplo este podriacutea ser el caso en el aacutembito del derecho laboral o bien para organizaciones que no gozan de privilegios ni de inmunidades si el tratamiento es necesario para cumplir una obligacioacuten legiacutetima


EJEMPLOEn el paiacutes donde desempentildea su labor una organizacioacuten humanitaria existe una ley que obliga a suministrar informacioacuten sobre la remuneracioacuten del personal a las autoridadesdeseguridadsocialydeadministracioacutenfiscalSilaorganizacioacutenserigepor la jurisdiccioacuten nacional la comunicacioacuten de esa informacioacuten estaraacute permitida en razoacuten de la obligacioacuten juriacutedica a la que estaacute sujeta la organizacioacuten

Sin embargo dado el entorno en el que trabajan las organizaciones humanitarias los siguientes factores deben tenerse en cuenta cuando se preveacute basar el tratamiento en una obligacioacuten legiacutetima Ellos seraacuten particularmente pertinentes cuando las autoridades exijan acceso a los datos personales para hacer cumplir la ley para actividades de inteligenciaoparaotrosfines

bull existencia del estado de derecho y de la divisioacuten de poderes en el paiacutes que solicita acceder a los datos

bull respeto de los derechos humanos incluido el derecho a una reparacioacuten judicial efectiva

bull existenciadeunconflictoarmadoodeunasituacioacutendeviolenciacuandolaautoridad que solicita el acceso pueda representar a una parte

bull la naturaleza de los datos y la posibilidad o imposibilidad de deducir informacioacuten que podriacutea dar lugar a discriminacioacuten o enjuiciamientos (por ejemplo si los datos relacionados con necesidades alimentarias revelan la pertenencia a alguna religioacuten si los datos relativos a la salud revelan la orientacioacuten sexual en un paiacutes donde los homosexuales son perseguidos o si el titular de los datos cuyos datos se solicitan enfrenta la pena de muerte) y

bull si la organizacioacuten humanitaria goza de privilegios e inmunidades en cuyo caso la obligacioacuten no es aplicable

En este sentido cabe subrayar que las organizaciones humanitarias deben determinar si alguna obligacioacuten legiacutetima de divulgar informacioacuten a la que esteacuten sujetas corre el riesgo de exponer a los titulares de los datos a sufrir medidas de discriminacioacuten persecucioacuten marginacioacuten o represioacuten y en ese caso deben evaluar la posibilidad de abstenerse de recoger datos en primer lugar

CAPIacuteTULO 4

INTERCAMBIO INTERNACIONAL DE DATOS


41 INTRODUCCIOacuteNLas emergencias humanitarias no conocen fronteras y a menudo crean la necesidad de que las organizaciones humanitarias intercambien datos a nivel internacional con otras entidades para brindar la respuesta humanitaria que se necesita Por lo tanto la circulacioacuten transfronteriza eficaz de datos personales es esencial para la laborde las organizaciones humanitarias Ademaacutes la adopcioacuten de nuevas tecnologiacuteas en las respuestas humanitarias requiere la participacioacuten de varios procesadores y subencargados del tratamiento de datos que casi inevitablemente se encuentran en jurisdicciones distintas a la del lugar donde ocurre la emergencia humanitaria Por ejemplo esta situacioacuten podriacutea darse cuando las organizaciones humanitarias recurren a soluciones informaacuteticas en la nube para tratar datos personales en cuyo caso los datos pueden estar alojados en el territorio donde la organizacioacuten tiene su sede mientras que los prestadores de servicios pueden actuar como procesadores y subencargados del tratamiento de datos en otras jurisdicciones68

Como se explicoacute en la seccioacuten 24 Derecho aplicable y organizaciones internacionales algunas organizaciones humanitarias son organizaciones internacionales que gozan de privilegios e inmunidades que les permiten cumplir con plena independencia el cometido encomendado por la comunidad internacional en virtud del derecho internacional Por consiguiente procesan datos personales conforme a sus normas internas que se aplican a la totalidad de su trabajo independientemente del territorio

68 V Capiacutetulo 10 ldquoServicios en la nuberdquo

Campamento de refugiados de Nizip cerca de la frontera con Siria provincia de Gaziantep Turquiacutea noviembre de 2016

U B

ekta

sRE

UTER

S


en el que desempentildeen su labor y estaacuten sujetas a los mecanismos de supervisioacuten y ejecucioacuten de sus propios sistemas de cumplimiento Por ello constituyen su propia ldquojurisdiccioacutenrdquo y los flujos de datos dentro de la organizacioacuten y de sus oacuterganossubordinados quedan fuera del aacutembito de aplicacioacuten de este capiacutetulo69

A continuacioacuten se enuncian algunos ejemplos de entidades con las que una organizacioacuten humanitariapodriacuteanecesitarintercambiardatosanivelinternacional

bull oficinasdentrodeunamismaorganizacioacutennogubernamental(ONG)quetrabajaen diferentes paiacuteses

bull otras ONG organizaciones internacionales y organismos de las Naciones Unidas

bull autoridades gubernamentales

bull procesadores de datos como prestadores de servicios consultores o investigadores que recogen o procesan datos personales en nombre de la organizacioacuten humanitaria

bull instituciones acadeacutemicas o investigadores particulares

bull empresas privadas

bull museos

El intercambio internacional de datos comprende todo acto que consista en facilitar datos personales fuera del paiacutes donde fueron inicialmente recopilados o tratados utilizando medios electroacutenicos internet u otros La publicacioacuten de datos personales en perioacutedicos internet o radio suele considerarse un intercambio de datos si permite acceder a los datos desde el exterior

El intercambio internacional de datos abarca todos los actos que dan lugar a la transferencia el intercambio o la obtencioacuten de datos personales fuera de las fronteras nacionales o con organizaciones internacionales Por ende el intercambio internacional dedatospuedecomprenderalgunadelassiguientessituaciones

bull Laorganizacioacutenhumanitariatransfieredatosaunaorganizacioacutenqueseencuentra en otra jurisdiccioacuten La entidad destinataria es un nuevo controlador dedatosquedeterminalosmediosylosfinesdeltratamiento

bull Laorganizacioacutenhumanitariatransfieredatosaunaorganizacioacutenqueseencuentra en otra jurisdiccioacuten pero sigue siendo quien decide los medios y los finesdeltratamientomientrasquelaentidaddestinatariaprocesalosdatospersonales uacutenicamente conforme a las instrucciones de la organizacioacuten En este caso la entidad que recibe los datos es un encargado del tratamiento de datos

El riesgo que conllevan estas dos situaciones es que una vez que se comparten los datos personales pierden toda o parte de la proteccioacuten de la que gozaban cuando eran tratados exclusivamente por la organizacioacuten humanitaria Por lo tanto en estos casos es importante que la organizacioacuten humanitaria que comparte los datos adopte todas las medidas razonables para evitar una peacuterdida accidental de la proteccioacuten

69 V Seccioacuten 24 Derecho aplicable y organizaciones internacionales


Cabe recordar que el intercambio de datos es una operacioacuten de tratamiento y que por ende estaacute sujeta a todas las exigencias enunciadas en los capiacutetulos anteriores70 A continuacioacuten se explican las precauciones adicionales que las organizaciones humanitarias deben tomar al realizar un intercambio internacional de datos

42 NORMAS BAacuteSICAS PARA EL INTERCAMBIO INTERNACIONAL DE DATOS

Para proteger el intercambio internacional de datos deben adoptarse todas las medidas siguientes

bull antes de la transferencia deben respetarse todas las normas relativas a la proteccioacuten de datos o los requisitos de privacidad aplicables al intercambio de datos71 (incluidos los previstos en la legislacioacuten local si corresponde)

bull la transferencia debe tener una base legiacutetima

bull deberealizarseunaevaluacioacutenparaverificarsilatransferenciapresentariesgosinaceptables para la persona (por ejemplo discriminacioacuten o represioacuten)

bull laorganizacioacutenquetransfierelosdatosdebepoderdemostrarquelaentidaddestinataria ha adoptado las medidas adecuadas para garantizar el respeto de los principios relativos a la proteccioacuten de datos enunciados en este manual a findepreservarelniveldeproteccioacutendelosdatospersonalesenelmarcodelintercambio internacional de datos (responsabilidad)

bull la persona debe ser informada acerca de la identidad de los destinatarios de la transferencia la cual no debe ser incompatible con las expectativas razonables de las personas cuyos datos son transferidos

43 BASE LEGIacuteTIMA DEL INTERCAMBIO INTERNACIONAL DE DATOS

431 INTRODUCCIOacuteN Como se sentildealoacute anteriormente este manual ha sido disentildeado para facilitar la aplicacioacuten y el respeto de los principios y los derechos relativos a la proteccioacuten de datos en situaciones humanitarias Sin embargo no reemplaza ni proporciona asesoramiento sobre la legislacioacuten nacional en materia de proteccioacuten de datos aplicable a una organizacioacuten humanitaria que no goza de los privilegios y las inmunidades que tiene una organizacioacuten internacional Por lo tanto cabe destacar que las consideraciones que se abordan en este capiacutetulo se antildeaden a otras exigencias de la legislacioacuten local del paiacutes desdedondesetransfierenlosdatosenlamedidaenqueseapliquenalaorganizacioacutenhumanitaria Decenas de paiacuteses de todas las regiones del mundo han promulgado leyes sobre proteccioacuten de datos que rigen el intercambio internacional de datos Para

70 V Capiacutetulo 2 ldquoPrincipios baacutesicos relativos a la proteccioacuten de datosrdquo y Capiacutetulo 3 ldquoBases legiacutetimas para el tratamiento de datos personalesrdquo



comprender las obligaciones que esas leyes le imponen la organizacioacuten humanitaria debe consultar a su delegado de proteccioacuten de datos al departamento juriacutedico o al asesor juriacutedico local

432 BASES LEGIacuteTIMAS DEL INTERCAMBIO INTERNACIONAL DE DATOS

Elintercambiointernacionaldedatospuederealizarse

bull cuando la transferencia responde a intereses vitales de los titulares de los datos o de otras personas

bull por fundamentos importantes de intereacutes puacuteblico sobre la base del cometido de la organizacioacuten humanitaria

bull cuando la transferencia de datos responde al intereacutes legiacutetimo de la organizacioacuten humanitaria sobre la base de su misioacuten declarada siempre que los derechos y las libertades fundamentales de los titulares de los datos no primen sobre este intereacutes y que la organizacioacuten humanitaria haya proporcionado las garantiacuteas correspondientes para los datos personales

bull con el consentimiento del titular de los datos

bull para ejecutar un contrato con el titular de los datos

Estas bases legiacutetimas se utilizan de manera similar a su aplicacioacuten en el marco del tratamiento de datos personales72 Asimismo dado que el intercambio internacional de datos supone riesgos adicionales es conveniente tener en cuenta los factores que se indican a continuacioacuten en la seccioacuten ldquoAtenuacioacuten de los riesgos para el individuordquo

44 ATENUACIOacuteN DE LOS RIESGOS PARA EL INDIVIDUOLos siguientes factores son importantes cuando se realiza un intercambio internacional dedatos

bull Losriesgospuedensermenoressilosdatossetransfierenaunaorganizacioacutensujeta a la jurisdiccioacuten de un paiacutes o a una organizacioacuten internacional que ofrece una proteccioacuten de datos que formalmente se ha considerado adecuada En teacuterminosgeneralesestosignificaqueeldestinatariodelosdatossesituacuteaenunpaiacutes donde se ha establecido formalmente que su reacutegimen regulatorio relativo a la proteccioacuten de datos cumple las maacutes rigurosas normas internacionales como la presencia de un organismo de supervisioacuten independiente la ausencia de vigilancia masiva y la posibilidad de que las personas accedan a reparaciones judiciales Sin embargo son apenas unos pocos paiacuteses los que tienen autoridades gubernamentales nacionales o regionales capaces de ofrecer una proteccioacuten formal adecuada Por ende en la mayoriacutea de los casos las organizaciones humanitarias rara vez tienen el nivel adecuado de proteccioacuten de datos La adecuacioacuten no es un requisito indispensable para el intercambio internacional de datos pero es un factor que debe tenerse en cuenta



bull Cuando los medios logiacutesticos lo permitan deben brindarse las garantiacuteas correspondientes para el intercambio internacional de datos por ejemplo prever claacuteusulas contractuales que obliguen al destinatario a ofrecer una proteccioacuten de datosapropiadaoverificarqueeldestinatariosecomprometaarespetaruncoacutedigode conducta relativo a la proteccioacuten de datos personales

bull La organizacioacuten humanitaria debe asumir la responsabilidad del intercambio internacional de datos que emprenda

Estos dos uacuteltimos factores se analizan con mayor profundidad a continuacioacuten

EJEMPLO Una ONG humanitaria tiene su sede en un paiacutes X y desea transferir a otra ONG en un paiacutes Y expedientes que contienen datos personales sobre personas vulnerables a las que prestan servicios humanitarios Para ello pondraacute los expedientes a disposicioacuten de la ONG en el paiacutes Y subieacutendolos a su plataforma segura de internet para que pueda acceder a los datos Las autoridades puacuteblicas del paiacutes X han determinado formalmente que el paiacutes Y ofrece un nivel adecuado de proteccioacuten de datos El hecho de subir los expedientes a la plataforma de internet se considera un intercambio internacional de datos pero la transferencia puede realizarse sobre la base de que existe un nivel de proteccioacuten adecuado en el paiacutes Y siempre que se respeten las otras consideraciones que se enumeran a continuacioacuten en la seccioacuten 441 ldquoGarantiacuteas correspondientesrdquo

441 GARANTIacuteAS CORRESPONDIENTESCLAacuteUSULAS CONTRACTUALESCuando decide atenuar los riesgos relacionados con el intercambio internacional de datos una organizacioacuten humanitaria debe garantizar que el destinatario aplique todas las garantiacuteas correspondientes para proteger los datos personales

En la praacutectica esas garantiacuteas pueden proporcionarse mediante un acuerdo legiacutetimamente vinculante redactado por la misma organizacioacuten humanitaria o inspirado en otras fuentes reconocidas internacionalmente mediante el cual la organizacioacuten y la parte a laquese transfieren losdatospersonales se comprometenaproteger losdatoscorrespondientes sobre la base de las normas relativas a la proteccioacuten de datos que se aplican a la organizacioacuten humanitaria

La Comisioacuten Europea ha publicado modelos de claacuteusulas contractuales para las transferencias realizadas por los controladores de datos a los controladores y procesadores de datos ubicados fuera de la Unioacuten Europea o del Espacio Econoacutemico Europeo73 destinados a las organizaciones humanitarias que esteacuten sujetas a la legislacioacuten relativa a la proteccioacuten de datos de la Unioacuten Europea o que deseen utilizar estas claacuteusulas

73 V Comisioacuten Europea modelos de contratos para la transferencia de datos personales atercerospaiacuteseshttpseceuropaeuinfolawlaw-topicdata-protectioninternational-dimension-data-protectionstandard-contractual-clauses-scc_en


Cuando se decide atenuar los riesgos tambieacuten es necesario determinar si la otra parte que participa en el intercambio de datos se compromete a respetar un coacutedigo de conducta que rija el tratamiento de datos personales74 asiacute como la medida en que ese coacutedigo de conducta es efectivamente aplicable si es vinculante y si es exigible o noIncluso cuando exista una base legiacutetima para la transferencia y se apliquen medidas de atenuacioacuten el intercambio internacional de datos podriacutea ser inapropiado por los siguientesmotivos

bull la naturaleza de los datos podriacutea poner en peligro a las personas

bull existenrazonessuficientesparacreerquelaspartesquerecibenlosdatosnosoncapaces de garantizar una proteccioacuten adecuada

bull dadas las condiciones imperantes en el paiacutes donde se enviaraacuten los datos es poco probable que estos sean protegidos

bull los datos se procesan sobre la base de una proteccioacuten otorgada por la inmunidad de jurisdiccioacuten de una organizacioacuten y la organizacioacuten destinataria no goza de esa inmunidad

EJEMPLO Unaorganizacioacutenhumanitariaqueesunaorganizacioacuten internacional conoficinasen un paiacutes X desea transferir a una ONG situada en el mismo paiacutes expedientes que contienen datos personales sobre personas vulnerables a las que prestan servicios humanitarios Dado que la transferencia es de una organizacioacuten internacional a una organizacioacuten sujeta a la jurisdiccioacuten de X se trata de un intercambio internacional de datosLaorganizacioacutenhumanitariafirmaclaacuteusulascontractualestipoconlaONGSinembargo las instalaciones de la ONG estaacuten altamente expuestas a sufrir ataques de un grupo armado y ademaacutes ya ha perdido anteriormente datos que le habiacutean enviado La organizacioacuten humanitaria debe entonces considerar seriamente no transferir los datos independientementedequesehayanfirmadoclaacuteusulascontractuales

Para detectar y abordar o atenuar correctamente esos riesgos es conveniente efectuar una EIPD75 En caso de duda debe consultarse al delegado de proteccioacuten de datos de la organizacioacuten humanitaria

442 RESPONSABILIDADEs importante que la organizacioacuten humanitaria que inicia la transferencia pueda demostrar que se han adoptado las medidas adecuadas y proporcionales para garantizar el respeto de los principios baacutesicos relativos a la proteccioacuten de datos en el marco del

74 V por ejemplo el Coacutedigo de Conducta sobre proteccioacuten de datos personales en las actividades de restablecimiento del contacto entre familiares del Movimiento Internacional de la Cruz Roja ydelaMediaLunaRojahttpswwwicrcorgesdocumentcodigo-conducta-proteccion-datos-personales-actividades-restablecimiento-contactos-familiares



intercambio internacional de datos La organizacioacuten humanitaria es responsable ante el titulardelosdatoscuyosdatossoncompartidosEstasmedidaspuedenserlassiguientes

bull llevar registros internos relacionados con el tratamiento de datos y sobre todo un registro de la transferencia asiacute como una copia del acuerdo de transferencia dedatoscelebradoconlapartealaquesetransfierenlosdatospersonalesdecorresponder

bull designar a un encargado de proteccioacuten de datos

bull elaborar poliacuteticas de tratamiento de datos personales incluida una poliacutetica de seguridad de los datos

bull realizar una EIPD en relacioacuten con la transferencia y llevar un registro pertinente

bull registrar la transferencia ante las autoridades competentes (es decir las autoridades de la proteccioacuten de datos) si asiacute lo exige la legislacioacuten aplicable

Para todo intercambio internacional de datos deben tomarse las medidas adecuadas para proteger la transmisioacuten de datos personales a terceros El nivel de seguridad76 adoptado y el meacutetodo de transmisioacuten deben ser proporcionales a la naturaleza y la sensibilidad de los datos personales asiacute como a los riesgos en juego Asimismo es aconsejable analizar este aspecto como parte de una EIPD a fin de precisar lasprecauciones que han de tomarse

45 RELACIOacuteN ENTRE EL CONTROLADOR DE DATOS Y EL ENCARGADO DEL TRATAMIENTO DE DATOS

Si un controlador de datos contrata a un encargado del tratamiento de datos ubicado en el mismo paiacutes o no su relacioacuten debe regirse en la mayor medida posible por un acuerdo vinculante que los obligue a proteger el tratamiento de datos personales que comparten entre siacute

Afindegarantizarunaproteccioacutenadecuadadelosdatospersonaleslosdocumentoscontractualespertinentesdebenprecisarunaseriedefactoresporejemplo

bull si el encargado del tratamiento de datos estaacute sujeto a poliacuteticas de conservacioacuten de datos aceptables (por ejemplo los operadores de telefoniacutea moacutevil o las instituciones financierastienenobligacionesanivelnacionalrelacionadasconlaconservacioacutende datos)

bull queacute otros tipos de datos recoge el encargado del tratamiento de datos en el marco del tratamiento (por ejemplo en el caso de los operadores de telefoniacutea moacutevil datos de geolocalizacioacuten u otros metadatos telefoacutenicos)

bull si el tratamiento de datos personales que efectuacutea el encargado del tratamiento de datos respeta las instrucciones provistas por el controlador de datos

bull queacute haraacute el encargado del tratamiento de datos con los datos personales una vez realizado el tratamiento para el cual se lo contratoacute

76 V Seccioacuten 28 Seguridad de los datos y seguridad del tratamiento


46 DIVULGACIOacuteN DE DATOS PERSONALES A LAS AUTORIDADES

Para las organizaciones humanitarias la divulgacioacuten y la transferencia de datos personales a las autoridades puede plantear varios problemas sobre todo cuando las autoridadesrepresentanaunaparteenunconflictooaunactorenotrassituacionesde violencia Esa divulgacioacuten puede resultar contraria a una accioacuten humanitaria neutral imparcial e independiente en particular si representa un perjuicio para un titular de los datos en vista de su situacioacuten humanitaria o bien cuando la transferencia compromete laseguridaddelaorganizacioacutenosuaccesofuturoapersonasafectadasporconflictosarmadosuotrassituacionesdeviolenciaalaspartesenunconflictooalainformacioacutennecesaria para cumplir su cometido

Las organizaciones humanitarias que tienen estatuto de organizacioacuten internacional y que como tal gozan de privilegios e inmunidades deben asegurarse de que su estatuto sea respetado y abstenerse de aceptar esos pedidos a menos que el intereacutes de los titulares de los datos y de la accioacuten humanitaria lo requieran Cuando una organizacioacuten humanitaria que goza de privilegios e inmunidades necesita transferir datos a organizaciones humanitarias que no cuentan con esos privilegios e inmunidades debe tenerse en cuenta el riesgo de que el destinatario no pueda oponerse a dichos pedidosEsteriesgosereconoceespeciacuteficamenteenlaResolucioacutensobreprivacidadyaccioacuten internacional humanitaria aprobada en 2015 por la Conferencia Internacional de Autoridades de Proteccioacuten de Datos y Privacidad77

Las organizaciones humanitarias que no se benefician de los Privilegios e Inmunidades pueden ser presionadas para proporcionar datos recolectados con fines humanitarios a autoridades que deseen usar dichos datos para otros fines (por ejemplo control de flujos migratorios y la lucha contra el terrorismo) El riesgo del uso indebido de los datos puede tener un grave impacto en los derechos de proteccioacuten de datos de las personas desplazadas y puede ser perjudicial para su seguridad asiacute como para la accioacuten humanitaria en general

77 Conferencia Internacional de Autoridades de Proteccioacuten de Datos y Privacidad Resolucioacuten sobre privacidad y accioacuten internacional humanitaria Aacutemsterdam 2015 ob cit

CAPIacuteTULO 5

EVALUACIOacuteN DE IMPACTO RELATIVA A LA PROTECCIOacuteN DE DATOS (EIPD)


51 INTRODUCCIOacuteNEl tratamiento de datos personales puede aumentar los riesgos a los que se exponen las personas los grupos las organizaciones y la sociedad en general El objetivo de una evaluacioacuten de impacto relativa a la proteccioacuten de datos (EIPD)78esidentificarevaluary abordar los riesgos para los datos personales (y en uacuteltima instancia para el titular de los datos) que surgen de un proyecto una poliacutetica un programa u otra iniciativa En uacuteltima instancia una EIPD debe encaminarse hacia medidas que contribuyan a evitar minimizar transferir o compartir los riesgos relacionados con la proteccioacuten de datos Asimismo debe seguir a un proyecto o una iniciativa que requiera el tratamiento de datos personales a lo largo de todo su ciclo de vida y deberaacute ser revisada cuando ese proyectosemodifiqueocuandosurjanyseevidenciennuevosriesgos

A continuacioacuten algunos ejemplos de situaciones en las que es conveniente realizar una EIPD

bull LasoficinasdelaorganizacioacutenhumanitariahansidounavezmaacutesobjetodelpillajeLaorganizacioacutendeseaquesusoficinasenelterrenosedeshagandesusarchivos en papel o bien que los enviacuteen a la sede y que utilicen en cambio un sistemadealmacenamientoenlanubeiquestLasoficinasenelterrenodeberiacuteandeshacerse de los papeles los CD y las memorias USB

bull Una ONG local o una autoridad local se pone en contacto con una organizacioacuten humanitaria para manifestarle su deseo de reunir a familias separadas por la violencia en el paiacutes Quiere que la organizacioacuten humanitaria le suministre toda la informacioacuten que posea sobre las personas desaparecidas alliacute iquestDeberiacutea la organizacioacuten brindar esa informacioacuten De ser asiacute iquestcuaacutentos datos personales deberiacutean suministrarse para encontrar a las personas desaparecidas iquestEn queacute condiciones deberiacutean comunicarse los datos personales al Gobierno del paiacutes receptor

bull Un tsunami destruye una decena de ciudades costeras Miles de personas son dadas por desaparecidas iquestCuaacutenta informacioacuten personal deberiacutea recoger la organizacioacuten humanitaria de los familiares de las personas desaparecidas iquestMucha o poca iquestEsa informacioacuten deberiacutea abarcar datos relativos a la salud o a la geneacutetica o bien datos sobre la pertenencia a alguna religioacuten u opiniones poliacuteticas que en caso de divulgarse podriacutea causar un importante perjuicio para los individuos

bull iquestLas organizaciones humanitarias deberiacutean publicar en internet fotografiacuteas de menores no acompantildeados de los cuales se desconoce su paradero iquestLa organizacioacutenhumanitariadeberiacuteaexhibirafichesiquestEnqueacutecircunstancias

La EIPD puede desempentildear un papel decisivo para determinar quieacutenes podriacutean padecer los riesgos en materia de proteccioacuten de la privacidad o de los datos y de queacute manera

78 Los autores agradecen a Trilateral Research por permitirles utilizar los documentos sobre las evaluaciones de impacto relativas a la proteccioacuten de datos

5 EvALUACIOacuteN DE IMPACTO RELATIvA A LA PROTECCIOacuteN DE DATOS (EIPD) 91

Este capiacutetulo explica paso a paso a las organizaciones humanitarias coacutemo realizar unaEIPDyqueacuteelementosdebeconteneruninformedeEIPDEnelanexoIfigurauna plantilla de informe de EIPD79ElinformedeEIPDnomarcaelfinaldelprocesode evaluacioacuten pero siacute es esencial para su eacutexito Ayuda a la organizacioacuten humanitaria a determinar las consecuencias que un proyecto previsto tendraacute en la privacidad y las medidas que deben adoptarse para garantizar que ese proyecto proteja los datos personales Tambieacuten ayuda a la organizacioacuten humanitaria a brindar a las partes interesadas la seguridad de que por un lado el derecho a la privacidad y a la proteccioacuten de datos se trata con seriedad y por otro de que la organizacioacuten solicita la opinioacuten de quienes podriacutean verse afectados por el programa o estar interesados en eacutel Las organizaciones humanitarias deben considerar la posibilidad de compartir con las partes interesadas el informe de EIPD o al menos un resumen de eacutel

79 V apeacutendice I - Plantilla de informe de EIPD

Los resultados obtenidos en el hospital de distrito de Chikwawa se comunican por teleacutefono a los dispensarios locales Malaui 2014

Sche

rmbr

ucke

rUN

ICEF


52 PROCESO DE EIPDEn esta seccioacuten se describen los pasos necesarios que permiten realizar una EIPD Una EIPD puede seguir diferentes enfoques Las indicaciones a continuacioacuten se inspiran en las praacutecticas idoacuteneas de diversas fuentes80

521 iquestES NECESARIA LA EIPDTodas las organizaciones que recogen procesan almacenan o transfieren datospersonales a otras organizaciones deben considerar la realizacioacuten de una EIPD cuyo alcance dependeraacute de la gravedad de los riesgos evaluados Una organizacioacuten humanitaria no siempre conoce de antemano todos los riesgos relacionados con la proteccioacuten de datos algunos de los cuales pueden revelarse durante el transcurso de la EIPDPuedeconsiderarquelosriesgossontanbajosquenojustificanlarealizacioacutendeuna EIPD Algunos riesgos pueden ser reales pero relativamente miacutenimos de manera que el proceso de EIPD y el informe pueden acortarse Por el contrario otros riesgos pueden ser muy graves en cuyo caso la organizacioacuten humanitaria desearaacute realizar una EIPD exhaustiva No existe una solucioacuten universal

522 EQUIPO ENCARGADO DE LA EIPDEl segundo paso consiste en formar un equipo de EIPD y elaborar el pliego de condiciones El equipo debe tener o consultar al delegado de proteccioacuten de datos de la organizacioacuten humanitaria En funcioacuten del alcance de la EIPD que se realizaraacute podriacutea reunir a especialistas en servicios informaacuteticos servicios juriacutedicos operaciones proteccioacutenpoliacuteticasplanificacioacutenestrateacutegicaarchivosygestioacutendelainformacioacutenasiacute como grupos de relaciones puacuteblicas pertenecientes a la organizacioacuten humanitaria El equipo que efectuacutee la EIPD debe conocer tanto las exigencias en materia de proteccioacutendedatoscomolasnormasdeconfidencialidadyloscoacutedigosdeconductade la organizacioacuten humanitaria Como un aspecto importante tambieacuten deberiacutea incluir a miembros que esteacuten familiarizados con el proyecto previsto La elaboracioacuten de un plieguedecondicionesimplicaplanificarelplazoderealizacioacutendelaEIPDsualcancelas partes interesadas que seraacuten consultadas el presupuesto y las medidas de control y de auditoriacutea que se adoptaraacuten despueacutes de la evaluacioacuten

80 DavidWrightldquoMakingPrivacyImpactAssessmentMoreEffectiverdquoThe Information Society(vol29ndeg52013)paacutegs307-315OfficeoftheNSWPrivacyCommissionerGuidance Guide to Privacy Impact Assessments in NSW octubre de 2016 Siacutedney NSW Australia secretariacutea de ISOIEC JTC 1SC 27 Information technology ndash Security techniques ndash Privacy impact assessment ndash MethodologyISOIECnthWD29134juniode2017 httpswwwisoorgstandard62289html


523 DESCRIPCIOacuteN DEL TRATAMIENTO DE DATOS PERSONALESEl equipo encargado de realizar la EIPD debe preparar una descripcioacuten del programa o delaactividadqueseevaluaraacutelacualdeberaacuteprecisar

bull los objetivos del proyecto

bull el alcance del proyecto

bull los viacutenculos con otros proyectos o programas

bull el equipo responsable del programa o de la actividad

bull una breve explicacioacuten del tipo de datos que se recogeraacuten

LacartografiacuteadelosflujosdedatosesunpasoclaveentodaslasEIPDAlrepresentarenunmapalosflujosdeinformacioacutendeunprogramaodeunaactividadenparticularelequipoencargadodelaEIPDdebetenerencuentalassiguientespreguntas

bull iquestQueacute tipos de datos personales se recogen de quieacutenes y por queacute

bull iquestDe queacute manera se utilizaraacuten almacenaraacuten o transferiraacuten esos datos

bull iquestQuieacutenes tendraacuten acceso a los datos personales

bull iquestQueacute medidas de seguridad estaacuten implementadas para proteger los datos personales

bull iquestDurante cuaacutento tiempo se conservaraacuten los datos o cuaacutendo se eliminaraacuten iquestSe hanidentificadodistintosnivelesdeconservacioacutendedatosPorejemplo(1)almacenamiento de datos considerados sensibles durante un maacuteximo de X diacuteas (2) seudonimizacioacuten de los datos y almacenamiento durante un periacuteodo maacutes largo y por uacuteltimo (3) eliminacioacuten total de los datos

bull iquestLos datos pasaraacuten por un proceso de limpieza o de anonimizacioacuten para proteger la informacioacuten sensible

524 CONSULTA A LAS PARTES INTERESADASLaidentificacioacutendelaspartesinteresadasesunaparteimportantedelaEIPDSonldquopartes interesadasrdquo las personas interesadas en los riesgos relacionados con la proteccioacuten de datos o que se vea afectadas por ellos y pueden encontrarse dentro de una organizacioacuten o ser externas a ella La gravedad de los riesgos estimados por la organizacioacuten humanitaria determinaraacute si resulta necesario u oportuno consultar a las partes interesadas externas Para una organizacioacuten humanitaria la consulta a las partesinteresadasesunamaneradeidentificarlosriesgosolassolucionesquepodriacuteahaber pasado por alto pero tambieacuten de sensibilizar acerca de la proteccioacuten de datos y del respeto de la privacidad Los informes de EIPD y las recomendaciones que alliacute se formulen deben tener en cuenta las opiniones de las partes interesadas Para una consultaeficazellasdebencontarconlainformacioacutensuficienteacercadelprogramaydeben tener la oportunidad de expresar sus puntos de vista Existen diferentes maneras de incluir la participacioacuten de las partes interesadas por lo que el equipo encargado de la EIPD debe entonces determinar cuaacutel es la maacutes adecuada en funcioacuten del programa o de la actividad


525 IDENTIFICACIOacuteN DE LOS RIESGOSUnamanerade identificar los riesgoses crearunaplanilladondeseenumeren losprincipios relativos al respeto de la privacidad las amenazas para esos principios las vulnerabilidades (susceptibilidad a las amenazas) y los riesgos que surgen a partir de las amenazas y las vulnerabilidades Una amenaza sin vulnerabilidad no constituye un riesgo y viceversa Existe un riesgo cuando una amenaza se aprovecha de una vulnerabilidad

526 EVALUACIOacuteN DE LOS RIESGOSUna evaluacioacuten de riesgos para la proteccioacuten de datos estima la probabilidad de que ocurra un determinado acontecimiento y sus consecuencias (es decir los impactos) La evaluacioacutenderiesgospuederequerirlassiguientesmedidas

bull consultar a las partes interesadas internas y externas y entablar debates con ellas afindeidentificarriesgosamenazasyvulnerabilidades

bull evaluar los riesgos en comparacioacuten con los criterios de riesgos acordados81

bull evaluar los riesgos en teacuterminos de probabilidad y gravedad del impacto

bull evaluar los riesgos en comparacioacuten con los criterios de necesidad adecuacioacuten y proporcionalidad

527 IDENTIFICACIOacuteN DE LAS SOLUCIONESEsta etapa consiste en idear estrategias para eliminar evitar reducir o transferir los riesgos contra la privacidad Estas estrategias pueden abarcar soluciones teacutecnicas controles operacionales u organizativos y estrategias de comunicacioacuten (por ejemplo para sensibilizar)

528 RECOMENDACIONESEl equipo encargado de la EIPD debe formular una serie de recomendaciones en funcioacuten del resultado de las etapas anteriores Estas recomendaciones pueden consistir en un conjuntodesolucionesencambiosanivelorganizativoyenposiblesmodificacionesde la estrategia global de proteccioacuten de datos de la organizacioacuten humanitaria o de su programa y deben estar presentes en el informe de EIPD

529 APLICACIOacuteN DE LAS RECOMENDACIONES ACORDADASEl equipo encargado de la EIPD debe elaborar un informe escrito sobre las consideraciones y las conclusiones de la EIPD Dado que las organizaciones necesitaraacuten realizar estas evaluaciones con regularidad la longitud y el nivel de precisioacuten de los informes de EIPD seraacuten muy variables Por ejemplo una organizacioacuten que preveacute publicardatospersonalesconfinesdeinvestigacioacutendebeelaborarunadocumentacioacutenquereflejeendetallesuanaacutelisisdeimpactorelativoalaproteccioacutendedatosEncambiouna organizacioacuten que debe decidir si cambia una marca de procesador de textos por otra debe tomar en consideracioacuten la proteccioacuten de los datos dado que el programa se

81 ParalasdefinicionesdeteacuterminosrelacionadosconriesgosvISOGuide732009Risk management - Vocabulary httpswwwisoorgobpuiisostdisoguide73ed-1v1en


utilizaraacute para tratar datos personales pero probablemente no sea necesario realizar unaEIPDexhaustiva(amenosqueelprocesadorimpliquenuevosflujosdedatosenunentorno en la nube)

Ademaacutes de la documentacioacuten y la puesta en praacutectica de decisiones en materia de proteccioacuten de datos una organizacioacuten humanitaria debe determinar si a los titulares de los datos o al puacuteblico en general les serviriacutea comprender las consideraciones que sustentan ese tipo de decisiones Por lo tanto podriacutea compartir el informe (todo o en parte) con las partes interesadas pertinentes y asiacute demostrar que la proteccioacuten de datos se trata con seriedad Una manera de sensibilizar a las partes interesadas y de solicitarles comentarios o sugerencias adicionales es entregarles el informe de EIPD Sin embargo en algunos casos la organizacioacuten humanitaria puede decidir que no es oportuno dar a conocer el informe de EIPD si contiene informacioacuten sensible (por ejemplo por motivos de seguridad fiacutesica de continuidad de las operaciones o de acceso) En esos casos la organizacioacuten humanitaria debe determinar si es conveniente dar a conocer un resumen del informe de EIPD o bien una versioacuten editada

5210 CONTROL O AUDITORIacuteA DE LA EIPD POR UN EXPERTOLas organizaciones humanitarias deben garantizar que la implementacioacuten de la EIPD sea controlada o auditada por un experto en proteccioacuten de datos como el delegado de proteccioacuten de datos de la organizacioacuten o su equipo En aras de que la auditoriacutea sea rigurosa el informe de la EIPD debe incluir una seccioacuten sobre la metodologiacutea utilizada

5211 ACTUALIZACIOacuteN DE LA EIPD EN CASO DE MODIFICACIONES DEL PROYECTO

La organizacioacuten humanitaria debe actualizar la EIPD si la actividad cubierta sufre modificaciones importantes o si surgen nuevos riesgos enmateria de proteccioacuten de datos


USO POSIBLE

DIFICULTADES

IDENTIFICACIOacuteN DE OBJETIVOS

RUTAS SEGURAS

POSIBILIDAD DE VIGILANCIA

EJERCICIO DE DERECHOS

DECISIONES INJUSTAS

GENERACIOacuteN DE INFORMACIOacuteN SENSIBLE

CONOCIMIENTO DE LA SITUACIOacuteN

TRANSPARENCIA EN LA TOMA DE DECISIONES

BASE LEGIacuteTIMA

EPICENTRO DE LA CRISIS

CAPIacuteTULO 6

ANAacuteLISIS DE DATOS Y MACRODATOS

98 PARTE 2 - SITUACIONES y TECNOLOGiacuteAS ESPECiacuteFICAS DE PROCESAMIENTO

61 INTRODUCCIOacuteNDado que la accioacuten humanitaria estaacute impulsada por la informacioacuten82 el anaacutelisis de datos mediante el tratamiento de datos personales puede ofrecer importantes ventajas a las organizaciones humanitarias El teacutermino ldquoanaacutelisis de datosrdquo denota la praacutectica que consiste en combinar grandes voluacutemenes de informacioacuten proveniente de diversas fuentes (macrodatos) y analizarlos mediante algoritmos complejos para tomar decisiones fundadas Los macrodatos (conocidos como Big Data) se basan no solo en la creciente capacidad de la tecnologiacutea de facilitar la recopilacioacuten y el almacenamiento de grandes voluacutemenes de informacioacuten sino tambieacuten en la posibilidad de analizar comprender y aprovechar todo el valor de los datos (sobre todo mediante aplicaciones deanaacutelisisdedatos)Alosfinesdeestecapiacutetuloambosteacuterminosldquoanaacutelisisdedatosrdquoy ldquomacrodatosrdquo se utilizaraacuten indistintamente

El anaacutelisis de datos puede emplearse por ejemplo para detectar amenazas potenciales paralaaccioacutenhumanitariamejorarlapreparacioacutenidentificarapersonasocategoriacuteasde personas que necesitan asistencia o predecir posibles patrones de evolucioacuten de enfermedadescontagiosasconflictostensionesycataacutestrofesnaturales

Asimismopuedemejorarsignificativamentelaeficaciadelalabordelasorganizacioneshumanitariassobretodoporquepermitecartografiarodetectar

bull hechos tiacutepicos en emergencias humanitarias que incluyan a personas protegidas enconflictosuotrassituacionesdeviolencia

bull la propagacioacuten de enfermedades o las cataacutestrofes naturales lo cual permite predecir posibles evoluciones y prepararse para evitar dantildeos

bull el epicentro de una crisis

bull rutas seguras

bull incidentes humanitarios individuales

bull personas o comunidades vulnerables que podriacutean necesitar una respuesta humanitaria

bull coincidencias en casos de familias separadas durante una emergencia humanitaria

El anaacutelisis de datos en situaciones humanitarias puede entonces tener a grandes rasgosdosaplicacioneselreconocimientodefenoacutemenosgeneralesylaidentificacioacutende personas o grupos de personas de intereacutes para la accioacuten humanitaria

82 OficinadeCoordinacioacutendeAsuntosHumanitariosdelasNacionesUnidas(OCAH)Humanitarianism in the Age of Cyber-Warfare (OCHA Policy and Studies series 2014)

6 ANaacuteLISIS DE DATOS y MACRODATOS 99

Frecuentemente se ha acusado al anaacutelisis de datos de arrojar resultados engantildeosos e inexactosdejustificardecisionesarbitrariasyautomatizadasquenotomanencuentalasparticularidadesespeciacuteficasdecadacasodegenerardatossusceptiblesdeserutilizadosparaunavigilanciamaacuteseficazpormediodehuellasdigitalesydeabrirlapuerta a posibles violaciones del anonimato mediante ingenieriacutea inversa y por ende a lareidentificacioacutendepersonasabarcadasporeltratamientoLasconsecuenciasdelosmacrodatos para la proteccioacuten de datos se subrayaron en la Conferencia Internacional de Autoridades de Proteccioacuten de Datos y Privacidad a traveacutes de su resolucioacuten sobre macrodatos aprobada en Mauricio en 201483

La aplicacioacuten al anaacutelisis de datos de los principios baacutesicos relativos a la proteccioacuten de datostambieacutenpuedesuscitarinquietudesporejemploentornoa1)laespecificacioacutendelafinalidadenlamedidaenqueeltratamientorelativoalanaacutelisisdedatosutilicedatospersonalesparafinesquenohabiacuteansidoprevistosanteriormente2)requisitosdetransparencia dado que en general los titulares de los datos reciben poca informacioacuten o 3) el principio de legitimidad del tratamiento que no siempre constituye una base legiacutetima adecuada para el tratamiento84

En este capiacutetulo se ofrece orientacioacuten a las organizaciones humanitarias que participan en actividades relacionadas con el anaacutelisis de datos Asimismo se explica coacutemo realizar este tipo de anaacutelisis conforme a los principios relativos a la proteccioacuten de datos y se identificanposiblesdesafiacuteos

83 Conferencia Internacional de Autoridades de Proteccioacuten de Datos y Privacidad Resolucioacuten sobre Big DataFortBalaclavaMauricio2014 httpglobalprivacyassemblyorgwp-contentuploads201502Resolution-Big-Datapdfmc_phishing_protection_id=28047-br1tehqdu81eaoar3q10


LosdatosdetelefoniacuteamoacutevildeAacutefricaoccidentalseutilizaronparacartografiarlos movimientos de poblacioacuten y predecir la manera en que podriacutea propagarse el virus del eacutebola

Fund

acioacute

n Fl

owm

inde

r w

ww

flow

min

dero

rg


Alcomienzodeesteanaacutelisiscaberesaltarvariasespecificidadesrelacionadasconlaproteccioacutendedatos

bull Fuentes de datos En primer lugar es importante determinar la fuente de los datos Gran parte del tratamiento de macrodatos que realizan las organizaciones humanitarias se basa en datos publicados como la informacioacuten proveniente de organismos gubernamentales o registros puacuteblicos de redes sociales censos yotrasencuestasdemograacuteficasydepoblacioacutenaccesiblesalpuacuteblicoEnotroscasos las organizaciones humanitarias pueden asociarse con empresas del sector privado como compantildeiacuteas de telecomunicaciones o de infraestructura de servicios de internet prestadores de servicios u otras organizaciones comerciales con el objetivo de mejorar la respuesta en casos de cataacutestrofes y emergencias humanitarias

bull Respuesta de emergencia Pese a que ofrecen indiscutibles ventajas a las organizaciones humanitarias los resultados del anaacutelisis de datos no siempre pueden utilizarse para una emergencia en curso o para responder a los intereses vitales de las personas afectadas Por ejemplo puede suceder que los macrodatos se procesen despueacutes de sucedido un incidente y de que se haya respondido eacutel en apoyo de un trabajo administrativo o en el marco de estrategias para mejorar la respuesta a futuras emergencias

bull Exactitud Es posible que los datos utilizados para el anaacutelisis no sean representativos ni exactos y que contengan sesgos que puedan distorsionar los resultados85 Este riesgo puede aumentar cuando se trabaja con datos anonimizados o agregados aun cuando ello podriacutea resultar menos invasivo para la privacidad de las personas

bull Decisioacuten automatizada El anaacutelisis de datos sin intervencioacuten humana ni informacioacuten de contexto tambieacuten puede distorsionar ideas y decisiones86

bull Reutilizacioacuten de datos para otros fines La utilizacioacuten de macrodatos suele plantear dudasrespectodesilosdatospersonalespuedenutilizarseconfinesdistintosde los que se establecieron para su recopilacioacuten En efecto la legislacioacuten sobre proteccioacuten de datos generalmente exige que los datos personales sean recogidos confinesespeciacuteficosqueseantratadosexclusivamenteconesosfinesoconfinescompatiblesyquenoseanreutilizadosconotrafinalidadsinelconsentimientodelas personas afectadas o sin otra base legiacutetima

bull Sensibilidad de los datos arrojados por el tratamiento de datos personales en situaciones

humanitarias Es importante comprender que los datos de acceso puacuteblico como los datos en las redes sociales y los que normalmente no se consideran

85 Iniciativa Pulso Mundial de las Naciones Unidas Big Data for Development and Humanitarian Action Towards Responsible Governance Privacy Advisory Group Report paacuteg12httpunglobalpulseorgsitesdefaultfilesBig_Data_for_Development_and_Humanitarian_Action_Report_Final_0pdf

86 Ibiacuted paacuteg 12 ldquoPara formar opiniones bien fundadas los datos normalmente deben ser representativos Por lo tanto es importante tener en cuenta la presencia de posibles sesgos en determinados conjuntos de datos o algoritmos Para evitar esos sesgos la calidad de los datos la exactitud y la respuesta humanitaria en las actividades de tratamiento de datos sonfundamentalesrdquo(traduccioacutennooficial)


sensiblespuedengenerardatossensiblescuandoseprocesanconfinesanaliacuteticosen una situacioacuten humanitaria Esto puede suceder cuando el tratamiento de datosanodinospermiteestablecerunperfildeindividuosquepodriacuteadarlugara situaciones de discriminacioacuten o medidas de represioacuten contra por ejemplo viacutectimas potenciales personas pertenecientes a un grupo particular en una situacioacuten de violencia o portadores de ciertas enfermedades En estos casos el suavizado de datos puede ser una opcioacuten interesante para proteger la privacidad de las personas y de los grupos y al mismo tiempo permitir el acceso a los datos87 Sin embargo cabe sentildealar que a medida que los datos se suavizan a nivel temporal y espacial la claridad de las conclusiones disminuye

bull AnonimizacioacutenEsprobablequesurjandudasrespectodelaeficaciadelaanonimizacioacutendedatospersonalesylaposibilidaddereidentificacioacutenenlasoperacionesrelacionadasconelanaacutelisisdedatosseanconfineshumanitarioso no En este caso nuevamente el suavizado de datos puede complementar la anonimizacioacuten para antildeadir un nivel maacutes de proteccioacuten contra la reidentificacioacuten

bull Fragmentacioacuten reglamentaria Si bien muchos Estados han promulgado leyes sobre proteccioacuten de datos y numerosas organizaciones humanitarias ya han implementado poliacuteticas y directrices en materia de proteccioacuten de datos la cuestioacuten delareglamentacioacuteninternacionalrelativaespeciacuteficamentealosmacrodatosensituaciones de crisis humanitarias auacuten permanece abierta88

Esimportantecomprenderquelautilizacioacutendelanaacutelisisdedatosconfinesrelacionadoscon la accioacuten humanitaria puede tener consecuencias mucho maacutes graves para las personas que en otros contextos (como un entorno comercial) Por ejemplo incluso cuando los datos analizados hayan sido anonimizados los resultados pueden tener consecuencias sumamente negativas para los individuos y los grupos de individuos Las organizaciones humanitarias deben determinar si los datos que publican o las conclusiones que obtienen a partir del anaacutelisis de datos pueden utilizarse incluso globalmente para dirigirse a las personas a las que procuran proteger Ademaacutes los titulares de los datos no siempre integran estos grupos de personas que posiblemente se vean afectados En muchos casos poblaciones invisibles pueden de repente volverse visiblesporquesonseparadasdelgrupoidentificadoenelconjuntodedatos89 Por lo tanto siempre conviene tener en cuenta la suma de todas las posibles consecuencias del anaacutelisis de datos para las personas vulnerables

87 El suavizado de datos consiste en eliminar los ruidos de un conjunto de datos para asiacute distinguir patrones importantes

88 Iniciativa Pulso Mundial de las Naciones Unidas Big Data for Development and Humanitarian Action Towards Responsible Governance Privacy Advisory Group Report paacutegs 7-9 ob cit

89 Ibiacuted paacuteg 12


EJEMPLO La extraccioacuten y el anaacutelisis de tuits y de otro material en las redes sociales para localizar elepicentroylosflujosdemanifestacionespuacuteblicasyasiacuteevitarlapeacuterdidadevidashumanas y la comunicacioacuten de los resultados obtenidos a las autoridades pueden permitirlesutilizardichosresultadosparaidentificaralaspersonasqueparticiparon(o no) en las manifestaciones lo cual podriacutea tener graves consecuencias para ellas

El anaacutelisis de datos puede implicar situaciones de tratamiento como las que se explican a continuacioacuten

EJEMPLO 1 La extraccioacuten y el anaacutelisis de comunicaciones puacuteblicas a traveacutes de redes sociales motores de buacutesqueda o servicios de telecomunicaciones asiacute como fuentes de noticias para demostrar de queacute manera meacutetodos como el anaacutelisis de los sentimientoslaclasificacioacutenportemasyelanaacutelisisderedespuedenutilizarsealservicio de los trabajadores de la salud y de las campantildeas de comunicacioacuten

EJEMPLO 2 El desarrollo de herramientas interactivas de visualizacioacuten de datos durante un incidente humanitario para demostrar de queacute manera las sentildeales de comunicacioacuten o los datos arrojados por sateacutelites podriacutean ser de utilidad para la gestioacuten de respuestas de emergencia

EJEMPLO 3 El anaacutelisis de los mensajes recibidos a traveacutes de la plataforma de denuncia ciudadana de una organizacioacuten humanitaria

EJEMPLO 4 El anaacutelisis de las redes sociales los metadatos de las redes de telefoniacutea moacutevilylosdatosdelastarjetasdecreacuteditoparaidentificarapersonasquecorrenriesgo de ser viacutectimas de una desaparicioacuten forzada o para localizar a personas desaparecidas

Losconjuntosdedatosacontinuacioacutenpodriacuteanserpertinentes

bull conjuntos de datos puacuteblicos (es decir conjuntos de datos accesibles al puacuteblico como los registros puacuteblicos divulgados por los gobiernos o la informacioacuten que las personas hayan dado a conocer voluntariamente en medios periodiacutesticos o en internet por ejemplo en las redes sociales)

bull conjuntos de datos que poseen las organizaciones humanitarias (por ejemplo listasdebeneficiariosparaladistribucioacutendeayudadepacientesdepersonasprotegidas de personas desaparecidas o sus familiares o de personas que denunciaron violaciones del derecho internacional humanitario o del derecho de los derechos humanos)

bull conjuntos de datos que poseen terceros del sector privado (por ejemplo prestadores de servicios de telefoniacutea moacutevil y de telecomunicaciones establecimientosbancariosyfinancierosprestadoresdeserviciosdeinternet


datosdetransaccionesfinancierasydatosdeteleobservacioacutenesteacutenonoagregados o anonimizados)

bull una combinacioacuten o agregacioacuten de los conjuntos de datos que poseen las organizaciones humanitarias las autoridades o las empresas (incluidas las organizaciones sentildealadas anteriormente)

Una organizacioacuten humanitaria puede realizar lo siguiente en el marco del tratamiento dedatos

bull tratamiento de datos en poder de sus organizaciones respectivas (en calidad de controladores de datos)

bull recurrir a procesadores de datos (es decir entidades comerciales que realicen el anaacutelisis de los datos que posee la organizacioacuten)

bull solicitar a las entidades comerciales que siguen desempentildeando su papel de controladordedatosquerealicenelanaacutelisisdelosdatosconfineshumanitariosyque le transmitan las conclusiones y los resultados obtenidos Dichas conclusiones podriacuteanabarcardatosagregadosoanonimizadosobiendatosqueidentifiquenaindividuos de posible intereacutes para la accioacuten humanitaria

bull intercambiar conjuntos de datos con otras organizaciones humanitarias autoridades puacuteblicas o entidades comerciales en calidad de controladores o procesadores de datos conjuntos

Estas situaciones pueden presentarse de las maneras que se explican a continuacioacuten

Datos que poseen las organizaciones humanitarias

Datos que poseen terceros (autoridadesempresas)

La organizacioacuten humanitaria es el controlador de datos

La organizacioacuten humanitaria puede realizar el anaacutelisis en forma independiente o bien recurrir a los servicios de un encargado del tratamiento de datos externo

El asociado externo suministra datos a la organizacioacuten humanitaria para que los procese

El tercero es el controlador de datos

La organizacioacuten humanitaria suministra datos al asociado externo para que los procese

El asociado externo procesa los datos a pedido de la organizacioacuten humanitaria

Cabe sentildealar que la organizacioacuten humanitaria y el tercero pueden desempentildear simultaacuteneamente la funcioacuten de controlador de datos y de encargado del tratamiento de datos Por ejemplo los datos pueden estar en manos de un tercero quien puede tratarlos a pedido de la organizacioacuten humanitaria quien a la vez puede luego comunicarlos a otras partes interesadas


62 APLICACIOacuteN DE LOS PRINCIPIOS BAacuteSICOS RELATIVOS A LA PROTECCIOacuteN DE DATOS

Eltratamientodedatospersonalesconfinesanaliacuteticospresentaimportantesdesafiacuteospara la proteccioacuten de datos individuales Asiacute el tratamiento de grandes conjuntos dedatosconfinesdistintosdelosqueseestablecieronparalarecopilacioacutencorreelriesgo de violar los principios baacutesicos relativos a la proteccioacuten de datos por ejemplo la limitacioacuten del propoacutesito la minimizacioacuten de los datos y la conservacioacuten de los datos duranteeltiemponecesarioparaalcanzarlosfinesdelarecopilacioacutenBaacutesicamenteelanaacutelisis de datos prospera en entornos de tratamiento abiertos e irrestrictos mientras que por el contrario la proteccioacuten de datos personales privilegia el tratamiento limitadoybiendefinidoPorellolaproteccioacutendedatosdebeaplicarsealosmacrodatosen forma innovadora90

Los principios baacutesicos relativos a la proteccioacuten de datos son las bases que deben respetarse al realizar operaciones de anaacutelisis de datos Como se sentildeala en el capiacutetulo 2 ldquoPrincipios baacutesicos relativos a la proteccioacuten de datosrdquo los principios que deben respetarse en el marco del anaacutelisis de datos son el principio de licitud y lealtad del tratamiento el principio de transparencia el principio de limitacioacuten del propoacutesito el principio de minimizacioacuten de los datos y el principio de calidad de los datos Si bienalgunosdeestosprincipiossoncompatiblesconlosfinesdelanaacutelisisdedatosotros pueden suscitar inquietudes o conflictos y por ende las organizacioneshumanitarias deben tomar todos los recaudos necesarios cuando los apliquen Algunas organizaciones humanitarias han establecido principios para la gestioacuten de macrodatos que complementan el anaacutelisis del presente capiacutetulo91

El anaacutelisis sobre la proteccioacuten de datos que se presenta en este capiacutetulo se basa en los principios enunciados en la primera parte donde se los examina con mayor precisioacuten

Unodelosdesafiacuteosmaacutessignificativosqueplanteaelanaacutelisisdedatoshumanitarioses que las operaciones de anaacutelisis suelen efectuarse utilizando conjuntos de datos ya recogidosporlaorganizacioacutenhumanitariaoportercerosparaotrosfinesPorlotantolacuestioacutenclaveesdeterminarsielanaacutelisisprevistoescompatibleconlafinalidadinicialde

90 Supervisor Europeo de Proteccioacuten de Datos dictamen 72015 Meeting the challenges of big data19denoviembrede2015paacuteg4httpssecureedpseuropaeuEDPSWEBwebdavsitemySitesharedDocumentsConsultationOpinions201515-11-19_Big_Data_ENpdf

91 Iniciativa Pulso Mundial de las Naciones Unidas Privacy and Data Protection Principles httpwwwunglobalpulseorgprivacy-and-data-protection-principles Comiteacute Consultivo del Convenio del Consejo de Europa para la proteccioacuten de las personas con respecto al tratamiento automatizado de datos de caraacutecter personal Guidelines on the protection of individuals with regard to the processing of the personal data in a world of Big Dataenerode2017httpsrmcoeintCoERMPublicCommonSearchServicesDisplayDCTMContentdocumentId=09000016806ebe7a


la recopilacioacuten Si es asiacute podraacute realizarse sobre la base legiacutetima existente mientras que en caso contrario deberaacute hallarse una nueva base legiacutetima para el tratamiento

621 LIMITACIOacuteN DEL PROPOacuteSITO Y TRATAMIENTO ULTERIORComo se explica en el capiacutetulo 2 ldquoPrincipios baacutesicos relativos a la proteccioacuten de datosrdquo al momento de recoger los datos la organizacioacuten humanitaria debe determinar yexponerlospropoacutesitosespeciacuteficosdeltratamientodelosdatosEsospropoacutesitosdebenser expliacutecitos y legiacutetimos y pueden abarcar desde el restablecimiento del contacto entre familiares hasta la proteccioacuten de personas detenidas las actividades forenses o la proteccioacuten del agua y del haacutebitat Idealmente el propoacutesito del anaacutelisis previsto deberiacutea especificarsealcomienzodelarecopilacioacutendedatos

En cuanto al tratamiento ulterior independientemente de la base legiacutetima que se utilice para el tratamiento inicial las organizaciones humanitarias pueden tratar datos personalesconfinesdiferentesalosestablecidosinicialmentealmomentoderecopilarlosdatoscuandoseacompatibleconesosfinesporejemplocuandoseanecesarioparafineshistoacutericosestadiacutesticosocientiacuteficos92

LasoperacionesdeanaacutelisisamenudoexigeneltratamientodedatosconfinesdistintosdelosqueseestablecieronparalarecopilacioacuteninicialSinembargolasfinalidadesdelanaacutelisis de datos rara vez pueden preverse al momento de la recopilacioacuten inicial de los datos personales

Para determinar si la operacioacuten de anaacutelisis puede considerarse un tratamiento ulterior compatible con el propoacutesito para el que se recogieron inicialmente los datos es convenienteprestaratencioacutenalossiguientesfactores

bull todoslosviacutenculosqueexistanentrelosfinesconqueserecogieronlosdatosylosfinesdeltratamientoulteriorprevisto

bull las circunstancias en que se recogieron los datos personales y en particular la relacioacuten entre los titulares de los datos y el controlador de datos asiacute como las posibles expectativas de los titulares de los datos


bull las posibles consecuencias para los titulares de los datos del tratamiento ulterior previsto

bull la existencia de las garantiacuteas correspondientes

El propoacutesito humanitario del tratamiento de datos debe tenerse en cuenta al analizar los factores sentildealados En general los propoacutesitos humanitarios suelen ser compatibles entre siacute En los casos en que a raiacutez del valor de los conjuntos de datos para la accioacuten humanitarialosdatosdetercerosseantratadosconfinesdistintosalosdelarecopilacioacuteninicial es posible utilizar esos datos ndashy por ende el tratamiento ulterior se consideraraacute compatiblendashconfineshumanitariossiemprequeellonoexpongaalostitularesdelos



datos a nuevos riesgos o peligros como se explica maacutes exhaustivamente a continuacioacuten Unnuevotratamientoaunconfineshumanitariosnoseraacutecompatiblesientrantildeanuevosriesgososilosriesgosparaeltitulardelosdatossonmayoresquelosbeneficiosdeltratamiento ulterior La compatibilidad depende de las circunstancias de cada caso El tratamiento ulterior tampoco seraacute compatible si puede perjudicar los intereses de la persona con quien se relaciona la informacioacuten o de sus familiares sobre todo cuando haya peligro de vulnerar su vida su integridad su dignidad su seguridad fiacutesica o psicoloacutegica sulibertadosureputacioacutenLasconsecuenciaspuedenserlassiguientes



bull problemas sociales o privados

bull restriccioacuten de la libertad

bull sufrimientos psicoloacutegicos

EJEMPLO 1 Los conjuntos de datos recogidos por una organizacioacuten humanitaria en respuesta a un incidente para por ejemplo distribuir ayuda pueden utilizarse posteriormente para comprender los patrones de desplazamiento y distribuir socorros anticipadamente en emergencias humanitarias posteriores

EJEMPLO 2 Los conjuntos de datos recogidos por una empresa de telecomunicaciones en el marco de los servicios que presta a sus abonados no pueden utilizarse sin el consentimientodedichosabonadosenuntratamientodedatosconfinesanaliacuteticosefectuadopororganizacioneshumanitariassiellopodriacuteaconduciraperfilaraesosindividuos como posibles portadores de una enfermedad con consecuentes restricciones al desplazamiento impuestas por las autoridades En esos casos las organizaciones humanitarias y sus asociados deben determinar si las medidas de atenuacioacuten como la agregacioacutendedatosseriacuteansuficientesparaeliminarelriesgodetectado

622 BASES LEGIacuteTIMAS PARA EL TRATAMIENTO DE DATOS PERSONALES

Si la finalidad del anaacutelisis se considera incompatible con la finalidad inicial deltratamiento es necesario encontrar una nueva base legiacutetima Las organizaciones humanitariaspuedenjustificarelanaacutelisisdedatosmedianteunaomaacutesdelassiguientesbases legiacutetimas93

bull el intereacutes vital del titular de los datos o de otras personas

bull el intereacutes puacuteblico sobre todo el que se basa en el cometido de la organizacioacuten establecido por el derecho nacional o internacional


bull elintereacuteslegiacutetimodelaorganizacioacuten bull la ejecucioacuten de un contrato




La utilizacioacuten del consentimiento plantea algunos problemas para los anaacutelisis de datos para los cuales se utilizan datos personales ya recogidos y organizados en conjuntos de datos Ademaacutes dada la complejidad de la operacioacuten de tratamiento y las consecuencias queno siempre semanifiestanclaramentealmomentode la recopilacioacutenpodriacutearesultar difiacutecil garantizar en esta instancia que los titulares de los datos comprendan plenamentelosriesgosylosbeneficiosdelanaacutelisisdedatos

En algunos casos el anaacutelisis de datos que ofrecen las redes sociales o los operadores de telefoniacutea moacutevil para ayudar a las organizaciones humanitarias puede basarse en el consentimiento siempre que la plataforma de la red social o del operador de telefoniacutea moacutevil de que se trate informe a los titulares de los datos sobre el tratamiento previsto por medio de una ventana emergente o un mensaje de texto que contenga la informacioacuten pertinente y la solicitud del consentimiento Sin embargo en este contexto conviene tener en cuenta las consecuencias de las posibles negaciones del consentimiento para la precisioacuten del anaacutelisis y los resultados que arroje

Afindelograrqueelconsentimientoseaverdaderamenteinformadolainformacioacutensuministrada debe tener en cuenta los resultados de la EIPD94 (en caso de haberse realizado una) y puede asimismo suministrarse mediante una interfaz que simule los efectos de la utilizacioacuten de los datos y sus posibles consecuencias para el titular de los datos en el marco de un enfoque de aprendizaje basado en la experiencia95 Los procesadores de datos deben ofrecer a los titulares de los datos maneras teacutecnicas accesibles y faacuteciles de utilizar que les permitan retirar su consentimiento y reaccionar ante un tratamiento de datos que sea incompatible con el propoacutesito inicial96

Es importante evaluar la validez del consentimiento incluso cuando se haya suministrado la informacioacuten adecuada a los titulares de los datos al momento de la recopilacioacutenylafinalidaddeltratamientoulteriorseacompatibleDichaevaluacioacutendebe contemplar el nivel de alfabetizacioacuten de los titulares de los datos asiacute como los riesgos y los perjuicios a los que el tratamiento de sus datos podriacutea exponerlos97

Cuando no se pueda obtener el consentimiento de la persona que suministra los datos o del titular de los datos auacuten es posible tratar datos personales si se establece que el tratamiento responde al intereacutes vital del titular de los datos o de otra persona es decir que es necesario para proteger un intereacutes que es esencial para la vida la integridad

94 V Seccioacuten 67 Evaluaciones de impacto relativas a la proteccioacuten de datos95 Comiteacute Consultivo del Convenio del Consejo de Europa para la proteccioacuten de las personas

con respecto al tratamiento automatizado de datos de caraacutecter personal Guidelines on the protection of individuals with regard to the processing of the personal data in a world of Big Data enero de 2017 ob cit

96 Ibiacuted97 Programa de las Naciones Unidas para el Desarrollo (PNUD) iniciativa Pulso Mundial de

las Naciones Unidas Tools Risks Harms and Benefits Assessment httpwwwunglobalpulseorgprivacytools


la salud la dignidad o la seguridad del titular de los datos de otra persona o de un grupodepersonasAsimismoeltratamientopuedejustificarsemedianteotrasbaseslegiacutetimas como el intereacutes puacuteblico el intereacutes legiacutetimo de la organizacioacuten la ejecucioacuten de un contrato o el cumplimiento de una obligacioacuten legiacutetima

En lo que respecta al uso del intereacutes vital como base legiacutetima de la labor de emergencia de lasorganizacioneshumanitariasenconflictosarmadosyotrassituacionesdeviolenciamuchas veces se cree que el tratamiento de datos que efectuacutean las organizaciones humanitarias responde al intereacutes vital de un titular de datos o de otra persona (por ejemplo si los datos se procesan en casos de personas buscadas o si existe una amenaza inminente contra la integridad fiacutesica y mental de las personas afectadas) Sin embargo la condicioacuten del intereacutes vital puede no reunirse si el tratamiento de datos no se realiza enunasituacioacutendeemergenciaporejemplosiserealizaconfinesadministrativos

EJEMPLOLa base legiacutetima del intereacutes vital no se aplica cuando el anaacutelisis de datos se realiza con finesadministrativosoexclusivamentedeinvestigacioacuten

Cuando estaacuten en juego los fundamentos importantes de intereacutes puacuteblico las organizacioneshumanitariasdebenverificarminuciosamentequeelviacutenculodeesosfundamentosconlaoperacioacutendeanaacutelisisprevistasealosuficientementeestrechoparaservir como base legiacutetima para el tratamiento de datos personales El intereacutes puacuteblico puede constituir una base legiacutetima adecuada para el anaacutelisis de datos cuando una accioacuten humanitaria se realice conforme a un cometido establecido por el derecho regional nacional o internacional y cuando no se haya obtenido ninguacuten consentimiento ni exista ninguna emergencia que permita invocar el intereacutes vital como base legiacutetima

Las organizaciones humanitarias deben saber que el intereacutes puacuteblico como base legiacutetima del tratamiento de datos personales no es transferible dado que es propio del cometido de la organizacioacuten establecido por el derecho nacional o internacional Las posibles condiciones en virtud de las cuales un tercero puede realizar operaciones de anaacutelisis de datos en nombre de la organizacioacuten o que se aplican al intercambio internacional de datos deben examinarse por separado

Las organizaciones humanitarias tambieacuten pueden tratar datos personales cuando tengan un intereacutes legiacutetimo siempre que los derechos y las libertades fundamentales del titular de los datos no primen sobre ese intereacutes Ese intereacutes legiacutetimo puede abarcar eltratamientonecesarioparamejorarlaeficaciadesusoperacionescomofacilitarlalogiacutestica para permitir la distribucioacuten anticipada de ayuda y de personal antes de que ocurra la emergencia humanitaria cuando el anaacutelisis de datos permita obtener esa informacioacutenElanaacutelisisdedatosconfinesadministrativostambieacutenpuedecorrespondera esta categoriacutea


EJEMPLO Lasorganizacioneshumanitariaspuedenrealizaruntratamientoconfinesanaliacuteticosdelos datos de sus empleados para crear una base de datos de posible personal por regioacuten

Los intereses legiacutetimos tambieacuten pueden ser utilizados por entidades comerciales dispuestas a realizar anaacutelisis de datos para ayudar a organizaciones humanitarias cuandolafinalidaddeltratamientoseaexclusivamentehumanitaria

623 PROCESAMIENTO LEAL Y LIacuteCITOPara ser leal y liacutecito el tratamiento debe tener una base legiacutetima como se explica en la seccioacuten 25 Principios aplicables al tratamiento de datos

El anaacutelisis de datos deduce correlaciones posibles basaacutendose en un anaacutelisis subjetivo de hechos objetivos con lo cual plantea numerosos interrogantes en cuanto a la lealtad del tratamiento por ejemplo preocupaciones en torno al muestreo la representacioacuten y las estimaciones de la poblacioacuten Los investigadores deben comprender bien la representatividad de los datos del muestreo esforzarse por trabajar con conjuntos de datos grandes y representativos e informar posibles sesgos Asimismo los encargados de formular poliacuteticas deben tomar en cuenta estos sesgos al momento de tomar decisiones Al formular poliacuteticas un anaacutelisis basado en datos inexactos y en una interpretacioacuten erroacutenea de las conclusiones puede dar lugar a decisiones poliacuteticas perjudiciales o injustas o bien los titulares de los datos pueden verse afectados por decisiones automatizadas sesgadas y generalizaciones

Asimismo el requisito de lealtad que exige la legislacioacuten sobre proteccioacuten de datos suele centrarse en el suministro de informacioacuten en la transparencia y en las consecuencias deltratamientoDadalacomplejidaddeltratamientoyladificultadpararealizarunanaacutelisis de datos satisfactorio la transparencia respecto de la metodologiacutea (y respecto delalgoritmocuandoseaposible)esmuyimportanteenelanaacutelisisdedatosafindeque la rigurosidad del enfoque pueda evaluarse con plena independencia maacutes allaacute del derecho a la informacioacuten de los titulares de los datos98 A la vez debe garantizarse la transparencia en los procesos de toma de decisiones cuando la transparencia entreenconflictoconlasensibilidaddelosdatosenelplanoindividualocuandolatransparenciaeneltratamientopudierafomentarlaludificacioacuten(tambieacutenconocidacomo ldquogamificacioacutenrdquo traduccioacuten del vocablo ingleacutes gamification) del sistema de tratamiento de datos por parte de actores maliciosos y por ende generar sesgos

El principio de lealtad implica evaluar los riesgos de reidentificacioacuten antes de ladesidentificacioacuten y de ser posible informar a los titulares de los datos o a laspartes interesadas pertinentes sobre los resultados de esa evaluacioacuten Si el riesgo de

98 V Seccioacuten 63 Derechos de los titulares de los datos y Seccioacuten 65 Intercambio internacional de datos


reidentificacioacuteneselevadoelanaacutelisisnodeberaacuterealizarseobiendeberaacuteadecuarsela metodologiacutea Ademaacutes seraacute necesario realizar una EIPD para evaluar correctamente dicha situacioacuten desde el punto de vista del anaacutelisis de datos99

Tambieacuten es importante por un lado que los empleados los contratistas u otras partes que participen en el anaacutelisis de datos reciban formacioacuten sobre los riesgos en materia de proteccioacuten de datos y sobre procedimientos de investigacioacuten eacuteticos y por otro que se adopten las medidas necesarias para atenuar esos riesgos

624 MINIMIZACIOacuteN DE LOS DATOSLos datos que procesan las organizaciones humanitarias deben ser adecuados ypertinentesparalosfinesparalosqueselosrecogeyprocesaEnparticularesosignificaqueelvolumendedatosqueserecojanodebeserexcesivoyqueelperiacuteododeconservacioacuten de los datos debe limitarse al miacutenimo necesario antes de ser anonimizados o archivados Idealmente la cantidad de datos personales recogidos y tratados deberiacutea limitarsealonecesarioparaalcanzarelpropoacutesitoespeciacuteficodelarecopilacioacutendeltratamientoodeltratamientoulteriorcompatibleobienaloqueesteacutejustificadoporotro motivo legiacutetimo

Ahora bien para obtener resultados oacuteptimos el anaacutelisis de datos requiere en principio grandes conjuntos de datos que contengan la mayor cantidad de informacioacuten posible sobre un periacuteodo extenso Esas condiciones contradicen el principio de minimizacioacuten de los datos el cual exige como ya se ha sentildealado minimizar lo maacutes posible el contenido de los conjuntos de datos que las organizaciones humanitarias inicialmente recogen paratratarPorendeesimportantequelafinalidaddelarecopilacioacutendedatosseestablezca con la mayor precisioacuten posible y que toda conservacioacuten de datos que excedalasnecesidadesdelproyectoinicialesteacutejustificadaporuntratamientoulteriorcompatible

Asimismo si bien los conjuntos de datos archivados o anonimizados tambieacuten pueden utilizarse en los anaacutelisis de datos ello plantea algunos desafiacuteos teacutecnicos y juriacutedicos En efecto la capacidad de tratamiento puede verse limitada por las restricciones de archivo y a la vez deben tomarse todos los recaudos necesarios para que el resultado del tratamientonopermitalareidentificacioacutendepersonasyadesidentificadasTambieacutencabe preguntarse por la precisioacuten de los resultados del anaacutelisis de datos anonimizados o agregados De modo que los meacutetodos y el nivel de anonimizacioacuten o de agregacioacuten debenseleccionarsecuidadosamenteparaminimizarlosriesgosdereidentificacioacutenypreservar la calidad y la utilidad necesarias para obtener resultados creiacutebles

99 V Seccioacuten 67 Evaluaciones de impacto relativas a la proteccioacuten de datos


Los controladores de datos y llegado el caso los procesadores de datos deben disentildearcuidadosamentesuanaacutelisisdedatosafindeminimizarlapresenciadedatosredundantes y marginales100

Losdatospersonalesdebenserconservadosuacutenicamenteduranteelperiacuteododefinidonecesario para alcanzar el propoacutesito de la recopilacioacuten Al teacutermino del periacuteodo de conservacioacuten inicial debe realizarse una evaluacioacuten para determinar si es conveniente eliminar los datos o conservarlos durante maacutes tiempo para alcanzar el propoacutesito Las posibles operaciones de anaacutelisis de datos deben examinarse en detalle en la poliacutetica relativaalaconservacioacutendedatosoenlanotainformativaSieltratamientoconfinesanaliacuteticosseplanificaalmomentodelarecopilacioacutendebemencionarseenlanotainformativa inicial y el periacuteodo de conservacioacuten previsto debe contemplar la cantidad de tiempo requerida para realizar las operaciones de anaacutelisis

Si este tratamiento se realiza sobre conjuntos de datos existentes en calidad de ldquotratamiento ulterior compatiblerdquo101 debe circunscribirse al periacuteodo de conservacioacuten de datospermitidoparalafinalidaddelarecopilacioacuteninicialElperiacuteododeconservacioacuteninicial puede renovarse siempre que una renovacioacuten esteacute prevista en la poliacutetica de conservacioacuten al momento de la recopilacioacuten para permitir el anaacutelisis de datos en calidad de ldquotratamiento ulterior compatiblerdquo

Cuando el tratamiento se realice sobre conjuntos de datos existentes y cuando el anaacutelisis dedatosnotengaunafinalidadconsideradacompatibleconladelarecopilacioacuteninicialdebehallarseunanuevabaselegiacutetimayredactarseunanotainformativaespeciacuteficaqueexplique la operacioacuten de anaacutelisis y que indique el periacuteodo de conservacioacuten

625 SEGURIDAD DE LOS DATOSPara determinar si las medidas de seguridad son adecuadas para proteger la informacioacuten en el marco de las operaciones de anaacutelisis de datos es importante tener en cuenta que los resultados del tratamiento que pueden vincularse con conjuntos de datos existentes y analizarlos pueden arrojar datos maacutes sensibles que los conjuntos de datos iniciales Losresultadosquequizaacutepermitanperfilaragruposoindividuospodriacuteanresultarperjudiciales para las personas afectadas si cayeran en manos equivocadas

En ese caso para proteger el resultado la organizacioacuten humanitaria que realiza el anaacutelisis de datos deberaacute implementar medidas de seguridad que se adecuen a los riesgos en juego102 Asimismo resulta esencial impartir una formacioacuten perioacutedica en

100 Comiteacute Consultivo del Convenio del Consejo de Europa para la proteccioacuten de las personas con respecto al tratamiento automatizado de datos de caraacutecter personal Guidelines on the protection of individuals with regard to the processing of the personal data in a world of Big Data enero de 2017 ob cit

101 V Seccioacuten 263 Procesamiento ulterior102 V Seccioacuten 625 Seguridad de los datos y Seccioacuten 28 Seguridad de los datos y seguridad

del tratamiento


materiadeseguridadyprivacidaddelosdatosafindesensibilizarsobrelasamenazascontra la seguridad y de evitar las violaciones de datos

63 DERECHOS DE LOS TITULARES DE LOS DATOSLos derechos de los titulares de los datos se describen en la Seccioacuten 211 Derechos de los titulares de los datos Los derechos relativos a la informacioacuten el acceso la rectificacioacutenlaeliminacioacutenylaobjecioacutenseconsideranelementoscrucialesdeunapoliacuteticaeficazdeproteccioacutendedatosSinembargoeltratamientodedatospersonalesconfinesanaliacuteticosplanteaimportantesdesafiacuteos

El ejercicio del derecho a la informacioacuten (tambieacuten pertinente para el principio de transparencia v Seccioacuten 621 Limitacioacuten del propoacutesito y tratamiento ulterior) es maacutes difiacutecil en lo que respecta al anaacutelisis de datos dado que no siempre es posible suministrar directamente a las personas afectadas informacioacuten precisa sobre el tratamiento sobre todo cuando el tratamiento se realiza sobre conjuntos de datos existentes Por ende es importante prever otras maneras de suministrar informacioacuten por ejemplo los sitios web de las organizaciones de que se trate plataformas de internet que utilicen habitualmente los titulares de los datos u otros medios de comunicacioacuten masiva(porejemploperioacutedicosfolletosoafiches)Cuandoresultedifiacuteciloimposiblesuministrar informacioacuten a los titulares de los datos se ha sugerido crear un recurso de informacioacuten nacional o internacional (que sea maacutes faacutecil de encontrar que los sitios web de los operadores individuales) Tambieacuten podriacutea ser conveniente analizar la posibilidad de suministrar informacioacuten a representantes de grupos

Asimismo se alienta a las organizaciones que efectuacutean anaacutelisis de datos humanitarios a incorporar procedimientos de reclamos en sus propias praacutecticas en materia de tratamiento de datos personales y en sus poliacuteticas internas de proteccioacuten de datos Estos procedimientos deben permitir la correccioacuten y la eliminacioacuten de datos Sin embargo debe reconocerse que la base legiacutetima del tratamiento puede limitar el ejercicio de determinados derechos individuales Por ejemplo es posible que los pedidos de exclusioacuten del tratamiento presentados por las personas afectadas no sean respetados si el tratamiento se realiza sobre la base legiacutetima del intereacutes puacuteblico que se describe anteriormente

Las organizaciones humanitarias deben asegurarse de que no se tome en forma automaacutetica sin intervencioacuten humana ninguna decisioacuten que pudiera excluir a las personas de los programas humanitarios o perjudicarlas de alguna otra manera En lapraacutecticaestosignificaquesiempredebeserunserhumanoquientengalauacuteltimapalabra cuando se tomen decisiones que puedan tener repercusiones negativas en las personas sobre la base de los resultados arrojados por un anaacutelisis de datos


EJEMPLO En lo que respecta a la distribucioacuten de ayuda una decisioacuten que deacute prioridad a una regioacuten oungrupodepersonasespeciacuteficos(endetrimentodequienesquedanexcluidosdeesaregioacuten o ese grupo) y que se tome en funcioacuten de los resultados arrojados por un anaacutelisis dedatossiempredebeserverificadayvalidadaporunserhumano

64 INTERCAMBIO DE DATOSEl tratamiento con fines analiacuteticos puede implicar el intercambio de datos conprocesadores de datos o con terceros tanto antes de la realizacioacuten del anaacutelisis de datos cuando los conjuntos de datos pertenecen a diferentes controladores de datos como despueacutes de la realizacioacuten del anaacutelisis cuando los resultados y las conclusiones pueden intercambiarse con terceros Por ende puede abarcar datos personales y datos agregados o anonimizados Las partes con quienes se intercambian los datos pueden ser nuevos controladores o procesadores de datos En funcioacuten del tratamiento o del lugar donde tenga sede la organizacioacuten humanitaria este intercambio de datos puede implicar que los datos atraviesen las fronteras nacionales o que sean compartidos por organizaciones internacionales o con ellas Cabe sentildealar que el ldquointercambiordquo abarca no solo las circunstancias en que los datos son transferidos activamente a terceros sino tambieacuten aquellas en las que los datos simplemente se vuelven accesibles para otros A continuacioacuten se aborda el intercambio de datos que tiene un componente internacional y una relacioacuten entre el controlador de datos y el encargado del tratamiento de datos

65 INTERCAMBIO INTERNACIONAL DE DATOSEl anaacutelisis de datos suele implicar un intercambio internacional de datos personales con partes situadas en diferentes paiacuteses seguacuten las situaciones que se enumeraron anteriormente y que se resumen a continuacioacuten

bull Las organizaciones internacionales recurren a procesadores de datos es decir entidades comerciales para que realicen el anaacutelisis de los datos que posee la organizacioacuten

bull Las organizaciones humanitarias solicitan a las entidades comerciales que siguen desempentildeando su papel de controlador de los datos que realicen el anaacutelisis de esosdatosconfineshumanitariosyquelestransmitanlasconclusionesylosresultados obtenidos Dichas conclusiones podriacutean abarcar datos agregados o anonimizadosobiendatosqueidentifiquenaindividuosdeposibleintereacutesparalaaccioacuten humanitaria

bull El intercambio de conjuntos de datos con otras organizaciones humanitarias autoridades puacuteblicas o entidades comerciales (controladores o procesadores de datos conjuntos)

bull El intercambio efectivo (o la transferencia de datos) a una organizacioacuten humanitaria para que realice el tratamiento


La legislacioacuten sobre proteccioacuten de datos impone restricciones al intercambio internacional de datos con lo cual las organizaciones humanitarias deben contar con mecanismos para proporcionarle una base legiacutetima cuando se realicen anaacutelisis de datos como ya se sentildealoacute103 Es indispensable realizar una EIPD104 antes de un intercambiointernacionaldedatosconfinesanaliacuteticosdadalacomplejidaddeesteanaacutelisisdedatos lasdificultadesdegarantizarque los titularesde losdatosseandebidamente informados y esteacuten en condiciones de ejercer plenamente sus derechos como se mencionoacute y las consecuencias potencialmente vastas del anaacutelisis de datos para ellos En efecto una EIPD seraacute la herramienta maacutes apropiada para determinar tanto los posibles riesgos asociados al intercambio de datos como las medidas de atenuacioacuten maacutes adecuadas (por ejemplo claacuteusulas contractuales coacutedigos de conducta o de hecho la renuncia al intercambio de datos)105

Asimismo cuando las organizaciones humanitarias contratan a prestadores de servicios pararealizaroapoyaroperacionesdeanaacutelisisdedatosdebencomprenderlosfinescon que esas empresas pueden utilizar los datos Maacutes precisamente las empresas que analizan sus propios datos o que procesan datos de organizaciones humanitarias pueden tenerintereacutesenaprovecharlasconclusionesdeltratamientoconfinescomercialesparacomprendermejorasusclientesoparatenerunperfilmaacutesprecisodesuclientelaPor lo tanto es importante que los contratos que eventualmente se celebren con esasempresasindiquenmuyclaramentequelosfinesdeltratamientosonydeberaacutenseguir siendo exclusivamente humanitarios y que el prestador de servicios mantiene el tratamiento humanitario completamente separado de sus actividades comerciales En caso de duda sobre la capacidad o la voluntad del prestador de servicios de respetar esta condicioacuten la organizacioacuten humanitaria debe abstenerse de ordenar el tratamiento dadoqueuntratamientocuyosfinesnoseanexclusivamentehumanitariospuedetenergraves consecuencias para los titulares de los datos Por ejemplo los resultados de un anaacutelisisqueidentifiqueposiblescategoriacuteasdebeneficiariosdelaaccioacutenhumanitariapodriacutean dar lugar a la denegacioacuten de un creacutedito a un aumento de las primas de seguros y a estigmatizacioacuten discriminacioacuten o incluso persecucioacuten

Las organizaciones humanitarias tambieacuten deben estar atentas al hecho de que en situacionesdeviolenciaodeconflictolaspartesafectadaspodriacuteanbuscarlamaneradeconseguir y utilizar los resultados de los anaacutelisis de datos para obtener alguna ventaja lo cual podriacutea comprometer la seguridad de los titulares de los datos y la neutralidad de la accioacuten humanitaria En consecuencia cuando los resultados pudieran ser sensibles es importante prever un contexto en el que la organizacioacuten humanitaria realice el anaacutelisis de datos a nivel interno sin comunicar los resultados a quien suministroacute la informacioacuten

103 V Seccioacuten 622 Bases legiacutetimas para el tratamiento de datos personales104 V Seccioacuten 67 Evaluaciones de impacto relativas a la proteccioacuten de datos105 V Capiacutetulo 4 ldquoIntercambio internacional de datosrdquo y Seccioacuten 44 Atenuacioacuten de los

riesgos para el individuo



La funcioacuten del controlador de datos y la del encargado del tratamiento de datos suelen ser confusas en el marco del anaacutelisis de datos Por ende es indispensable determinar cuaacutelessonlaspartesqueefectivamentedefiniraacutenlospropoacutesitosdeltratamientodedatosy los medios para realizarlo (controladores de datos) y cuaacuteles recibiraacuten instrucciones de los controladores de datos (procesadores de datos) Tambieacuten es posible que varias partes se consideren corresponsables del tratamiento

EJEMPLO 1 Las organizaciones humanitarias que intercambian conjuntos de datos y que utilizan sus propios recursos organizativos para analizar los datos pueden considerarse corresponsables del tratamiento

EJEMPLO 2 Las organizaciones humanitarias que comparten conjuntos de datos pero externalizan el anaacutelisis de datos a un prestador de servicios comerciales que transmitiraacuten las conclusiones y no conservaraacuten ninguacuten tipo de registro para su propio uso se consideraraacuten corresponsables del tratamiento mientras que el prestador de servicios se consideraraacute un encargado del tratamiento de datos

Una EIPD previa a las operaciones de anaacutelisis de datos puede ser un medio adecuado para precisar las funciones de las diferentes partes que participan en el tratamiento

Unavezquelasfuncioneshayansidoclaramentedefinidasyquelastareascorrespondienteshayan sido asignadas es importante establecer queacute tipos de contratos deberaacuten celebrar quienes participen en el tratamiento de datos Por lo general la recopilacioacuten de datos o el intercambio internacional de datos entre organizaciones humanitarias maacutes allaacute de las fronteras o con terceros organismos (sean privados o puacuteblicos) deben regirse por claacuteusulascontractualesquepuedensercrucialesporlassiguientesrazones

bull deben repartir claramente las funciones entre las diversas partes y en particular notificarlessiactuaraacutenencalidaddecontroladoresdedatosodeprocesadoresdedatos (o ambos)

bull deben describir las respectivas obligaciones de las partes en materia de proteccioacuten de datos y precisar las medidas que las partes deben adoptar para proteger los datos personales transferidos al exterior

bull deben prever las obligaciones respecto de la seguridad de los datos las medidas que debentomarse(objecioacutenonotificacioacutenalaotraparte)encasodequelasautoridadessoliciten acceso a los datos los procedimientos de gestioacuten ante violaciones de datos la restitucioacuten o la eliminacioacuten de los datos por parte del encargado del tratamiento dedatosalfinalizareltratamientoylaformacioacutendelpersonal

bull tambieacuten deben exigir que las organizaciones humanitarias correspondientes sean informadas acerca de cualquier acceso a los datos que no haya sido autorizado


67 EVALUACIONES DE IMPACTO RELATIVAS A LA PROTECCIOacuteN DE DATOS

Las evaluaciones de impacto relativas a la proteccioacuten de datos (EIPD) son herramientas importantes que durante el disentildeo de proyectos garantizan que todos los aspectos de las normas aplicables en materia de proteccioacuten de datos y los posibles riesgos esteacuten contemplados106 Actualmente muchas jurisdicciones y algunas organizaciones humanitarias exigen las EIPD Sin embargo su implementacioacuten puede resultar maacutes difiacutecil en lo que respecta a las nuevas tecnologiacuteas donde los riesgos son menos evidentes LasEIPDnosolodebenprecisarlosdetallesylasespecificacionesdeltratamientosinoque tambieacuten deben abordar los riesgos inherentes y las medidas de atenuacioacuten

Por consiguiente las EIPD deben realizarse antes de las operaciones de anaacutelisis de datos Son particularmente importantes las herramientas de evaluacioacuten de riesgos que hayansidoespeciacuteficamentedisentildeadasparaevaluarlosriesgosinherentesalanaacutelisisde datos en la accioacuten humanitaria como la Data Innovation Risk Assessment Tool107 desarrollada por la iniciativa Pulso Mundial de las Naciones Unidas

EngenerallosriesgosquedebenabordarseenunaEIPDconfinesanaliacuteticossonlossiguientes

bull reidentificacioacutendepersonasdeintereacutesparalaaccioacutenhumanitariacuandolafinalidaddelanaacutelisisseaidentificarpatrones

bull riesgos para la viabilidad y la seguridad de las operaciones humanitarias cuando se procesen datos de presuntos autores de violaciones del derecho internacional humanitario o del derecho de los derechos humanos

bull riesgo de que los pedidos presentados por una organizacioacuten humanitaria respecto depatronesparticularesocategoriacuteasespeciacuteficasdepersonasdeintereacutesparalasautoridades o las empresas puedan provocar que esos terceros discriminen a esas personas o tengan otras intenciones con ellas lo que entrantildeariacutea consecuencias nefastas para las personas y para la neutralidad de la accioacuten humanitaria

bull riesgo de que los resultados de las operaciones de anaacutelisis de datos efectuadas por las organizaciones humanitarias y a los que tienen acceso terceras partes seanutilizadosporterceroscomercialesoporlasautoridadesconotrosfinesnorelacionados con el aacutembito humanitario

bull riesgodequelaspartesenunasituacioacutendeviolenciaodeconflictopuedanconseguir y utilizar los resultados del anaacutelisis de datos para obtener una ventaja respecto de otras partes interesadas y de que por ende comprometan la seguridad de los titulares de los datos y la neutralidad de la accioacuten humanitaria

106 V Capiacutetulo 5 ldquoEvaluacioacuten de impacto relativa a la proteccioacuten de datos (EIPD)rdquo107 Programa de las Naciones Unidas para el Desarrollo (PNUD) iniciativa Pulso Mundial de



bull riesgo de que los prestadores de servicios comerciales que analizan sus propios datos o que procesan datos de organizaciones humanitarias puedan tener intereacutes enaprovecharlasconclusionesdeltratamientoconfinescomercialesparacomprendermejorasusactualesopotencialesclientesoparatenerunperfilmaacutespreciso de su clientela108

Las EIPD realizadas para el anaacutelisis de datos tambieacuten tienen en cuenta la probabilidad la magnitud y la gravedad del perjuicio que pudiera resultar de los riesgos Por lo tanto esos riesgos y ese perjuicio deben evaluarse nuevamente frente a las ventajas esperadas del anaacutelisis de datos y teniendo en cuenta el principio de proporcionalidad109

Algunasdelasmedidasespeciacuteficasquepuedenadoptarseparaatenuarlosriesgosson

bull la anonimizacioacuten como medida teacutecnica

bull obligaciones legiacutetimas y contractuales que impidan cualquier posible reidentificacioacutendelaspersonasafectadas110

108 V Seccioacuten 23 Conjunto de datos agregados seudonimizados y anonimizados109 Programa de las Naciones Unidas para el Desarrollo (PNUD) iniciativa Pulso Mundial de



DRONES

OPERACIONES DE BUacuteSQUEDA Y DE RESCATE

COMPLEMENTO DE LAS ACTIVIDADES DE ASISTENCIA TRADICIONALES

CARTOGRAFIacuteA DE LAS SITUACIONES DE EMERGENCIA

SEGUIMIENTO DE LA PROPAGACIOacuteN DE ENFERMEDADES

INFORMACIOacuteN SENSIBLE

EXTERNALIZACIOacuteN MASIVA DE LA INFORMACIOacuteN (CROWDSOURCING) PARA TRATAR Y ANALIZAR MACRODATOS

TRATAMIENTO LEGIacuteTIMO Y EJERCICIO DE LOS DERECHOS

PROBLEMAS DE TRANSPARENCIA

DIFICULTADES

USO POSIBLE

CAPIacuteTULO 7

DRONESVANT Y TELEOBSERVACIOacuteN

DRONES









DIFICULTADES

USO POSIBLE


71 INTRODUCCIOacuteNLos drones son una nueva tecnologiacutea prometedora y potente que podriacutea ayudar a las organizaciones humanitarias a apreciar mejor una determinada situacioacuten y a mejorar tanto su respuesta a cataacutestrofes naturales o provocadas por el hombre como sus operaciones de socorro Pueden complementar la asistencia humana tradicional haciendoque lasoperacionesseanmaacuteseficacesmaacutesraacutepidasymaacutessegurasSiselos utiliza correctamente los drones podriacutean tener una importante repercusioacuten en la accioacuten humanitaria

Los drones son pequentildeos aparatos aeacutereos o no aeacutereos que funcionan de manera autoacutenoma o a control remoto Tambieacuten se conocen como vehiacuteculos aeacutereos no tripulados (VANT) o sistemas aeacutereos no tripulados (SANT) Seguacuten el uso que se les deacute pueden estar equipados con caacutemaras microacutefonos sensores o dispositivos de GPS que permiten el tratamiento de datos personales

Desde el punto de vista de la proteccioacuten de datos la utilizacioacuten de drones ha suscitado varias inquietudes Sin embargo cabe precisar de antemano que lo que resulta de intereacutes en el caso de los drones no es su utilizacioacuten en siacute sino las diferentes tecnologiacuteas con las que estaacuten equipados como las caacutemaras de alta resolucioacuten y los microacutefonos los equipos de formacioacuten de imaacutegenes teacutermicas o los dispositivos para interceptar comunicaciones inalaacutembricas dado que estos tipos de tecnologiacuteas permiten recoger y tratar datos En este sentido las consideraciones que se abordan en este capiacutetulo podriacutean tambieacuten aplicarse al uso de sateacutelites y en teacuterminos maacutes generales a la teleobservacioacuten

El presente capiacutetulo se limita a los problemas que plantea la utilizacioacuten de drones desde el punto de vista de la proteccioacuten de datos Otras cuestiones y esferas del derecho pueden ser pertinentes pero no se abordan aquiacute Por ejemplo no se brinda orientacioacuten algunasobretemasrelacionadosconelcontroldeltraacuteficoaeacutereolaslicenciasdevueloloscertificadosdeseguridaddelosequiposocuestionessimilares

Por lo general en el aacutembito humanitario los drones son utilizados con mayor frecuenciaparalaobservacioacutenylarecopilacioacutendedatosafindecomprendermejoruna determinada situacioacuten Algunos de los usos que se les da a los drones en el contexto humanitariosonlossiguientes

bull buacutesqueda y rescate

bull localizacioacuten de personas desaparecidas

bull recopilacioacuten de imaacutegenes aeacutereasapreciacioacuten de una situacioacutenevaluacioacuten despueacutes de una crisis (por ejemplo relevamiento del estado de los cables de suministro eleacutectrico y la infraestructura o evaluacioacuten del nuacutemero de personas heridas de hogares destruidos y de ganado muerto)

bull seguimiento de la propagacioacuten de enfermedades mediante el uso de sensores de calor

7 DRONESvANT y TELEOBSERvACIOacuteN 121

bull cartografiacutea de los asentamientos de emergencia

bull informacioacuten en tiempo real y seguimiento de la situacioacuten por medio de videos o fotografiacuteas que ofrecen un panorama general

bull localizacioacuten de municiones sin estallar

bull cartografiacuteadecataacutestrofesnaturalesodezonasdeconflicto bull localizacioacuten y seguimiento de personas desplazadas a raiacutez de una emergencia

humanitaria

bull entrega de medicamentos y otros equipos de rescate en zonas remotas

bull instalacioacuten de una red en malla y restablecimiento de las redes de comunicacioacuten mediante la transmisioacuten de sentildeales

En situaciones de desastre ldquolos drones pueden utilizarse entre otras cosas para que los socorristas logren apreciar mejor una determinada situacioacuten dado que les permiten localizar sobrevivientes entre los escombros efectuar un anaacutelisis estructural de la infraestructura dantildeada entregar los suministros y los equipamientos necesarios evacuar a las viacutectimas y ayudar a extinguir incendiosrdquo111 Los drones tambieacuten pueden suministrar datos aeacutereos de zonas consideradas inseguras para los trabajadores humanitarios (por ejemplo lugares contaminados por radioactividad o afectados por incendios forestales)112

No obstante si bien los drones pueden ser una valiosa fuente de informacioacuten directa e indirecta durante las respuestas en emergencias es necesario realizar una evaluacioacuten criacutetica antes de recurrir a ellos dado que su utilizacioacuten puede plantear riesgos importantes113 Ademaacutes de las cuestiones de seguridad en siacute (por ejemplo accidentes durante su utilizacioacuten que podriacutean causar lesiones fiacutesicas o incluso la muerte) es posiblequeenuncasodeconflictolosdronesseanpercibidoscomounaherramientade espionaje o de intromisioacuten lo cual podriacutea comprometer gravemente la seguridad de sus operadores y del personal de las organizaciones humanitarias asiacute como poner en riesgoalapoblacioacutenlocaldadoquelaspartesenconflictopodriacuteantenerlaimpresioacutende que los pobladores prestaron su consentimiento para que los drones se utilicen en su nombre

111 Audiencia de supervisioacuten conjunta del Comiteacute Legislativo Conjunto de Gestioacuten de Emergencias y del Comiteacute de Justicia del Senado Drones and Emergencies Are We Putting Public Safety at RiskdocumentodeantecedentesSenadoEstataldeCalifornia2015paacuteg2httpssjudsenatecagovsitessjudsenatecagovfilesbackground_paper_-_drones_and_emergenciespdf)

112 Cruz Roja Americana y otros Drones for Disaster Response and Relief Operations abril de 2015paacuteg4httpwwwissuelaborgresources2168321683pdf

113 Delafoi F ldquoLe drone lrsquoallieacute ambigu des humanitairesrdquo Le Temps11deabrilde2016 httpswwwletempschmonde20160411drone-allie-ambigu-humanitaires What do Tanzanians Think About Drones Now We knowICTWorks22defebrerode2016 httpwwwictworksorg20160222what-do-tanzanians-think-about-drones-now-we-know


EJEMPLO Una organizacioacuten humanitaria pudo haber sido autorizada por los liacutederes comunitarios localesautilizardronesparaobtenerimaacutegenesaeacutereasdeunaregioacutengeograacuteficaextensaSinembargodurantesuutilizacioacutenundronpuedefotografiaraccidentalmenteunaactividadiliacutecitaquetienelugarenunpuntoespeciacuteficodelazonageograacuteficaabarcaday por lo tanto suministra pruebas de dicha actividad iliacutecita Los grupos que realizan esa actividad conscientes de que los sobrevoloacute un dron pueden encontrar y castigar a liacutederes comunitarios que dieron su autorizacioacuten y tambieacuten pueden buscar a los operadores de las organizaciones humanitarias para destruir las pruebas recogidas

Como ya se observoacute las preocupaciones relativas a las posibles violaciones de los derechos a la proteccioacuten de datos personales no derivan de la utilizacioacuten de drones sino del equipamiento que llevan a bordo que puede tratar datos personales Las tecnologiacuteas de la informacioacuten integradas o conectadas a los drones pueden realizar diversas actividades y operaciones de tratamiento de datos (por ejemplo recopilar registrar organizar y almacenar datos o combinar conjuntos de datos recogidos) Los tipos de datos que suelen recoger los drones son grabaciones de video ldquoimaacutegenes (por ejemplo imaacutegenes de personas casas vehiacuteculos o matriacuteculas de vehiacuteculos) sonidos datos de geolocalizacioacuten o cualesquiera otras sentildeales electromagneacuteticas relacionadas con una personafiacutesicaidentificadaoidentificablerdquo114 Seguacuten la calidad de los datos las personas puedenidentificarsedirectaoindirectamenteEsaidentificacioacutenpuedeserefectuadaporun operador humano o bien en forma automaacutetica por ejemplo capturando una imagen proveniente de un programa o de un algoritmo de reconocimiento facial realizando un escaneoparadetectarunteleacutefonointeligentequepermitiraacuteidentificaralapersonaoutilizandoloschipsdeidentificacioacutenporradiofrecuenciainsertosenlospasaportes115

Las organizaciones humanitarias pueden considerar los factores que se enumeran a continuacioacuten al evaluar las medidas de proteccioacuten de datos que deben adoptar para poder utilizar drones

bull Teacutecnicamenteesposiblequelosdronestenganparaacutemetrosespeciacuteficosdevuelosobrelabasedeuncoacutedigodeidentificacioacutenuacutenicointegradoensuequipamientobaacutesico

bull Muchos paiacuteses exigen un permiso para volar drones y una licencia de piloto a distancia emitida por las autoridades estatales116

bull Las imaacutegenes (de diferentes niveles de anaacutelisis y calidad) son el tipo de dato que los drones recogen con mayor frecuencia

114 Grupo de trabajo del artiacuteculo 29 dictamen 012015 sobre la privacidad y la proteccioacuten de datos en relacioacuten con la utilizacioacuten de dronespaacuteg7httpseceuropaeunewsroomarticle29item-detailcfmitem_id=640602

115 Ibiacuted paacutegina 14116 StoryhunterGuidetoCommercialDroneRegulationsAroundtheWorld

httpsblogstoryhuntercomstoryhunter-guide-to-commercial-drone-regulations-around-the-world-5795c31165d9


bull Laaltituddelvueloyelaacutengulodecapturadeimaacutegenestambieacuteninfluyensignificativamenteenlaprobabilidaddequelaimagencapturadaidentifiquedirecta o indirectamente a una persona

bull Enlaactualidadlosdronespuedencapturarimaacutegenesextremadamentedefinidaspero pese a que la tecnologiacutea avanza a pasos agigantados la mayoriacutea de ellos auacuten no puede capturar rostros de personas La imagen debe guardar relacioacuten con otrosconjuntosdedatosparapermitirlaidentificacioacutenCuandoelreconocimientofacialnoseaposiblelaidentificacioacutenpuederealizarsegraciasaotrostiposdedatos como la localizacioacuten La utilizacioacuten de metadatos (datos que suministran informacioacuten sobre otros datos) resulta fundamental en este contexto

bull Es importante establecer un lugar para conservar los datos recogidos asiacute como los tipos de tratamiento que se realizaraacuten En este sentido existe una correlacioacuten entre los drones y la utilizacioacuten del anaacutelisis de datos117

bull En la actualidad existen numerosas iniciativas internacionales en materia de normasyotrasespecificacionesrelativasalautilizacioacutendedronesdelascualesalgunasabordanexpresamenteelusodedronesconfineshumanitariosSerecomienda a las organizaciones humanitarias seguir de cerca estas iniciativas y aplicar sus conclusiones en las praacutecticas que llevan adelante118

bull Las organizaciones humanitarias a menudo delegan las operaciones de los drones a otros profesionales lo cual plantea diversas cuestiones relacionadas con la proteccioacuten de datos (por ejemplo la relacioacuten entre el controlador de datos y el encargado del tratamiento de datos o el acceso a los datos)

bull El tratamiento de datos personales recogidos con drones suele implicar transferencias internacionales que deben tener una base legiacutetima en virtud de la legislacioacuten relativa a la proteccioacuten de datos

Sin embargo cabe sentildealar que dada la raacutepida evolucioacuten en este tipo de tecnologiacuteas varias de las conclusiones que se enumeraron podriacutean cambiar considerablemente en un futuro cercano

Las organizaciones humanitarias tambieacuten deben ser conscientes de que aun cuando no sea posibleidentificaraindividuoscondronessuutilizacioacutenpodriacuteaafectarsignificativamentela vida la libertad y la dignidad de personas y comunidades Por ello deben tomar todos los recaudos necesarios para proteger los datos recogidos por drones incluso si las imaacutegenes capturadasnopermitenidentificarinmediatamentealosindividuos

EJEMPLO Elaccesodetercerosmaliciososadatosdeflujosdepersonasdesplazadasobtenidoscon drones podriacutea poner en riesgo a personas vulnerables incluso cuando no sea posibleidentificarlasindividualmente

117 V Capiacutetulo 6 ldquoAnaacutelisis de datos y macrodatosrdquo118 V por ejemplo Humanitarian UAV Code of Conduct amp Guidelines httpuaviatorsorgdocs





Las organizaciones humanitarias pueden tratar datos personales recogidos por drones sobre las siguientes bases legiacutetimas119


bull el intereacutes puacuteblico sobre todo el que dimana del cometido de la organizacioacuten establecido por el derecho nacional o internacional


bull el intereacutes legiacutetimo de la organizacioacuten



En la praacutectica seraacute sin duda imposible obtener liacutecitamente un consentimiento para la labor realizada por organizaciones humanitarias con ayuda de drones

Por ejemplo cada vez que una persona no tenga la libertad de entrar en una zona vigilada o salir de ella el consentimiento no se habraacute ldquoprestado librementerdquo

Ellosignificaqueen teacuterminosgeneralesaparentementenoesposibleobtenerelconsentimiento como base legiacutetima para el tratamiento de datos personales en el contexto de operaciones con drones realizadas por organizaciones humanitarias En la mayoriacutea de los casos los drones se usan cuando el acceso a las comunidades es limitado o imposible Aun cuando se tuviera acceso seriacutea praacutecticamente imposible obtener el consentimiento de todas las personas que podriacutean verse afectadas por el tratamiento de datos obtenidos con drones Ademaacutes seguacuten las circunstancias en que se utilicen los drones cabe preguntarse si el consentimiento prestado por personas en peligro que necesitan asistencia humanitaria podriacutea considerarse libre



Se ha sugerido que una alternativa plausible al consentimiento individual para la utilizacioacuten de drones en la accioacuten humanitaria podriacutea ser el ldquoconsentimiento de la comunidadrdquo o el ldquoconsentimiento de las autoridadesrdquo Ello podriacutea implicar por ejemplo obtener el consentimiento uacutenicamente de los representantes de un grupo de personas vulnerables y no de las personas en siacute Sin embargo la legislacioacuten relativa a la proteccioacuten de datos establece que el consentimiento debe ser prestado individualmente

EJEMPLO Los liacutederes comunitarios o las autoridades estatales pueden prestar su consentimiento paraqueunaorganizacioacutenhumanitariautilicedronesparacartografiaruncampamentode refugiados pero las personas presentes en la regioacuten podriacutean no saber que se estaacuten usando drones o bien podriacutean no desear que se los fotografiacutee o que los drones recojan sus datos personales

Aun cuando no sea posible obtener el consentimiento de la persona afectada la organizacioacuten humanitaria puede tratar los datos personales si establece que el tratamiento podriacutea responder al intereacutes vital del titular de los datos o de otra persona o en caso de aplicarse otra base legiacutetima (conforme se indica en la Seccioacuten 721) En otras palabras el tratamiento de datos personales es posible cuando es necesario para proteger un intereacutes esencial para la vida la integridad la salud la dignidad o la seguridad del titular de los datos o de otra persona

Los drones suelen utilizarse cuando el acceso a las poblaciones es limitado o imposible Aun cuando se tuviera acceso seriacutea praacutecticamente imposible obtener el consentimiento de todas las personas que podriacutean verse afectadas por el tratamiento de datos obtenidos con drones

Cor

tesiacute

a de

ww

wO

nyxS

tarn

et


Como ya se explicoacute en el capiacutetulo 3 ldquoBases legiacutetimas para el tratamiento de datos personalesrdquo dada la naturaleza de la labor de las organizaciones humanitarias y las situaciones de emergencia en las que trabajan en algunas circunstancias podriacutea suponersequeeltratamientodedatosnecesarioparafineshumanitariosrespondealintereacutes vital del titular de los datos120

Lasorganizacioneshumanitariasdebenevaluarcadasituacioacutencasoporcasoafindedeterminar si el uso de drones es efectivamente necesario para proteger el intereacutes vital del titular de los datos o de otra persona La contribucioacuten de los drones a la proteccioacuten de intereses privados prioritarios como la vida la integridad y la seguridad debe estar comprobada o al menos ser probable teniendo en cuenta el tipo o el nivel de la emergencia o las preocupaciones motivadas por una falta de informacioacuten sobre la emergencia que solo podriacutean solucionarse mediante el uso de drones Por ende deben aplicarse normas estrictas para determinar si existe dicha base legiacutetima

EJEMPLOSEs muy probable que la utilizacioacuten de drones en operaciones de buacutesqueda y de rescate realizadas por una organizacioacuten humanitaria sea liacutecita en virtud de esta base legiacutetima dado que protegeriacutea el intereacutes vital del titular de los datos (es decir la persona desaparecida)

Enausenciadeunaemergenciaespeciacuteficaesmuyprobablequelautilizacioacutendedronesen operaciones de cartografiacutea realizadas por una organizacioacuten humanitaria no sea liacutecita en virtud de esta base legiacutetima dado que no existe ninguacuten viacutenculo directo con los intereses vitales de los titulares de los datos que viven o se desplazan en las regiones cartografiadas

Es importante que las organizaciones humanitarias realicen evaluaciones minuciosas cuando entran en juego fundamentos importantes de intereacutes puacuteblico y deben servir como base legiacutetima para el tratamiento de datos personales recogidos por drones Por ejemplo esto ocurriraacute cuando la actividad de que se trate responda a un cometido establecido por el derecho nacional o internacional (como el caso del CICR de la Federacioacuten Internacional de Sociedades de la Cruz Roja y de la Media Luna Roja de las Sociedades Nacionales de la Cruz Roja y de la Media Luna Roja del ACNUR de UNICEF del PMA o de la OIM)

Las organizaciones humanitarias tambieacuten pueden tratar datos personales recogidos por drones cuando tengan un intereacutes legiacutetimo y siempre que los derechos y las libertades fundamentales del titular de los datos no primen sobre ese intereacutes El intereacutes legiacutetimo de una organizacioacuten puede establecerse cuando el tratamiento de datos personales

120 V Reglamento (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 ob cit considerando 46


contribuya al cumplimiento de su misioacuten o lo facilite Sin embargo podriacutea decirse que cuando sea imposible establecer un intereacutes puacuteblico o un intereacutes vital puede resultar difiacutecil prever circunstancias en las que los derechos y las libertades de los titulares de los datos no primen sobre el intereacutes legiacutetimo de la organizacioacuten sobre todo en los casos en que los individuos cuyos datos personales sean probablemente recogidos no puedan ser informados ni puedan ejercer efectivamente sus derechos a la proteccioacuten de datos

EJEMPLO Una organizacioacuten humanitaria puede utilizar un dron para demostrar la conclusioacuten satisfactoria de una tarea por ejemplo de recopilacioacuten imaacutegenes para un video promocional Dicha utilizacioacuten podriacutea incumbir a la base legiacutetima del intereacutes legiacutetimo aunque seraacute necesario considerar detenidamente el riesgo de violacioacuten de los derechos y las libertades de las personas que aparecen en el video En este sentido la medida en que los titulares de los datos puedan ser informados y ejercer efectivamente sus derechos (como el derecho de objecioacuten) son factores clave

722 TRANSPARENCIAINFORMACIOacuteNEl principio de transparencia exige suministrar al titular de los datos aunque sea un miacutenimo de informacioacuten sobre el tratamiento Ademaacutes la informacioacuten y las comunicaciones relativas al tratamiento deben ser de faacutecil acceso y sencillas de comprender y deben expresarse en un lenguaje claro y simple Por razones de praacutectica evidentes dichos requisitos pueden resultar difiacuteciles de satisfacer en el caso de los drones El momento en el que se transmite la informacioacuten tambieacuten es importante Por ejemplo en situaciones que no son de emergencia lo ideal es que la informacioacuten se suministre antes de los vuelos de los drones o durante estos La participacioacuten de liacutederes comunitarios y de autoridades o las campantildeas en los medios de comunicacioacuten dirigidas alostitularesdelosdatosprevistos(porejemploenradiosperioacutedicosyafichesenlugares puacuteblicos) pueden ayudar a satisfacer las obligaciones de transparencia

EJEMPLO Para cumplir sus obligaciones de transparencia y de informacioacuten las organizaciones humanitarias que utilizan drones podriacutean imprimir en ellos sus marcas y signos tener a disposicioacuten sitios de internet o comunicar informacioacuten pertinente en las redes sociales utilizar los canales de comunicacioacuten locales disponibles (por ejemplo radio televisioacuten o prensa) y entablar diaacutelogos con los liacutederes comunitarios


723 LIMITACIOacuteN DEL PROPOacuteSITO Y TRATAMIENTO ULTERIORLosfinesespeciacuteficosde la recopilacioacutendedatospersonalesdebenserexpliacutecitosylegiacutetimos Las organizaciones humanitarias pueden utilizar drones con las siguientes finalidades



bull recopilacioacuten de imaacutegenes aeacutereas apreciacioacuten de una situacioacutenevaluacioacuten despueacutes de una crisis (por ejemplo localizacioacuten de personas desplazadas que necesitan ayuda relevamiento del estado de los cables de suministro eleacutectrico y la infraestructura o evaluacioacuten del nuacutemero de personas heridas de hogares destruidos y de ganado muerto)


bull simulacioacuten de multitudes en manifestaciones



bull cartografiacuteadecataacutestrofesnaturalesodezonasdeconflicto bull localizacioacuten de municiones sin estallar

bull localizacioacuten y seguimiento de personas desplazadas a raiacutez de una emergencia humanitaria


bull instalacioacuten de una red en malla o restablecimiento de las redes de comunicacioacuten mediante la transmisioacuten de sentildeales

Como se establecioacute en el capiacutetulo 2 ldquoPrincipios baacutesicos relativos a la proteccioacuten de datosrdquo independientemente de la base legiacutetima que se utilice para el tratamiento inicial las organizaciones humanitarias pueden tratar datos personales confinesdiferentes a los establecidos inicialmente al momento de recopilar los datos cuando el tratamientoulteriorseacompatibleconesosfinesiniciales

724 MINIMIZACIOacuteN DE LOS DATOSLos datos personales solo pueden ser tratados si son adecuados pertinentes y no excesivosenrelacioacutenconlosfinesparalosqueselosrecogioacutePorellolanecesidadyla proporcionalidad de los datos tratados deben evaluarse rigurosamente121 Ademaacutes cuandoseutilizandronesconfineshumanitariosdebe respetarseelprincipiodeminimizacioacuten de los datos eligiendo una tecnologiacutea proporcional y adoptando medidas de proteccioacuten de datos y privacidad desde el disentildeo y por defecto



Por ejemplo las organizaciones humanitarias podriacutean considerar las siguientes opciones

bull configuracionesdeseguridadenproductosyserviciosqueimpidanpordefectolarecopilacioacuten y el tratamiento ulterior de datos personales innecesarios

bull la implementacioacuten de teacutecnicas de anonimizacioacuten

bull los rostroslos seres humanos se deberiacutean desdibujar en forma automaacutetica (o bien solociertasclasesespeciacuteficasdeindividuosmaacutesvulnerables)

bull la altitud de vuelo o el aacutengulo de captura de las imaacutegenes se deberiacutea incrementar afindedisminuirelriesgodecapturarimaacutegenesquepermitanidentificardirectamente a los individuos

725 CONSERVACIOacuteN DE LOS DATOSLos datos personales recogidos con la ayuda de drones no deben conservarse por un periacuteodomayoralnecesarioparalosfinesdeltratamientoEnotraspalabrasdebenser eliminadosoanonimizadosunavezalcanzada lafinalidadpara laque fueronrecopilados Asimismo es aconsejable adoptar programas de almacenamiento y de eliminacioacuten Los dispositivos de recopilacioacuten de datos a bordo de los drones o conectados a distancia deben ser disentildeados de manera que permitan llegado el caso que deban conservar datos establecer el periacuteodo de almacenamiento y de esa manera los datos personales que ya no sean necesarios podraacuten eliminarse automaacuteticamente siguiendouncronogramadefinido

EJEMPLO Los datos recogidos por drones para ayudar a una organizacioacuten humanitaria a responder a un incidente en principio deben ser eliminados una vez que se resuelva dicho incidente Si la organizacioacuten humanitaria deseara archivar esta informacioacuten (por ejemploconfineshistoacutericos)deberaacuteadoptarlasmedidasadecuadasparaprotegerlaintegridad y la seguridad de los datos asiacute como prevenir todo acceso no autorizado

726 SEGURIDAD DE LOS DATOSUna organizacioacuten humanitaria que utilice drones debe implementar las medidas de seguridad adecuadas y apropiadas a los riesgos implicados122 En el caso de los drones estas medidas podriacutean consistir en el cifrado de las bases de datos o de los dispositivos de almacenamiento temporal asiacute como el cifrado de un extremo a otro de los datos en traacutensito entre el dron y la base si corresponde



73 DERECHOS DE LOS TITULARES DE LOS DATOSLos derechos de los titulares de los datos se describen en el capiacutetulo 2 ldquoPrincipios baacutesicos relativos a la proteccioacuten de datosrdquo Las observaciones a continuacioacuten complementan esa informacioacuten en lo que respecta a la utilizacioacuten de drones por parte de las organizaciones humanitarias123

En cuanto al derecho a la informacioacuten los titulares de los datos expuestos al tratamiento dedatosrecogidospordronesdebenrecibirlossiguientesdatos

bull la identidad del controlador de datos asignado al dron y de su representante

bull losfinesdeltratamiento bull las categoriacuteas de datos personales recogidos

bull los destinatarios o las categoriacuteas de destinatarios de los datos

bull la existencia del derecho de acceso a los datos que les incumban y del derecho a especificarycorregiresosdatos

bull la existencia del derecho de objecioacuten cuando ello sea realista

Sinembargoenlapraacutecticalasorganizacioneshumanitariaspodriacuteantenerdificultadespara suministrar esos tipos de informacioacuten a los titulares de los datos cuando utilicen drones para recoger datos personales No obstante en funcioacuten de las circunstancias podriacutean resolver este problema recurriendo a campantildeas de informacioacuten comunicados puacuteblicos y otras medidas similares Los operadores de drones deben publicar en su sitio web o en plataformas dedicadas al tema informacioacuten sobre las diferentes operaciones que se realizaron y que se realizaraacuten En zonas remotas o cuando sea poco probable que las personas puedan tener acceso a internet la informacioacuten puede publicarse en perioacutedicosfolletosoafichesobiencomunicarseporcorreooradiodifusioacuten

Enloquerespectaalosdronesqueabarcanzonasgeograacuteficasextensasdonderesultadifiacutecil o imposible suministrar informacioacuten a los titulares de los datos se ha sugerido crear un recurso nacional o internacional (que seriacutea maacutes faacutecil de encontrar que los sitioswebdelosoperadores)quepermitaalaspersonasidentificarlasmisionesylosoperadores asociados a cada dron en particular

Los titulares de los datos tambieacuten deben tener derecho a excluirse del tratamiento aunque ello podriacutea resultar difiacutecil en el caso de los drones dado que las personas podriacutean encontrarse ante la imposibilidad de evitar la zona vigilada Asimismo se alienta eneacutergicamente a las organizaciones humanitarias a implementar procedimientos de reclamos en sus propias praacutecticas en materia de tratamiento de datos personales y en sus poliacuteticas internas de proteccioacuten de datos Estos procedimientos deben permitir la correccioacuten y la eliminacioacuten de datos Sin embargo debe admitirse que es posible que algunas bases legiacutetimas para el tratamiento de datos no permitan el ejercicio de todos los derechos individuales (por ejemplo es posible que los pedidos de exclusioacuten del

123 V Seccioacuten 211 Derechos de los titulares de los datos


tratamiento que presenten las personas no sean respetados si el tratamiento se realiza sobre la base legiacutetima del intereacutes puacuteblico que se explicoacute anteriormente)

Por uacuteltimo en lo que respecta al derecho de acceso a la informacioacuten dicho acceso debeserlimitadoafindeatenuarlosriesgosalosquepodriacuteanestarexpuestoslosdatos personales de un titular de datos si otro titular accede a ellos o de que titulares de datos maliciosos tomen medidas perjudiciales contra individuos vulnerables sean identificablesono

Resulta difiacutecil limitar el acceso uacutenicamente a imaacutegenes o videos aeacutereos que contengan datos personales de un titular de datos dado que por su naturaleza las imaacutegenes o los videos pueden contener datos personales de muchos otros individuos que son praacutecticamente imposibles de excluir

EJEMPLOEn el caso de fotografiacuteas aeacutereas capturadas por drones para que los titulares de los datos puedan ejercer su derecho de acceso a la informacioacuten podriacutea ser necesario pixelar los rostros u otros datos personales que no esteacuten relacionados con el solicitante En el mismocasoelderechodeobjecioacutenpodriacuteaimplicarladesidentificacioacutendelosdatospersonales del solicitante en la misma fotografiacutea pero no la destruccioacuten de la fotografiacutea en siacute o de los datos personales de otras personas que aparecen alliacute

74 INTERCAMBIO DE DATOSLas circunstancias en las que las organizaciones humanitarias intercambian informacioacuten personal entre ellas o con otras organizaciones humanitarias y terceros debendefinirseyabordarsedesdeelpuntodevistadelaproteccioacutendedatosLainformacioacuten recogida por drones puede intercambiarse al momento de la recopilacioacuten o posteriormente dado que las organizaciones humanitarias pueden externalizar el trabajo relacionado con los drones a procesadores de datos Si una de las situaciones mencionadas implica la comunicacioacuten de datos personales a traveacutes de las fronteras nacionales tambieacuten deben abordarse los aspectos relativos al intercambio internacional de datos124

Enesoscasosesimportanteconsiderar

bull el rol de las organizaciones humanitarias de que se trate en la proteccioacuten de datos125

bull si las imaacutegenes u otra informacioacuten intercambiada deben contener datos personales o si basta con intercambiar uacutenicamente las conclusiones y los resultados del anaacutelisis y de la evaluacioacuten de las imaacutegenes recogidas (sin intercambio de datos brutos)

124 V Capiacutetulo 4 ldquoIntercambio internacional de datosrdquo125 V Seccioacuten 76 Relacioacuten entre el controlador de datos y el procesador de datos


bull el intercambio involuntario o accidental de datos (por ejemplo secuestro de un dispositivo que contiene imaacutegenes almacenadas) o la transmisioacuten de una serie de imaacutegenes aeacutereas de manera no segura y sin cifrar cuyo impacto tambieacuten deberiacutea ser tenido en cuenta por la organizacioacuten humanitaria que corresponda

La externalizacioacuten masiva de la informacioacuten (crowdsourcing) es una herramienta que comuacutenmente se utiliza para tratar y analizar grandes conjuntos de datos recogidos por drones Su importancia radica en el hecho de que es imposible para las organizaciones humanitarias examinar ellas mismas el gran volumen de imaacutegenes y videos aeacutereos que se recogen Una praacutectica cada vez maacutes frecuente es publicar las imaacutegenes en liacuteneaeinvitaravoluntariosaquelasrevisenafindedetectarporejemplocablesde suministro eleacutectrico cortados casas destruidas personas afectadas o cabezas de ganado Sin embargo ello podriacutea tener graves consecuencias (por ejemplo permitir el acceso de terceros posiblemente maliciosos a los documentos en liacutenea) Por lo tanto es importanteasegurarsedeque

bull los voluntarios que tengan acceso a las imaacutegenes sean evaluados y formados por la organizacioacuten humanitaria

bull losvoluntariosfirmenunacuerdosobreeltratamientoquecontengaclaacuteusulasdediscrecioacutenyconfidencialidad

bull el material no sea publicado ni intercambiado de alguna otra manera maacutes allaacute del grupo de voluntarios aceptados

bull losvoluntariosrecibanelapoyoadecuadoparacomprenderlafinalidaddeltratamiento de datos

bull el tratamiento realizado por los voluntarios sea debidamente registrado

75 INTERCAMBIO INTERNACIONAL DE DATOSLa legislacioacuten sobre proteccioacuten de datos impone restricciones al intercambio internacional de datos con lo cual las organizaciones humanitarias deben contar con mecanismos para proporcionarle una base legiacutetima cuando se utilicen drones como se explicoacute en el capiacutetulo 4 ldquoIntercambio internacional de datosrdquo Antes de realizar un intercambio internacional de datos las organizaciones humanitarias deben analizar si dicho intercambio tiene una base legiacutetima en virtud del derecho aplicable y de sus propias poliacuteticas internas Una EIPD previa al intercambio internacional de datos podriacutea reforzar la licitud de ese tratamiento126




En el marco de la utilizacioacuten de drones o del tratamiento de datos recogidos por esos aparatos la funcioacuten del controlador de datos y la del encargado del tratamiento de datos pueden resultar un poco confusas Como ya se ha sentildealado el tratamiento de datos recogidos por drones suele externalizarse Por ende es indispensable determinar cuaacutelessonlaspartesqueefectivamentedefiniraacutenlosfinesdeltratamientodedatosy los medios para realizarlo (controladores de datos) y cuaacuteles recibiraacuten instrucciones de los controladores de datos (procesadores de datos) Tambieacuten es posible que varias partes se consideren corresponsables del tratamiento

EJEMPLOS

Unaorganizacioacutenhumanitariacuyopersonalutilizadronesparasuspropiosfinesesel(uacutenico) controlador de datos para ese tratamiento

Una organizacioacuten humanitaria que externaliza las operaciones con drones a una empresa especializada cuya uacutenica tarea es pilotear los drones seraacute el (uacutenico) controlador de datos para ese tratamiento mientras que la empresa seraacute el encargado del tratamiento de datos para esta operacioacuten

Dos organizaciones humanitarias que desean utilizar drones y externalizar todas las tareas operacionales pertinentes a una empresa que no tiene acceso a los datos recogidos seraacuten corresponsables del tratamiento La empresa seraacute el encargado del tratamiento de datos para esa operacioacuten


Como se explica en el capiacutetulo 5 ldquoEvaluacioacuten de impacto relativa a la proteccioacuten de datos (EIPD)rdquo las EIPD son herramientas importantes que se utilizan durante el disentildeo de proyectos para garantizar que todos los aspectos de las normas en materia de proteccioacuten de datos y los posibles riesgos sean abordados Las EIPD no solo deben precisar los detallesylasespecificacionesdeltratamientosinoquetambieacutendebencentrarseenlosriesgos inherentes a la operacioacuten y en las medidas de atenuacioacuten En este sentido cabe sentildealar que las EIPD deben realizarse antes de cualquier operacioacuten con drones

Para no obstaculizar las tareas humanitarias es conveniente confeccionar de antemano modelos de EIPD para la utilizacioacuten de drones Esos modelos deben contemplar los riesgosylasconsideracionesespeciacuteficasqueseenumeranenelpresentecapiacutetuloydeben poder completarse e implementarse de manera faacutecil y raacutepida

BIOMETRIacuteA

IDENTIFICACIOacuteN EFICAZ DE PERSONAS

IDENTIFICACIOacuteN UacuteNICA DE INDIVIDUOS ANTE LA AUSENCIA DE OTROS MEDIOS PARA PROBAR SU IDENTIDAD

NIVEL DESENSIBILIDAD

MINIMIZACIOacuteN DE LOS DATOS

PROBLEMAS TEacuteCNICOS

FIABILIDAD DE LOS DATOS

DIFICULTADES RELACIONADAS CON EL CONSENTIMIENTO

CUESTIONES EacuteTICAS RELACIONADAS CON LOS FINES HUMANITARIOS

IRREVERSIBLE

USO POSIBLE

DIFICULTADES

CAPIacuteTULO 8

BIOMETRIacuteA


81 INTRODUCCIOacuteNLaOrganizacioacutenInternacionaldeNormalizacioacutendefineelreconocimientobiomeacutetricoy la biometriacutea como el ldquoreconocimiento automaacutetico de personas en funcioacuten de sus caracteriacutesticas bioloacutegicas y comportamientosrdquo127 Por lo tanto los datos biomeacutetricos son caracteriacutesticascuantificablesuacutenicasdelossereshumanoscomolashuellasdactilaresel resultado de un escaneo del iris o algunos comportamientos por ejemplo la manera de caminar de una persona

Las consecuencias de la utilizacioacuten de datos biomeacutetricos para la proteccioacuten de datos sobre todo en pasaportes tarjetas de identidad y documentos de viaje se subrayaron en la Conferencia Internacional de Autoridades de Proteccioacuten de Datos y Privacidad en su resolucioacuten sobre el uso de la biometriacutea aprobada en Montreux Suiza en 2005128

Las organizaciones humanitarias de todo el mundo utilizan cada vez maacutes el reconocimientobiomeacutetricoenelmarcodesussistemasdeidentificacioacutendebidoalasventajasqueofreceparalacorrectaidentificacioacutendelaspersonasylaprevencioacutendelfraude y del uso indebido de la ayuda humanitaria Es evidente que los mecanismos de identificacioacutenenpapel(comolastarjetasdeidentidadlastarjetasderacionamientoo los brazaletes) que constituyen la alternativa no digital tienen sus limitaciones dadoquesonfaacutecilesdeperderodefalsificarsuverificacioacutenrequierelamovilizacioacutendeimportantesrecursos(locualpodriacuteadarlugaraduplicacioneseineficacias)yenla mayoriacutea de los casos no permiten un tratamiento automaacutetico En determinadas situacionessesugierelautilizacioacutendesistemasdeidentificacioacutenbiomeacutetrica(amenudopararealizarunaverificacioacutencomplementaria)parasubsanaresasfalenciasLosdatosbiomeacutetricos sonmaacutesdifiacutecilesde falsificary comoseobtieneny se almacenanenformato digital facilitan una buena gestioacuten de la ayuda humanitaria en el terreno y pueden utilizarse asimismo para el anaacutelisis de datos o para otros tipos de operaciones avanzadas de tratamiento de datos Ademaacutes al centrarse en las caracteriacutesticas uacutenicas decadaindividuolabiometriacuteapuedeconfirmarlaidentidaddelaspersonasquenotienen otra manera de comprobar su identidad como suele ocurrir con las personas desplazadas y de esa manera colocar la identidad y la dignidad de las personas en el centro de la accioacuten humanitaria129

127 (Traduccioacutennooficial)VISOIEC2382-372017Information technology - Vocabulary - Part 37 Biometrics httpswwwisoorgstandard66693html

128 Conferencia Internacional de Autoridades de Proteccioacuten de Datos y Privacidad Resolucioacuten sobre el uso de la biometriacutea en pasaportes tarjetas de identidad y documentos deviajeMontreuxSuiza2005httpglobalprivacyassemblyorgwp-contentuploads201502Resolution-on-Use-of-Biometrics-in-passports-identity-cards-and-travel-documentspdfmc_phishing_protection_id=28047-br1tehqdu81eaoar3q10

129 V por ejemplo Hugo Slim Eye Scan Therefore I am The Individualization of Humanitarian AidEuropeanUniversityInstituteBlog2015httpsioweuieu20150315eye-scan-therefore-i-am-the-individualization-of-humanitarian-aid Paul Currion Eyes Wide Shut The challenge of humanitarian biometricsIRIN2015httpwwwirinnewsorgopinion20150826eyes-wide-shut-challenge-humanitarian-biometrics

8 BIOMETRiacuteA 137

Sin embargo cabe destacar que el empleo real de los sistemas de identificacioacutenbiomeacutetrica no siempre ha cumplido esas promesas Seguacuten algunas fuentes surgieron gravesproblemasentornoalafiabilidaddelossistemasendeterminadosproyectosque implementaron la biometriacutea130 Las limitaciones inherentes ndashpor ejemplo que las huellasdactilaresnosiempresonlegiblesndashplanteandificultadesadicionalesparalaimplementacioacutenLautilizacioacutendedatosbiomeacutetricosenlossistemasdeidentificacioacutennacional y la herencia problemaacutetica de esos sistemas en determinados paiacuteses tambieacuten pueden suscitar cuestiones eacuteticas131 Asimismo debido al intereacutes que presentan los datosbiomeacutetricosalosfinesdehacercumplirlaleyydelaseguridadnacionallasorganizaciones humanitarias pueden llegar a sufrir crecientes presiones por parte de las autoridades regionales y nacionales para obligarlas a comunicar sus datos con la intencioacutendeutilizarlosconotrosfinesquenoseanlaaccioacutenhumanitariaDadoelintereacutes que generan los datos biomeacutetricos existe un importante riesgo de pirateriacutea es decir el acceso no autorizado por parte de terceros

Las organizaciones humanitarias pueden utilizar tecnologiacuteas biomeacutetricas para operaciones de tratamiento como la recopilacioacuten y la gestioacuten de datos sobre personas desplazadas cuyosdatosdeben registrarse a losfinesde ladistribucioacutende ayudahumanitaria lo que incluye la asistencia implementada a traveacutes de la entrega de vales y de dinero en efectivo132

Por ahora las tecnologiacuteas utilizadas para las operaciones de tratamiento sentildealadas son principalmente los sistemas de reconocimiento automaacutetico de huellas dactilares (dado que las huellas dactilares son el formato que predomina en los datos biomeacutetricos recogidos) y los escaneos del iris No obstante pueden preverse otros meacutetodos de identificacioacutenbiomeacutetricaporejemplo

bull reconocimiento de las venas de la palma de la mano

bull reconocimiento de la voz

bull reconocimiento facial

bull comportamientos

Para las organizaciones humanitarias la utilizacioacuten de tecnologiacuteas biomeacutetricas puede tenerlassiguientesventajas

bull identificacioacutenprecisadelaspersonas bull lucha contra el fraude y la corrupcioacuten

bull mayor apoyo de los donantes y credibilidad de los programas (como resultado de lo anterior)

bull mayoreficaciagraciasaltratamientodigitaldelosdatosdeidentificacioacuten

130 Gus Hosein y Carly Nyst Aiding surveillance An exploration of how development and humanitarian aid initiatives are enabling surveillance in developing countries IDRCUKaid 2014 paacuteg 16

131 Ibiacuted paacuteg 19132 V Capiacutetulo 9 ldquoPrograma de transferencia de efectivordquo


bull mayoreficaciaenloquerespectaalaproteccioacutenfiacutesicadelaspersonasolareduccioacuten del riesgo de desapariciones

bull identidad y dignidad de las personas en el centro de la accioacuten humanitaria

bull refuerzo del derecho de las personas a circular libremente

bull mejora en el reasentamiento de personas en terceros paiacuteses

bull posibilidad de abrir una cuenta bancaria

Sinembargoalmismotiempohansurgidodiversosriesgosydesafiacuteosporejemplo

bull fiabilidadyexactituddelosdatos(comoelriesgodefalsospositivos)odelossistemasenuacuteltimainstancialacalidaddelsistemadeidentificacioacutenbiomeacutetricadepende de la calidad de los sensores y de los datos biomeacutetricos suministrados

bull dificultadesteacutecnicasintriacutensecas(porejemplolailegibilidaddelashuellasdactilaresdedeterminadosbeneficiariosconhuellasparcialmenteborradas)

bull caraacutecteruacutenicoynomodificabledelosdatosbiomeacutetricos bull cuestioneseacuteticas(sensibilidadesculturalespercepcionesdelosbeneficiarioso

preocupaciones relativas a la vigilancia)

bull desviacioacutendeluso(utilizacioacutendesistemasideacutenticosconotrosfinesquelosconcebidosinicialmentecomofinesnohumanitarios)

bull posibles presiones de diversas autoridades nacionales o regionales (por ejemplo los donantes) para obtener los conjuntos de datos biomeacutetricos recogidos por las organizaciones humanitarias con el riesgo de que los datos sean utilizados con finesquenoseanestrictamentehumanitarios(porejemploactuacioacutenpolicialseguridadcontroldefronterasosupervisioacutendeflujosmigratorios)

En consecuencia es de suma importancia que las organizaciones humanitarias analicen y consideren con cuidado la posible necesidad de usar datos biomeacutetricos y que de manera clara y transparente establezcan coacutemo preveacuten utilizarlos (idealmente a traveacutes de poliacuteticas puacuteblicas sobre el uso de datos biomeacutetricos) de modo que ese uso sea compatible con los requisitos de proteccioacuten de datos133


La utilizacioacuten de tecnologiacuteas biomeacutetricas plantea cuestiones importantes relacionadas con la proteccioacuten de datos Los datos biomeacutetricos se consideran datos personales y como tales estaacuten abarcados por la legislacioacuten relativa a la proteccioacuten de datos Por ejemplo el Reglamento general de proteccioacuten de datos de la Unioacuten Europea regula expresamente losdatosbiomeacutetricosylosdefinecomolosldquodatospersonalesobtenidosapartirdeuntratamientoteacutecnicoespeciacuteficorelativosalascaracteriacutesticasfiacutesicasfisioloacutegicasoconductualesdeunapersonafiacutesicaquepermitanoconfirmenlaidentificacioacutenuacutenicade

133 V por ejemplo Policy on the Processing of Biometric Data by the ICRC httpsblogsicrcorglaw-and-policy20191018innovation-protection-icrc-biometrics-policy


dicha persona como imaacutegenes faciales o datos dactiloscoacutepicosrdquo134 En muchos sistemas juriacutedicos los datos biomeacutetricos se consideran ldquodatos sensiblesrdquo135 Por consiguiente se aplicanexigenciasparticularesyespeciacuteficasaltratamientodeestetipodedatosqueafectariacutean directamente la licitud del tratamiento en caso de no ser respetadas

Este nivel superior de proteccioacuten se justifica por las siguientes caracteriacutesticasparticularesdelainformacioacutenbiomeacutetrica

bull losdatosbiomeacutetricossonuacutenicosynopuedenmodificarseloqueincrementalosriesgos relacionados con el robo de identidad y

bull los avances de las tecnologiacuteas pueden tener consecuencias impredecibles para el tratamiento dado que el tipo de datos biomeacutetricos personales que se recogen hoy en diacutea en un futuro podriacutean revelar un gran volumen de informacioacuten sobre una persona (por ejemplo datos de la retina que revelan informacioacuten geneacutetica origen eacutetnico estado de salud y edad)

En consecuencia si bien una de las premisas baacutesicas de este manual sostiene que enlaaccioacutenhumanitarianoesposibleestablecercategoriacuteasbiendefinidasdedatospersonales que exijan una proteccioacuten especial (porque los datos que no son sensibles en una situacioacuten de emergencia podriacutean serlo en otra y viceversa) se cree que los datos biomeacutetricos siacute requieren una proteccioacuten especial independientemente de la situacioacuten y de las circunstancias Por ello siempre debe realizarse una EIPD antes de recurrir a la biometriacutea

Al efectuar una EIPD las organizaciones humanitarias deben tener en cuenta que los diferentes tipos de datos biomeacutetricos pueden tener diferentes niveles de ldquosensibilidadrdquo Ademaacutes de ser de por siacute sensibles por las razones sentildealadas algunas categoriacuteas de datos biomeacutetricos pueden tener distintos niveles de sensibilidad Por ejemplo las huellas dactilares pueden alterarse o borrarse voluntaria o involuntariamente (debido a labores manuales intensas por ejemplo) por lo que este tipo de datos son menos sensibles que otros Por otra parte un escaneo del iris podriacutea permitir la obtencioacuten de informacioacuten muysensiblemaacutesallaacutedelaidentificacioacutendelapersonaAdemaacuteshayciertostiposdedatos biomeacutetricos que solo pueden recogerse y leerse con la participacioacuten directa del titular de los datos como los que se obtienen mediante el reconocimiento de las venas de la palma de la mano lo cual hace que esos datos sean menos sensibles que otros Otras categoriacuteas de datos biomeacutetricos como la informacioacuten que se obtiene a partir del iris pueden leerse a distancia lo que las vuelve particularmente sensibles136

134 V Reglamento (UE) 2016679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 ob cit art 4(14)

135 Por ejemplo en la UE los datos biomeacutetricos se consideran una categoriacutea especial de datospersonalesReglamento(UE)2016679delParlamentoEuropeoydelConsejode27 de abril de 2016 ob cit art 9

136 V por ejemplo How Facial Recognition Might Stop the Next Brussels 22 de marzo de 2016 httpwwwdefenseonecomtechnology201603how-facial-recognition-might-stop-next-brussels126883


Por consiguiente aun cuando no se aplique la legislacioacuten que rige el tratamiento de datos personales sentildealada anteriormente el tratamiento de datos biomeacutetricos plantea riesgos particulares y exige que se tomen recaudos adicionales Por ende antes del tratamiento debe realizarse un examen minucioso para determinar si deben implementarse ciertas garantiacuteas (por ejemplo medidas de seguridad reforzadas) antes durante y despueacutes de su ejecucioacuten como se explicaraacute maacutes adelante o si es oportuno utilizar datos biomeacutetricos teniendo en cuenta los posibles riesgos en juego


821 BASES LEGIacuteTIMAS PARA EL TRATAMIENTO DE DATOS PERSONALESLas organizaciones humanitarias pueden tratar datos personales sobre las siguientes bases legiacutetimas137


bull el intereacutes puacuteblico





Como se explica en el capiacutetulo 3 ldquoBases legiacutetimas para el tratamiento de datos personalesrdquo si bien el consentimiento es la base legiacutetima preferida para el tratamiento de datos personales su validez podriacutea ser difiacutecil de comprobar en una situacioacuten humanitaria No obstante los datos biomeacutetricos se consideran datos sensibles y por lo tanto los controladores de datos deben obtener el consentimiento de las personas Asimismo dado que los datos biomeacutetricos solo pueden ser recogidos directamente de los individuos pertinentes las organizaciones humanitarias suelen tener la posibilidad de obtener el consentimiento para la utilizacioacuten de datos biomeacutetricos lo cual no sucede con otros meacutetodos de recopilacioacuten y tratamiento de datos Sin embargo no siempre tienen la posibilidad de conseguir un consentimiento inequiacutevoco libre informado y documentado para el tratamiento de datos biomeacutetricos debido a los motivos que tambieacuten se enumeran en el capiacutetulo 3 ldquoBases legiacutetimas para el tratamiento de datos personalesrdquoporejemplo

bull la incapacidad fiacutesica de las personas para prestar consentimiento como en el caso de pacientes inconscientes (cuando por ejemplo los datos biomeacutetricos puedan ser necesarios para abrir el expediente meacutedico de un paciente en combinacioacuten con otro poder legiacutetimo necesario para abrirlo)

bull la falta de tiempo y de personal para garantizar que los individuos reciban la informacioacuten adecuada durante las primeras fases de una emergencia donde la prioridad es prestar la asistencia necesaria para salvar vidas

bull la vulnerabilidad de los individuos o su incapacidad legiacutetima para prestar consentimiento



bull la naturaleza sumamente teacutecnica e irreversible de los datos que podriacutea exponer a los individuos a riesgos difiacuteciles de comprender o de prever al momento de prestar elconsentimientoEstoserefiereparticularmentealaposibilidaddequelacienciay la tecnologiacutea evolucionen de manera tal que surjan nuevos riesgos que no hayan sido previstos al momento de prestar consentimiento (por ejemplo si la informacioacuten geneacutetica se vuelve accesible a partir del escaneo del iris de una persona)

bull la ausencia de una opcioacuten real respecto de otras maneras de recibir asistencia o proteccioacuten (por ejemplo si la supervivencia de una persona o de su familia depende de la ayuda humanitaria o si la persona necesita registrarse para permanecer legalmente en el paiacutes donde se encuentra es muy difiacutecil que pueda oponerse a la recopilacioacuten de datos biomeacutetricos)

Cuando no se pueda obtener un consentimiento vaacutelido de la persona es decir del titular de los datos la organizacioacuten humanitaria pertinente auacuten puede tratar datos personales si establece que el tratamiento es necesario por motivos de intereacutes puacuteblico importante o que responde al intereacutes vital del titular de los datos o de otra persona es decir que es necesario para proteger un intereacutes que es esencial para la vida la integridad la salud la dignidad o la seguridad del titular de los datos o de otra persona

En algunos casos dada la naturaleza de la labor de las organizaciones humanitarias y lassituacionesdeemergenciaen lasquetrabajanenconflictosarmadosyotrassituaciones de violencia muchas veces se cree que el tratamiento de datos que efectuacutean

Refugiada siria escanea su iris en una sucursal del banco Cairo Amman para acceder a la asistencia mensual en efectivo Ammaacuten Jordania

Alto

Com

isio

nado

de

las

Nac

ione

s Un

idas

par

a lo

s Re

fugi

ados

(ACN

UR)


responde al intereacutes vital de un titular de datos o de otra persona (por ejemplo en casos de amenaza inminente contra la integridad fiacutesica y mental de las personas afectadas)

Puededecirsequeencondicionesdifiacutecilesydada laeficaciade labiometriacuteaparaidentificaralaspersonasel intereacutesvitaldeltitulardelosdatosodeotrapersonapodriacutea constituir una base legiacutetima alternativa plausible para el tratamiento pertinente cuando las organizaciones humanitarias no puedan obtener el consentimiento de los individuos Ademaacutes es posible imaginar una situacioacuten en la que la defensa del intereacutes vitaldelosbeneficiariosjustifiquelautilizacioacutendesistemasbiomeacutetricosPorejemplosi los recursos disponibles para la accioacuten humanitaria son limitados y si los posibles beneficiariosnorecibenlaasistenciaesencialporqueseprestaayudaenformaexcesivay fraudulenta a otro grupo de personas los sistemas biomeacutetricos pueden facilitar una correcta asignacioacuten de los recursos y prevenir los fraudes Por otra parte tambieacuten puede afirmarsequelosdatosbiomeacutetricosnosonesencialesparaladistribucioacutendeayudaMaacutes que al intereacutes vital de las personas afectadas la utilizacioacuten de datos biomeacutetricos respondealanecesidaddelasorganizacioneshumanitariasderealizarunalaboreficazal tiempo que se proponen evitar el riesgo de duplicacioacuten y despilfarro de recursos financieros

Ademaacutes es importante precisar el ciclo de vida uacutetil de los datos biomeacutetricos Si se preveacute utilizar los datos durante toda la vida de una persona la base legiacutetima del intereacutes vital de esa persona sin dudas no seraacute aplicable y en cambio deberaacute obtenerse el consentimiento

Una uacuteltima consideracioacuten sobre este tema guarda relacioacuten con el valor intriacutenseco de los datosbiomeacutetricosparalaidentificacioacutenclaraeinequiacutevocadelaspersonasafectadasporuna emergencia humanitaria y con la funcioacuten que ello podriacutea cumplir para recuperar o fortalecer la dignidad de una persona por ejemplo permitieacutendole ejercer sus derechos Desde este punto de vista el intereacutes vital de un titular de datos bien podriacutea estar en juego

En algunos casos los fundamentos importantes de intereacutes puacuteblico pueden utilizarse como base legiacutetima para el tratamiento de datos biomeacutetricos Por ejemplo esto ocurriraacute cuando la actividad responda a un cometido humanitario establecido por el derecho nacional o internacional Dicha base legiacutetima puede ser pertinente en el marco de la distribucioacuten de asistencia cuando no siempre es posible obtener el consentimiento de losbeneficiariosCabesentildealarquesilavidalaseguridadladignidadylaintegridaddel titular de los datos o de otras personas estaacuten en juego el intereacutes vital puede ser la base legiacutetima maacutes adecuada

El intereacutes puacuteblico puede constituir una base legiacutetima adecuada para el tratamiento de datos biomeacutetricos cuando una accioacuten humanitaria se realice conforme a un cometido establecido por el derecho regional nacional o internacional y cuando no se aplique el consentimiento o el intereacutes vital como en los casos analizados anteriormente


Las organizaciones humanitarias tambieacuten pueden tratar datos personales cuando tengan un intereacutes legiacutetimo siempre que los derechos y las libertades fundamentales del titular de los datos no primen sobre ese intereacutes Ese intereacutes legiacutetimo puede comprender el tratamiento necesario para aumentar la eficacia de la prestacioacuten de asistenciahumanitaria y reducir los costos y los riesgos de duplicacioacuten y fraude Sin embargo dadoquelosdatosbiomeacutetricospuedenutilizarseconfinespotencialmenteinvasivosyquepresentanlascaracteriacutesticasespeciacuteficasyasentildealadascabepreguntarsesilosderechos y las libertades de un titular de datos no siempre priman sobre el intereacutes legiacutetimo Para que el intereacutes legiacutetimo del titular de los datos pueda servir de base legiacutetima la EIPD pertinente debe comprender un anaacutelisis minucioso de los riesgos y las posibles interferencias en los derechos y las libertades fundamentales del titular de los datos Esto reviste particular importancia si existe un riesgo de que terceros obtengan acceso no autorizado a los datos o presionen a las organizaciones humanitarias para quelessuministrenestosdatosaltamentesensiblesparautilizarlosconfinesquenosean exclusivamente humanitarios

822 PROCESAMIENTO LEAL Y LIacuteCITOConforme a la legislacioacuten relativa a la proteccioacuten de datos los datos de caraacutecter personal solo pueden ser tratados en forma liacutecita y equitativa138 Para ser liacutecito el tratamiento debe tener una base legiacutetima apropiada El requisito de lealtad suele estar vinculado con el suministro de informacioacuten y con la utilizacioacuten de los datos Las organizaciones humanitarias que procesan datos biomeacutetricos deben tener en cuenta que estos principios deben aplicarse en todas las etapas del tratamiento

823 LIMITACIOacuteN DEL PROPOacuteSITO Y TRATAMIENTO ULTERIORComo se explica en el capiacutetulo 2 ldquoPrincipios baacutesicos relativos a la proteccioacuten de datosrdquo al momento de recoger los datos personales la organizacioacuten humanitaria debe determinar yexponerlospropoacutesitosespeciacuteficosdeltratamientodelosdatosEsospropoacutesitosdebenserexpliacutecitosylegiacutetimosypuedenabarcarfineshumanitarioscomoladistribucioacutendeasistencia humanitaria el restablecimiento del contacto entre familiares la proteccioacuten de personas detenidas la prestacioacuten de asistencia meacutedica o las actividades forenses

LosfinesdeltratamientodebencomunicarseclaramentealosindividuosalmomentodelarecopilacioacutenDadoquelainformacioacutenbiomeacutetricaseutilizaparalaidentificacioacutendepersonaslosfinesdeltratamientodebenguardarrelacioacutenconelpropoacutesitoinicialdelaidentificacioacuten(porejemplolaidentificacioacutenensiacuteeldesembolsodelaayudayasea mediante prestaciones en especie o pagos en efectivo)

Losdatospersonalespuedentratarseconfinesdiferentesalosestablecidosinicialmenteal momento de recopilar los datos cuando el tratamiento ulterior sea compatible con

138 V Seccioacuten 251 Principio de licitud y lealtad del tratamiento y Seccioacuten 822 Procesamiento leal y liacutecito


esosfinesporejemplo cuandoseanecesarioparafineshistoacutericosestadiacutesticosocientiacuteficosParadeterminarsieltratamientoulteriorescompatibleconelpropoacutesitopara el que se recogieron inicialmente los datos es conveniente prestar atencioacuten a los siguientesfactores


bull la medida en que el tratamiento ulterior tenga caraacutecter humanitario

bull las circunstancias en que se recogieron los datos personales y en particular la relacioacuten entre los titulares de los datos y el controlador de datos


bull las consecuencias o los riesgos posibles para los titulares de los datos del tratamiento ulterior previsto


bull las expectativas razonables de los titulares de los datos en cuanto a la futura utilizacioacuten de los datos

EJEMPLOCuandounaorganizacioacutenhumanitariautilizaunsistemadeidentificacioacutenbiomeacutetricapara la distribucioacuten de ayuda y las personas pertinentes han prestado su consentimiento para ello no puede usarse el mismo sistema para comunicar los datos de los participantes alosdonantesdelaorganizacioacutenhumanitariaconfinesdereferenciacruzadaamenosque los participantes tambieacuten hayan prestado su consentimiento para ese propoacutesito

Losaspectoshumanitariosdelosfinesdeltratamientodebentenerseencuentaalanalizar los factores sentildealados

Como ya se ha explicado139 los propoacutesitos que entran en la categoriacutea maacutes general deldquofineshumanitariosrdquo probablemente sean compatibles con las operaciones detratamiento ulterior Sin embargo este no seriacutea el caso si surgen nuevos riesgos o si losriesgosdeltratamientoulteriorsonmayoresquelosbeneficiosparalaspersonasafectadas Esta evaluacioacuten dependeraacute de las circunstancias del caso y comprenderaacute por ejemplo un anaacutelisis de los riesgos de que el tratamiento vaya en contra de los intereses de la persona con quien se relaciona la informacioacuten o de sus familiares sobre todo cuando haya peligro de vulnerar su vida su integridad su dignidad su seguridad fiacutesica o psicoloacutegica su libertad o su reputacioacuten

Enelmismosentidoeltratamientoulteriorconfinesnohumanitarios(porejemploactuacioacutenpolicialoseguridadnacionalcontrolesdeseguridadgestioacutendelosflujosmigratorios o solicitudes de asilo) debe considerarse incompatible con el tratamiento inicial realizadopor la organizacioacutenhumanitariaDelmismomodo losfinesque

139 V Seccioacuten 823 Limitacioacuten del propoacutesito y tratamiento ulterior


podriacutean interpretarse como humanitarios pero que conllevan nuevos riesgos para los individuos (como la gestioacuten de las migraciones y las solicitudes de asilo) o la identificacioacutenporpartedelasautoridadesnopuedenconstituiruntratamientoulteriorcompatible

824 MINIMIZACIOacuteN DE LOS DATOSLosdatospersonalestratadosdebenseradecuadosypertinentesparalosfinesparalosqueselosrecogeEnparticularesosignificaqueelvolumendedatosqueserecojano debe ser excesivo y que el periacuteodo de conservacioacuten de los datos debe limitarse al miacutenimo necesario Idealmente la cantidad de datos personales recogidos y tratados deberiacutealimitarsealonecesarioparaalcanzarelpropoacutesitoespeciacuteficodelarecopilacioacutendel tratamiento o del tratamiento ulterior compatible

La informacioacuten biomeacutetrica recogida a los efectos de la identificacioacuten debe serproporcionalaesosfinesesdecirquedebenrecopilarseytratarseuacutenicamentelosdatosbiomeacutetricosnecesariosparalaidentificacioacutendelaspersonasTodainformacioacutenldquoexcesivardquoquenoseapertinentepara la identificacioacutennodeberecogerseysiyase recogioacute debe eliminarse De la misma manera el abanico de conjuntos de datos recogidos debe limitarse a lo estrictamente proporcional (por ejemplo la recopilacioacuten de imaacutegenes faciales o de escaneos de iris no podraacute considerarse proporcional si ya se utilizanfotosyhuellasdactilaresparalaidentificacioacuten)

La compartimentacioacuten de los datos recogidos dentro de un sistema biomeacutetrico (es decir con acceso autorizado seguacuten la necesidad de su conocimiento) podriacutea ser para las organizaciones humanitarias una manera interesante de abordar los requisitos de minimizacioacuten de los datos

Asimismo al momento de disentildear un programa que implique la recopilacioacuten de datos biomeacutetricos el principio de minimizacioacuten de los datos debe inducir a las organizaciones humanitariasarecogerlamenorcantidaddeidentificadoresbiomeacutetricosposibleparaalcanzarlosfinesdeidentificacioacutenparalaaccioacutenhumanitariaespeciacutefica

EJEMPLOParaidentificaraunbeneficiarioyevitarfraudesyduplicacioneslarecopilacioacutendeunasolafuentededatosbiomeacutetricos(comounahuelladactilar)puedesersuficientemientras que la recopilacioacuten de una combinacioacuten de maacutes de una huella dactilar y de un escaneo del iris puede ser desproporcionado y contrario al principio de minimizacioacuten de los datos


825 CONSERVACIOacuteN DE LOS DATOSLa informacioacuten biomeacutetrica plantea algunos problemas de seguridad que pueden resolverse mediante la eliminacioacuten o la destruccioacuten de los datos tras el tratamiento o bien mediante una poliacutetica de conservacioacuten de datos bien estructurada que describa las condiciones para la eliminacioacuten o la destruccioacuten u otras opciones que puedan aplicarsecomoladesidentificacioacutenolasrestriccionesdeaccesoPorlotantodebeevitarse la conservacioacuten de datos con vistas a un tratamiento ulterior a menos que este esteacuteclaramentedefinidoyserequieradentrodelperiacuteododeconservacioacutennecesarioalosfinesdelarecopilacioacuteninicialdedatosLasorganizacioneshumanitariasdebenestablecer sus propias poliacuteticas internas de conservacioacuten de datos en funcioacuten del tipo de datos recogidos y el uso que podriacutean darles en el futuro

826 SEGURIDAD DE LOS DATOSDada la sensibilidad de la informacioacuten biomeacutetrica y los riesgos de uso abusivo si se consigue acceso sin autorizacioacuten o de alguna otra manera140 es imperioso que la organizacioacutenhumanitariaquedeterminalosfinesylosmediosparaeltratamiento(esdecir el controlador de datos) aplique medidas de seguridad adecuadas y proporcionales Por ejemplo el cifrado o la compartimentacioacuten de la informacioacuten podriacutean constituir solucionesviablesparaesefin

83 DERECHOS DE LOS TITULARES DE LOS DATOSLos derechos de los titulares de los datos que se describen en el capiacutetulo 2 ldquoPrincipios baacutesicos relativos a la proteccioacuten de datosrdquo son los derechos relativos a la informacioacuten elaccesolarectificacioacutenlaeliminacioacutenylaobjecioacuten

En lo que respecta al derecho a la informacioacuten suele ser maacutes sencillo para los controladores de datos suministrar informacioacuten adecuada sobre los detalles del tratamiento cuando los datos se recogen directamente de las personas afectadas como en el caso de los datos biomeacutetricos Teniendo en cuenta los importantes riesgos adicionales en juego el nivel de informacioacuten que se suministraraacute si los datos se procesan sobre la base del consentimiento seraacute elevado Dicha informacioacuten debe abarcar elementos sobre las posibles consecuencias del acceso de terceros a los datos biomeacutetricos en el marco del tratamiento requerido para implementar un proyecto biomeacutetrico Al principio es posible que la organizacioacuten humanitaria no prevea permitir el acceso de terceros o no conozca las posibles repercusiones Por ejemplo este puede ser el caso cuando se intercambian datosconEstadosdeacogidaalosfinesdeuntratamientodelosreasentamientosEstasituacioacuten que no habiacutea sido anticipada al momento de la recopilacioacuten exigiriacutea obtener un consentimiento aparte despueacutes del registro inicial o biomeacutetrico

140 Sarah Soliman Tracking Refugees With Biometrics More Questions Than Answers WarontheRocksBlog9demarzode2016httpswarontherockscom201603tracking-refugees-with-biometrics-more-questions-than-answers


Por otra parte debe implementarse una infraestructura adecuada para facilitar el ejerciciode losderechosdeaccesodeobjecioacutende eliminacioacutenyde rectificacioacutencuando se recurra a la biometriacutea En este sentido es conveniente prever procedimientos de reclamos en las poliacuteticas internas de proteccioacuten de datos y aplicarlos en el marco del tratamiento de datos personales

84 INTERCAMBIO DE DATOSEl tratamiento de datos biomeacutetricos puede abarcar un intercambio de datos con terceros en las circunstancias que se describen a continuacioacuten

bull La organizacioacuten humanitaria contrata a un encargado del tratamiento de datos externo que le proporcione la tecnologiacutea biomeacutetrica necesaria para la recopilacioacuten y el tratamiento de los datos En este caso se establece una relacioacuten entre el controlador de datos y el encargado del tratamiento de datos

bull Laorganizacioacutenhumanitariatransfierelosdatosaunterceroqueseconvierteenun nuevo controlador de datos

bull Las autoridades del paiacutes de acogida solicitan o exigen una copia de los datos biomeacutetricosrecogidosensuterritorioseaengeneralosobreindividuosespeciacuteficos

Es importante tener en cuenta los requisitos en materia de proteccioacuten de datos antes de realizar el intercambio y cabe sentildealar que el ldquointercambiordquo abarca no solo las circunstancias en que los datos son transferidos activamente a terceros sino tambieacuten aquellas en las que los datos simplemente se vuelven accesibles para otros Dada la sensibilidad de los datos biomeacutetricos se debe actuar con suma prudencia antes de proceder con el intercambio de datos

85 INTERCAMBIO INTERNACIONAL DE DATOSEl tratamiento de datos biomeacutetricos puede implicar un intercambio internacional de datos personales con partes situadas en diferentes paiacuteses como en el intercambio internacional de datos entre distintas organizaciones humanitarias o entre organizaciones humanitarias y terceros del sector puacuteblico o privado

La legislacioacuten sobre proteccioacuten de datos impone restricciones al intercambio internacional de datos y las organizaciones humanitarias deben contar con mecanismos para proporcionarle una base legiacutetima cuando recurran a la biometriacutea como ya se ha sentildealado141 Antes de realizar un intercambio internacional de datos las organizaciones humanitarias deben analizar si dicho intercambio tiene una base legiacutetima en virtud del derecho aplicable y de sus propias poliacuteticas internas Una EIPD142 previa al intercambio

141 V Seccioacuten 821 Bases legiacutetimas para el tratamiento de datos personales142 V Seccioacuten 87 Evaluaciones de impacto relativas a la proteccioacuten de datos


internacional de datos podriacutea reforzar la licitud de ese tratamiento desde el punto de vista de la proteccioacuten de los datos


Elempleodesistemasde identificacioacutenbiomeacutetricaporpartedeunaorganizacioacutenhumanitaria puede implicar la externalizacioacuten del trabajo a operadores locales para la implementacioacuten del proyecto in situ Estas tecnologiacuteas de avanzada requieren el apoyo de prestadores especializados Las organizaciones humanitarias tambieacuten pueden cooperar entre siacute mediante el intercambio de bases de datos biomeacutetricos (v maacutes arriba) Las autoridades estatales (como los organismos encargados de hacer cumplir la ley) pueden presionar a las organizaciones humanitarias para acceder a los datos biomeacutetricos que ellas tienen (por ejemplo en casos de migraciones o desplazamientos forzados)seaengeneralosobreindividuosespeciacuteficos

Porelloesindispensabledeterminarcuaacutelessonlaspartesqueefectivamentedefiniraacutenlosfines del tratamiento de datos y losmedios para realizarlo (controladores dedatos) y cuaacuteles recibiraacuten instrucciones de los controladores de datos (procesadores de datos)Unavezquelasfuncioneshayansidoclaramentedefinidasyquelastareascorrespondientes hayan sido asignadas el intercambio internacional de datos entre organizaciones humanitarias con otros paiacuteses o con terceros del sector puacuteblico o privadosolodeberealizarsesisefirmanclaacuteusulascontractualesqueestablezcanlasresponsabilidades de las partes Asimismo debe determinarse cuidadosamente si los procesadores de datos que participan en las operaciones estaacuten en condiciones de respetar plenamente los requisitos de seguridad y segregacioacuten Esta consideracioacuten es particularmente importante para las tecnologiacuteas biomeacutetricas dado que algunos procesadores de datos pueden gestionar trabajos para varios controladores de datos y cuando esos controladores de datos son organizaciones humanitarias o autoridades debe evaluarse minuciosamente el riesgo de que los conjuntos de datos no sean adecuadamente segregados Una EIPD previa al tratamiento de datos biomeacutetricos puede ser un medio adecuado para precisar las funciones de las diferentes partes que participan en el tratamiento



Las evaluaciones de impacto relativas a la proteccioacuten de datos (EIPD) son herramientas importantes que durante el disentildeo de proyectos garantizan que se contemplen todos los aspectos de las normas aplicables en materia de proteccioacuten de datos y los riesgos especiacuteficossentildealadosanteriormente

Es fundamental que las organizaciones humanitarias efectuacuteen una EIPD cada vez que las organizaciones humanitarias procesen datos biomeacutetricos Ademaacutes de precisar los detallesy lasespecificacionesdel tratamiento lasEIPDdebenrecalcar losriesgospotencialesylasposiblesmedidasdeatenuacioacutenafindedeterminarsiesconvenienterecoger los datos y de ser asiacute queacute garantiacuteas deben implementarse Cabe sentildealar que las EIPD deben realizarse antes del tratamiento de datos biomeacutetricos

MAYOR CANTIDAD DE DATOS PERSONALES EN COMPARACIOacuteN CON LA AYUDA EN ESPECIE

DIFICULTAD PARA OBTENER UN CONSENTIMIENTO ACTIVO E INFORMADO

CONSERVACIOacuteN DE LOS DATOS

INTERCAMBIO DE DATOS

UTILIZACIOacuteN ULTERIOR INCOMPATIBLE

PROGRAMA DE TRANSFERENCIA DE EFECTIVO

USO POSIBLE

DIFICULTADES

APOYO AL MERCADO LOCAL

TRANSPARENCIA EN CUANTO A LA CANTIDAD DE AYUDA QUE RECIBEN LOS BENEFICIARIOS

LIBRE OPCIOacuteN PARA LAS PERSONAS

CAPIacuteTULO 9

PROGRAMAS DE TRANSFERENCIA DE EFECTIVO


91 INTRODUCCIOacuteNEl programa de transferencia de efectivo es una prometedora herramienta de apoyo para los procesos de supervivencia y recuperacioacuten tras una emergencia humanitaria Los teacuterminos ldquoprograma de transferencia de efectivordquo ldquoasistencia en forma de dinero en efectivo y valesrdquo ldquointervenciones en forma de dinero en efectivo y valesrdquo y ldquoasistencia en efectivordquo pueden utilizarse indistintamente y abarcan todos los tipos de programas de transferencia de efectivo sea en forma de vales o de efectivo y todos los tipos de mecanismos de prestacioacuten del servicio143

Lastransferenciasdeefectivosonmuyrespetuosasdelasopcionesdelosbeneficiariosy de los intercambios que realizan El mundo humanitario continuacutea utilizando diversos sistemas de asistencia en forma de dinero en efectivo y vales que van desde vales que se canjeanporproductososerviciosespeciacuteficosdeproveedorestambieacutenespeciacuteficoshastatransferencias de efectivo supeditadas al cumplimiento de determinados requisitos por partedelosbeneficiariosotransferenciasdeefectivosinninguacutentipoderestriccioacuteno condicioacuten que se pueden destinar a pagar todo aquello que las personas afectadas necesiten144

La asistencia electroacutenica en efectivo puede adoptar varias formas como el dinero electroacutenicoqueconsisteenunasumadedineroqueseenviacuteaalosbeneficiariosyquepuede convertirse en efectivo o gastarse sin restricciones (por ejemplo dinero moacutevil tarjetas prepagas o transferencias bancarias) y los vales electroacutenicos que se enviacutean alosbeneficiarios(mediantetarjetasinteligentesoteleacutefonosmoacuteviles)yquepuedencanjearse en comercios autorizados por artiacuteculos aprobados con posibles restricciones en los gastos145 En ocasiones se usa tambieacuten el efectivo asiacute como vales impresos

Engeneralseconsideraquelaeficaciaylaadecuacioacutendelaayudahumanitariaenefectivodepende de la situacioacuten (por ejemplo cabe preguntarse si las personas pueden obtener los artiacuteculos que necesitan en una determinada situacioacuten)146 Si bien se han planteado

143 V Diagram of Key Cash Transfer Terminology Cash Transfers Glossary httpswwwhumanitarianresponseinfositeswwwhumanitarianresponseinfofilesdocumentsfilescalp-glossary_of_cash_transfer_programme_terminologypdf

144 Center for Global Development Doing cash differently How cash transfers can transform humanitarian aid ndash Report of the High Level Panel on Humanitarian Cash Transfers (septiembrede2015)paacuteg11httpswwwodiorgsitesodiorgukfilesodi-assetspublications-opinion-files9828pdf

145 Comisioacuten Europea 10 common principles for multi-purpose cash-based assistance to respond to humanitarian needsmarzode2015httpeceuropaeuechofilespoliciessectoralconcept_paper_common_top_line_principles_enpdf DG ECHO Funding Guidelines The use of cash and vouchers in humanitarian crisesmarzode2013httpeceuropaeuechofilespoliciessectoralECHO_Cash_Vouchers_Guidelinespdf

146 Paul Harvey y Sarah Bailey Cash transfer programming and the humanitarian system Background Note for the High Level Panel on Humanitarian Cash Transfersmarzode2015httpswwwodiorgsitesodiorgukfilesodi-assetspublications-opinion-files9592pdf

9 PROGRAMAS DE TRANSFERENCIA DE EFECTIvO 153

algunasinquietudesrespectodelosprogramasdetransferenciadeefectivo(lainflacioacutenen el mercado local por ejemplo) existen pruebas que demuestran que la asistencia en efectivo y en vales es una opcioacuten que ofrece ldquouna buena relacioacuten precio-calidad en comparacioacuten con la asistencia en especierdquo147

Las investigaciones han demostrado que una mayor utilizacioacuten de las transferencias deefectivoconfineshumanitariosseguacutencorrespondasinrestriccionesyefectuadasen forma de pagos electroacutenicos cuando sea posible ofrece las siguientes ventajas148

bull brinda una opcioacuten y un mayor control de sus vidas a las personas afectadas por una crisis

bull mejora la adecuacioacuten del sistema humanitario a las necesidades de las personas

bull incrementa la transparencia de la ayuda humanitaria y mejora la prevencioacuten del fraude demostrando la cantidad de ayuda que efectivamente recibe la poblacioacuten afectada

bull aumenta la responsabilidad de la ayuda humanitaria tanto ante las poblaciones afectadas como ante los contribuyentes de los paiacuteses donantes

bull reduce potencialmente los costos de la ayuda humanitaria para aprovechar al maacuteximo los presupuestos limitados

bull apoya los mercados locales los empleos y los ingresos de los productores locales

bull refuerza el apoyo de la poblacioacuten a la ayuda humanitaria

bull aceleralarespuestahumanitariayleotorgamayorflexibilidad bull aumentalainclusioacutenfinancieraconectandoalaspersonasconlossistemasdepago

SinembargotambieacutenexistendesafiacuteosydificultadesElusodeasistenciaendineroen efectivo y vales en determinadas situaciones de emergencia humanitaria no siempre es la mejor solucioacuten (por ejemplo cuando los productos baacutesicos no estaacuten disponibles cuando las autoridades locales se oponen a este tipo de ayuda humanitaria ocuandoexisteunriesgodeinflacioacutenenelmercado)149 Las transferencias de dinero en efectivo son sencillamente una herramienta que permite cumplir con un objetivo del programa por lo que con frecuencia forman parte de programas de asistencia humanitaria maacutes amplios que incluyen medidas para brindar proteccioacuten saneamiento o servicios de asistencia de salud150 Por uacuteltimo para que los programas de transferencia de efectivo funcionen correctamente las organizaciones humanitarias deben tratar los datos personales de los individuos que con frecuencia incluyen datos acerca de la situacioacuten socioeconoacutemica y de las vulnerabilidades de un individuo o de un grupo lo cual plantea amenazas y riesgos de vulnerar la privacidad asociados a la recopilacioacuten y lamanipulacioacutendelosdatospersonalesdelosbeneficiariossobretodoenvistasdelos

147 Ibiacuted148 ODI y Center for Global Development Doing cash differently How cash transfers can

transform humanitarian aid Report of the High Level Panel on Humanitarian Cash Transfers septiembrede2015paacutegina8httpswwwodiorgsitesodiorgukfilesodi-assetspublications-opinion-files9828pdf

149 Ibiacuted paacuteg 11150 Ibiacuted paacuteg 11


complejosflujosdedatosqueelloimplicaPorlogeneralelusodetecnologiacuteasdigitalespara programas de transferencia de efectivo requiere de la participacioacuten de terceros que no pertenecen al sector humanitario (como proveedores de redes moacuteviles locales einternacionalesinstitucionesfinancierasyunidadesdeinteligenciafinanciera)Estosignificaquelasorganizacioneshumanitariaspierdenelcontroldelosdatosobtenidosydelosmetadatosgeneradosporelprogramaquepodriacuteanluegoutilizarseparafinesnohumanitarios(porejemploparaperfilarclientespotenciales)Tambieacutenesposiblequeseloscompartaconpartesexternasafindecumplirconunaobligacioacutenimpuestapor ley o en virtud de acuerdos de asociacioacuten151

151 CICRyPrivacyInternationalldquoChapter6CashTransferProgrammesrdquoenThe Humanitarian Metadata Problem ldquoDoing no harmrdquo in the digital era (octubre de 2018)

Prestacioacuten de los servicios de transferencia de dineroOrganizacioacuten humanitaria

Unidad de inteligencia nanciera

Agencia de inteligencia

Teleacutefonodel individuo

EMPRESA DE TELECOMUNICACIONES

De queacute manera los datos sobre dinero moacutevil pueden llegar a terceros

Aplicacioacuten con accesoa los sms del individuo

Organismosextranjeros

Agente o localcomercial de retiro

CICR y Privacy International ldquoChapter 6 Cash Transfer Programmingrdquo en The Humanitarian Metadata Problem ldquoDoing no harmrdquo in the digital era (octubre de 2018) paacuteg 73


Un estudio conjunto realizado por el CICR y Privacy International remarcoacute asimismo que ademaacutes de los datos que se sabe que han sido recolectados y tratados cada interaccioacuten genera lo que se conoce como metadatos es decir datos sobre datos Estos son el resultado inevitable de la interaccioacuten con el sistema o el servicio

Por uacuteltimo cabe destacar que si bien el creciente uso de la conectividad y de la tecnologiacutea digital hace que personas antes ldquoinvisiblesrdquo se vuelvan ldquovisiblesrdquo para lasinstitucionesfinancierasestasidentidadesyhuellasdactilarespuedencontribuir

CICR y Privacy International ldquoChapter 2 Processing data and metadatardquo en The Humanitarian Metadata Problem ldquoDoing no harmrdquo in the digital era (octubre de 2018) paacuteg 33

Diferentes tipos de datos y metadatos

AliceBob Encomienda

El cartero podriacutea tener idea de queacute contiene el paquete a partir de

El cartero

Datos declaradosInformacioacuten sobre los datos declarados contenida en la encomienda por ejemplo

quieacuten la enviacutea a quieacuten y cuaacutendo pasoacute por

determinados puestos de control

Datos inferidosInformacioacuten que puede deducirse a partir de los

datos declarados o de otras observaciones por ejemplo el tamantildeo de la encomienda

su forma o envoltorio que pueden revelar que se trata

de un obsequio

Datos sobre la intencioacuten

Informacioacuten que puede discernirse a lo largo del

tiempo al observar tendencias o patrones

por ejemplo la frecuencia con que Bob le enviacutea

encomiendas a Alice puede ser indicativa de una

relacioacuten


a la inclusioacuten de personas ignoradas por programas anteriores Como contrapartida estanuevavisibilidadpuedeimplicarquelosbeneficiariosquedenexpuestosaciertosriesgos El mero hecho de que busquen asistencia de una organizacioacuten humanitaria podriacutea revelar su pertenencia a un grupo en particular y exponerlos a discriminacioacuten En otras palabras es posible que la inevitable visibilidad generada por la interaccioacuten digital constituya una amenaza para las situaciones humanitarias Es posible que la visibilidad ylacreacioacutendeperfilesdigitalessetransformeenuninstrumentodediscriminacioacutenfinancieraquecontradiceelfinoriginaldelprogramadetransferenciadeefectivo152


Las amenazas y los riesgos de vulnerar la privacidad asociados a la recopilacioacuten y la manipulacioacutendelosdatospersonalesdelosbeneficiariosalosfinesdelosprogramasdetransferenciadeefectivopuedenserelresultadodeunadeficienciaenlasmedidasorganizativas y teacutecnicas relacionadas con la seguridad de los datos Ademaacutes las organizaciones humanitarias deben tener en cuenta el impacto que los datos generados (directa o indirectamente) por los programas de transferencia de efectivo pueden tener en el largo plazo Dado que estos programas recurren a los servicios y sistemas existentes como bancos y operadores de telecomunicaciones es posible quelasorganizacioneshumanitariasdebanrecopilardatosdelosbeneficiariosafinde cumplir con ciertas obligaciones como ldquoConozca a su clienterdquo153 el registro de la tarjeta SIM154yotrasquelessonaplicablesLosdatospersonalesrecogidosalosfinesde estos programas pueden implicar diversos conjuntos de datos que podriacutean no haber sido necesarios para otros tipos de ayuda humanitaria155 Estos datos se intercambian conentidadesprivadasparapermitirladistribucioacutendeayudafinanciera

152 CICRyPrivacyInternationalldquoSection61CTPandfinancialinclusionbenefitsandchallengesrdquo en The Humanitarian Metadata Problem ldquoDoing no harmrdquo in the digital era (octubre de 2018) paacutegs 68-69

153 ldquoConozca a su clienterdquo (Know Your Customer KYC) es un procedimiento que les permite alasempresasverificarlaidentidaddesusclientesafindecumplirconlanormativaylalegislacioacuten sobre lavado de dinero y anticorrupcioacuten V PwC Anti-Money Laundering Know Your Customer Quick Reference Guide and Global AML Resource Map PricewaterhouseCoopers 2016httpswwwpwccomgxenindustriesfinancial-servicespublicationsfinancial-crime-guide-tool-and-global-financial-crime-resource-mhtml

154 Kevin P Donovan y Aaron K Martin ldquoThe rise of African SIM registration The emerging dynamics of regulatory changerdquo First Mondayvol19ndeg2(26deenerode2014)secIVhttpfirstmondayorgojsindexphpfmarticleview4351

155 Cash Learning Partnership Protecting Beneficiary Privacy Principles and operational standards for the secure use of personal data in cash and e-transfer programmespaacutegina4 httpreliefwebintsitesreliefwebintfilesresourcescalp-beneficiary-privacy-webpdf


Ademaacutes es necesario ponderar cuidadosamente no solo los datos recolectados sino tambieacuten los que se generan es decir los metadatos obtenidos a traveacutes de los aspectos praacutecticos de los programas de transferencia de efectivo La obtencioacuten distribucioacuten y conservacioacuten de estos datos se rigen por obligaciones juriacutedicas y normativas diferentes A modo de ejemplo en el caso del dinero moacutevil se trata de datos como los nuacutemeros de teleacutefono del emisor y del destinatario la fecha y hora en que se realizoacute la transaccioacuten financiera la identificacioacutende latransaccioacutensumontoyubicacioacutenel localenelque se llevoacute a cabo y las partes involucradas a ambos extremos de la transaccioacuten Es posible utilizar estos datos para derivar otra informacioacuten y hacer inteligencia que a suvezpodriacuteausarseparaperfilarycontrolaralosusuarios156 En consecuencia las organizaciones humanitarias deben estar al tanto de las formas en las que es posible usar los datos para derivar informacioacuten sobre los comportamientos los movimientos lapertenenciaaalguacutenpartidopoliacuteticoyotrascaracteriacutesticasdesusbeneficiariosLacapacidaddehacerinferenciassobrelosbeneficiariospersistemuchodespueacutesdequeelprogramahayafinalizado

Dado que son cada vez maacutes las organizaciones humanitarias que optan por prestar asistencia a traveacutes de programas de transferencia de efectivo resulta indispensable considerar las repercusiones del tratamiento de datos personales necesario para distribuir esetipodeayuda(porejemplosilosindividuosquerecibanayudafinancieraseraacutenviacutectimas de discriminacioacuten) asiacute como las medidas de atenuacioacuten de riesgos asociados157

Las cuestiones relacionadas con la proteccioacuten de datos surgen de que los controladores de datos o los procesadores de datos recopilan almacenan y cruzan datos durante las operaciones vinculadas con los programas de asistencia en efectivo Con frecuencia losdatosqueseobtienenduranteunprogramadetransferenciadeefectivoserefierena vulnerabilidades y factores socioeconoacutemicos Los datos se utilizan para dirigir laasistenciayaseaparaunsubconjuntodepersonasafectadas(afindeinvestigarla evaluacioacuten de las necesidades) o para un grupo maacutes amplio que podriacutea incluir a personasqueendefinitivano reciben las transferenciasdedineroenefectivoEngeneral durante el proceso se recopilan los siguientes datos personales de todos los destinatariosnombreapellidonuacutemerodeteleacutefonomoacutevildatosdeidentificacioacutendeclientes (ldquoConozca a su clienterdquo o KYC)158 datos de geolocalizacioacuten u otros metadatos telefoacutenicos y datos biomeacutetricos Las organizaciones humanitarias tambieacuten pueden recopilardatosrelacionadosconvulnerabilidadesofactoressocioeconoacutemicosafindeorientar adecuadamente la ayuda prestada Una vez recopilados y almacenados estos datospuedenpermitiruntratamientoconotrosfinesuotrostiposdetratamientocomo el anaacutelisis de datos o la mineriacutea de datos159

156 CICRyPrivacyInternationalldquoChapter6CashTransferProgrammingrdquoenThe Humanitarian Metadata Problem ldquoDoing no harmrdquo in the digital era (octubre de 2018) paacutegs 73-75

157 Ibiacuted paacuteg 4158 V glosario y PWC Know Your Customer Quick Reference Guide httpwwwpwccoukfraud-

academyinsightsanti-money-laundering-know-your-customer-quick-refhtml159 V Capiacutetulo 6 ldquoAnaacutelisis de datos y macrodatosrdquo


Lacomplejidadde losflujosdedatosentre lasorganizacioneshumanitariasy lasorganizaciones asociadas que utilizan la asistencia en efectivo y en vales tambieacuten plantea cuestiones relacionadas con la proteccioacuten de datos que se abordan en la seccioacuten sobre intercambio de datos160

93 PRINCIPIOS BAacuteSICOS RELATIVOS A LA PROTECCIOacuteN DE DATOS

Los principios baacutesicos relativos a la proteccioacuten de datos son las bases que deben respetarse al realizar cualquier tipo de tratamiento de datos personales Ellos son el principio de licitud y lealtad del tratamiento el principio de transparencia el principio de limitacioacuten del propoacutesito el principio de minimizacioacuten de los datos y el principio de calidad de los datos161


931 BASES LEGIacuteTIMAS PARA EL TRATAMIENTO DE DATOS PERSONALESLas organizaciones humanitarias pueden tratar datos personales sobre las siguientes baseslegiacutetimas







La obtencioacuten del consentimiento informado vaacutelido162 de los beneficiarios de losprogramas de transferencia de efectivo puede resultar difiacutecil dada la cantidad y la complejidad de la informacioacuten que deberiacutea suministrarse para garantizar que los beneficiarioscomprendancabalmente los riesgosy losbeneficiosdel tratamientoAdemaacutes la mera interaccioacuten con el servicio inevitablemente genera metadatos sin la participacioacuten del usuario163 Al igual que en el resto de los casos en que los datos personales se recopilan como requisito previo para la prestacioacuten de asistencia a los beneficiariospodriacuteadecirsequeamenosquetambieacutenexistaotromeacutetodoparaprestar

160 V Seccioacuten 95 Intercambio de datos161 V tambieacuten Capiacutetulo 2 ldquoPrincipios baacutesicos relativos a la proteccioacuten de datosrdquo162 V Seccioacuten 32 Consentimiento163 CICRyPrivacyInternationalldquoChapter6CashTransferProgrammesrdquoenThe Humanitarian

Metadata Problem ldquoDoing no harmrdquo in the digital era (octubre de 2018) paacuteg 21


ayuda una persona que necesita asistencia no tiene verdaderamente la opcioacuten de otorgar o denegar su consentimiento y por lo tanto dicho consentimiento no puede considerarse vaacutelido

Si no es posible obtener el consentimiento entonces podriacutea utilizarse otra base legiacutetima seguacutenseindicamaacutesabajoComomiacutenimoalosbeneficiariosselesdeberiacuteainformartanto individualmente como en conjunto acerca de la naturaleza del programa que se otorga la base legiacutetima del tratamiento queacute datos se recopilan quieacuten lo hace y por queacute si el suministro de los datos es obligatorio o voluntario las fuentes de los datos durante cuaacutento tiempo se los guardaraacute queacute procesadores de datos participan y con queacute otra persona se compartiraacuten los datos asiacute como sus derechos (lo que incluye el derecho a reparacioacuten)

Las organizaciones humanitarias deben164

bull aspiraraobtenerelconsentimientoactivoeinformadodelosbeneficiariosparautilizar sus datos personales al recurrir a la asistencia en dinero en efectivo y en vales

bull utilizar alternativas al consentimiento activo e informado uacutenicamente cuando este sea imposible de obtener o cuando no se pueda obtener por los motivos ya sentildealados Es legiacutetimo no solicitar un consentimiento activo e informado en casos

164 Cash Learning Partnership Protecting Beneficiary Privacy Principles and operational standards for the secure use of personal data in cash and e-transfer programmes paacutegina 13 ob cit

En el extremo norte de Cameruacuten una mujer consulta el teleacutefono que usa para recibir transferencias de efectivo sin condiciones

T J

ump

IRC


de urgencia o bien cuando en virtud de las circunstancias de la distribucioacuten el ldquoconsentimiento activo e informadordquo no tenga sentido

bull si es posible garantizar que el consentimiento que se preste sea vaacutelido o bien ofrecer un meacutetodo de asistencia alternativo para las personas que desconfiacutean de losflujosdedatosodelaspartesinteresadasqueparticipanenelusodeasistenciaen efectivo y en vales

bull a su leal saber y entender y a partir de informacioacuten de dominio puacuteblico informar a losbeneficiariosacercadelosdatosylosmetadatosquetercerospodriacuteangenerarobtener y tratar Por terceros nos referimos a los propietarios de los servicios y sistemas que las organizaciones humanitarias usan (incluyendo los referidos a ldquoConozca a su clienterdquo en el caso de los bancos y el registro de la tarjeta SIM por parte de los operadores de telecomunicaciones)

Dadalapotencialeficaciadelasoperacionesdeasistenciaenefectivoensituacionesde cataacutestrofe o de emergencia y la rapidez de su implementacioacuten cuando estaacuten bien preparadas (si se compara por ejemplo con la asistencia en especie) el intereacutes vital del titular de los datos o de otra persona podriacutea constituir una base legiacutetima alternativa plausible para el tratamiento pertinente cuando las organizaciones humanitarias no puedan obtener el consentimiento de los individuos Sin embargo como siempre ocurre con esta base legiacutetima y como se indica en otra parte de este manual su utilizacioacuten debe considerarse con mucha cautela

El intereacutes puacuteblico puede constituir una base legiacutetima adecuada para el tratamiento de datos en el uso de asistencia en efectivo y en vales cuando una accioacuten humanitaria se realice conforme a un cometido establecido por el derecho regional nacional o internacional y cuando no pueda obtenerse ninguacuten consentimiento y no haya un intereacutes vital en juego como en los casos analizados anteriormente

Las organizaciones humanitarias tambieacuten pueden tratar datos personales cuando tengan un intereacutes legiacutetimo siempre que los derechos y las libertades fundamentales del titular de los datos no primen sobre ese intereacutes Ese intereacutes legiacutetimo puede abarcar eldeseodemejorarlaeficaciadelaayudahumanitariaprestadaodeprevenirfraudesy duplicaciones de la ayuda

932 LIMITACIOacuteN DEL PROPOacuteSITO Y TRATAMIENTO ULTERIORAl momento de recoger los datos la organizacioacuten humanitaria debe determinar yexponer lospropoacutesitosespeciacuteficosdel tratamientode losdatos165Elo losfinesespeciacuteficos deberiacutean ser expliacutecitos y legiacutetimos y en el caso de los programas detransferenciadeefectivodeberiacuteanincluirlaprestacioacutendeasistenciaafindepermitirque las personas afectadas accedan a los bienes y los servicios que necesitan

165 V Seccioacuten 931 Bases legiacutetimas para el tratamiento de datos personales


Losfinesdeltratamientodebenexplicarseycomunicarsealosindividuosalmomentode la recopilacioacuten

Losdatospersonalespuedentratarseconfinesdiferentesalosestablecidosinicialmenteal momento de recopilar los datos cuando el tratamiento ulterior sea compatible con esosfinesporejemplo cuandoseanecesarioparafineshistoacutericosestadiacutesticosocientiacuteficosParadeterminarsieltratamientoulteriorescompatibleconelpropoacutesitopara el que se recogieron inicialmente los datos es conveniente prestar atencioacuten a los siguientesfactores


bull las circunstancias en que se recogieron los datos personales y en particular la relacioacuten entre los titulares de los datos y el controlador de datos asiacute como la relacioacuten con el encargado del tratamiento de datos





Al evaluar los factores enumerados es conveniente prestar particular atencioacuten a los fineshumanitariosdeltratamientodedatos

Asimismo conviene considerar los otros fines que podriacutean estar en juego en eltratamiento efectuado por los procesadores comerciales (por ejemplo instituciones financierasyoperadoresdetelefoniacuteamoacutevil)oquepodriacuteanserdesuintereacutescomoelcotejodelistasdebeneficiariosconlaslistasdepersonasdesignadaslaconservacioacutendemetadatosconfinespolicialesoelperfiladodebeneficiariosparaevaluarlasolvencia166 Si los procesadores comerciales estaacuten obligados o dispuestos a tratar datos personales confinesquenoseanlosexclusivamentehumanitariosprevistoslasconsecuenciaspodriacuteanserlassiguientes

bull podriacutea ponerse en duda si las entidades de que se trate son verdaderamente procesadores de datos o si en realidad son nuevos controladores de datos que determinanlosmediosylosfinesdeltratamiento

bull eltratamientoadicionalpuedeserincompatibleconlosfinesdelarecopilacioacuteninicial y por ende necesitar una nueva base legiacutetima Si bien puede ser posible encontrar una nueva base legiacutetima (como el cumplimiento de una obligacioacuten legiacutetima de denunciar a personas designadas) las organizaciones humanitarias deben analizar con detenimiento su compatibilidad con el caraacutecter neutro imparcial e independiente de la accioacuten humanitaria



Las claacuteusulas del acuerdo contractual que rija el tratamiento deberaacuten restringir en la mayor medida posible el tratamiento ulterior realizado por los procesadores de datos

En el caso de los programas de transferencia de efectivo las organizaciones humanitarias deberiacutean conocer los datos y los metadatos que son tratados por los procesadores de datoscuyossistemasyserviciosutilizanEstosdeberiacuteanincluirseenlaEIPDafindeidentificaraacutereasquenecesitenregularsemedianteclaacuteusulascontractuales

EJEMPLO Un programa de transferencia de efectivo implementado por una organizacioacuten humanitariaparadistribuirayudacuyafinalidadcuentaconelconsentimientodelapoblacioacuten afectada no puede utilizarse para transmitir los datos de los participantes a los donantes de la organizacioacuten humanitaria para ser cotejados

De igualmodouna institucioacutenfinancieranopuedeusar losdatosobtenidosparaevaluarlasolvenciadelbeneficiarioosireuacutenelosrequisitosparaaccederaserviciosfinancierosinclusoluegodehaberrecibidoasistenciadeunaorganizacioacutenhumanitaria

933 MINIMIZACIOacuteN DE LOS DATOSLa informacioacuten recogida a los efectos de las operaciones de asistencia en efectivo debe serproporcionalaesosfinesesdecirquedebenrecopilarseytratarseuacutenicamentelosdatospersonalesnecesariosparalaidentificacioacutendelaspersonasTodainformacioacutenldquoexcesivardquoquenoseapertinenteparalaidentificacioacutennodeberecogerseysiyaserecogioacute debe eliminarse

Dado que son muchos los tipos de datos que se recogen al brindar asistencia en efectivo y envales se recomienda compartimentarlos afinde satisfacer los requisitosdeminimizacioacuten de los datos y autorizar el acceso seguacuten la necesidad de su conocimiento Asimismo podriacutean preverse disposiciones contractuales que prohiacuteban todo tratamiento ulterior por parte de entidades comerciales

La evaluacioacuten de la aplicacioacuten del principio de minimizacioacuten de los datos tambieacuten debe tener en cuenta los datos generados por los procesadores de datos en el marco del programa de transferencia de efectivo como los metadatos de las transacciones crediticias o los metadatos de las redes de telefoniacutea moacutevil

Una opcioacuten posible en los programas que usan la asistencia en efectivo y en vales consisteenquecuandoseaposiblelaorganizacioacutenhumanitariatransfieraalprestadorde servicios comerciales (por ejemplo un banco o un operador de telefoniacutea moacutevil) un identificadoruacutenico(quenolepermitaidentificaralbeneficiariofinal)juntoconlasuma en efectivo para ser distribuida No obstante es importante tener en cuenta las limitaciones de estos enfoques ya que los programas como estos dependen


de sistemas riacutegidos provistos por las instituciones financieras los operadores detelecomunicaciones y otras organizaciones pertinentes De igual modo es importante reconocer las limitaciones de las teacutecnicas de anonimizacioacuten usadas actualmente y las consecuenciasquetienenparalareidentificacioacutenenespecialenloscasosenlosqueesta sea posible a traveacutes de la correlacioacuten de los datos con otras fuentes167

934 CONSERVACIOacuteN DE LOS DATOSSe recomienda a las organizaciones humanitarias asegurarse de que los datos de los beneficiarios no sean conservados (por ellasmismas o por terceros procesadoresde datos) durante un periacuteodo mayor al necesario para alcanzar el propoacutesito de la recopilacioacuten inicial a menos que la conservacioacuten pueda ser de utilidad en el futuro pararepetirlasdistribucionesLosdatospersonalesdelosbeneficiariosquehayanabandonado el programa deben ser eliminados por la organizacioacuten sus procesadores de datos y llegado el caso por todos los terceros que hayan tenido acceso a los datos Enlamedidadeloposiblelaorganizacioacutenhumanitariadebeverificarqueelprestadorde servicios comerciales haya borrado correctamente los datos Cualquier informacioacuten cuyaconservacioacutenseconsiderenecesariaalfinaldelprogramasolodebeconservarsesiguardarelacioacutenconlosdatosparaloscualesexisteunfinlegiacutetimocomoeventualesprogramas futuros auditoriacuteas o informes seguimientos y evaluaciones Idealmente los datos conservados por estos motivos deberiacutean ser agregados o anonimizados

Cuando prevean conservar los datos las organizaciones humanitarias tambieacuten deben tener en cuenta las obligaciones de conservacioacuten que el derecho interno puede imponer adeterminadosprocesadoresdedatoscomolasinstitucionesfinancieraslasempresasde tarjetas de creacutedito y los operadores de telefoniacutea moacutevil Dichas obligaciones deben incluirse en las EIPD del programa y en las poliacuteticas en materia de privacidad

935 SEGURIDAD DE LOS DATOSPara evitar cualquier tipo de uso abusivo de los datos personales recopilados y tratados en el marco de los programas de transferencia en efectivo es fundamental adoptar medidas de seguridad adecuadas y proporcionales Se recomienda a las organizaciones humanitarias implementar por un lado normas de seguridad teacutecnicas y operacionales adecuadas para cada etapa de la recopilacioacuten la utilizacioacuten y la transferencia de datos delosbeneficiariosyporotroprocedimientosparaprotegerlosdatospersonalesdelosbeneficiarioscontrapeacuterdidasrobosdantildeosodestruccioacutenporejemplosistemasderespaldoymedioseficacespararesponderafallosdeseguridadypreveniraccesosnoautorizados divulgaciones o peacuterdidas168

167 Larry Hardesty ldquoHow Hard Is It to lsquode-anonymizersquo cellphone datardquo MIT News 27 de marzode2013httpsnewsmitedu2013how-hard-it-de-anonymize-cellphone-data



Tambieacuten se recomienda a las organizaciones humanitarias incorporar la proteccioacuten delosdatospersonalesqueobtienendelosbeneficiariosseaparausopropiooparauso de terceros para cada programa que utilice dinero en efectivo o vales y que dichas organizaciones inicien o que implementen Por ende deben prever la proteccioacuten de la privacidad como parte de los procesos y los mecanismos que utilicen para implementar la asistencia en efectivo y en vales Para ello el cifrado o la compartimentacioacuten de la informacioacuten podriacutean constituir soluciones viables

Las organizaciones humanitarias deben informarse sobre las medidas adoptadas por procesadores de datos potenciales y por otras terceras partes de cuyos sistemas servicios e infraestructura ya dependiacutean antes de contratarlos Tanto mientras estaacuten almacenados como durante su transmisioacuten los datos personales (asiacute como la infraestructura que se utiliza para su tratamiento) deben contar con la proteccioacuten de salvaguardas de seguridad ante riesgos como el acceso iliacutecito o no autorizado a dichos datos su uso divulgacioacuten peacuterdida destruccioacuten o dantildeo Como parte de su diligencia debida y EIPD las organizaciones humanitarias deben informarse sobre incidentes de seguridad que sean de dominio puacuteblico y que hayan afectado a los procesadores de datos y a otras terceras partes de cuyos sistemas servicios e infraestructura dependan asiacute como sobre las medidas que hayan adoptado posteriormente para garantizar la seguridad y la integridad de los datos tanto mientras estaacuten almacenados como durante su transmisioacuten y la infraestructura utilizada

Tambieacuten es conveniente tener en cuenta el almacenamiento de datos y el intercambio internacional de datos Por ejemplo en el caso de los refugiados la utilizacioacuten de un banco regional que tenga una sucursal o una instalacioacuten de almacenamiento en el paiacutes de origen de dichas personas puede plantear graves riesgos para la proteccioacuten de datos dado que estos pueden ser solicitados por las autoridades nacionales

Antes de contratar a los procesadores de datos externos las medidas de seguridad que ellos puedan garantizar deben constituir un criterio de seleccioacuten decisivo

94 DERECHOS DE LOS TITULARES DE LOS DATOSElderechoalainformacioacutendeberespetarseaseguraacutendosedequelosbeneficiariosseaninformados individual o colectivamente sobre la naturaleza del programa propuesto el tipo de informacioacuten que se recoge las personas que lo hacen y los motivos para hacerlo asiacute como la identidad de los procesadores de datos Las organizaciones humanitarias deben ser transparentes respecto del uso que pretenden dar a los datos personales que recogen y procesan Asimismo deben suministrar notas sobre privacidad en las que expliquenelflujodedatoscompletoylaconservacioacutendedatosprevistaatodoslosbeneficiariosquedeseeninformacioacutenmaacutesprecisa


Tambieacuten debe implementarse una infraestructura y recursos adecuados para facilitar elejerciciodelosderechosdeaccesodeobjecioacutendeeliminacioacutenyderectificacioacutenen cualquier programa que utilice asistencia en efectivo y en vales En este sentido se recomienda incorporar procedimientos de reclamos en las praacutecticas en materia de tratamiento de datos personales y en las poliacuteticas internas de proteccioacuten de datos

95 INTERCAMBIO DE DATOSEl tratamiento de datos personales a los efectos de los programas de asistencia en efectivo puede dar lugar a un intercambio de datos con procesadores de datos y con terceros cuando los conjuntos de datos hayan sido recogidos y tratados por diferentes controladores de datos o procesadores de datos (por ejemplo si las organizaciones humanitarias que implementan un programa de asistencia en efectivo externalizan la identificacioacutendeindividuosenelterrenoaoperadoreslocales)Esimportantetenerencuenta los requisitos en materia de proteccioacuten de datos antes de realizar el intercambio y cabe sentildealar que el ldquointercambiordquo abarca no solo las circunstancias en que los datos son transferidos activamente a terceros sino tambieacuten aquellas en las que los datos simplemente se vuelven accesibles para otros (por ejemplo el intercambio de una base dedatosquecontengadatospersonalesdelosbeneficiarios)

Las organizaciones humanitarias pueden recurrir a organizaciones asociadas para recopilar datos en su nombre o bien a organizaciones comerciales (como instituciones financierasyoperadoresdetelefoniacuteamoacutevil)queparticipenenlaejecucioacutendedichosprogramas Estas otras organizaciones pueden estar sujetas a diversos requisitos juriacutedicos y organizativos que los llevan a intercambiar datos con terceros (incluidas las autoridadesdereglamentacioacuten)porejemplo

bull obligacionesdeidentificacioacutendeclientes(KYC)queexigenlarecopilacioacutendemaacutesdatospersonalesqueloestrictamentenecesarioafindeprestarasistencia

bull obligacionesdecotejarlainformacioacutenrelacionadaconlaidentificacioacutendeclientescon las listas de personas designadas establecidas por las autoridades locales inclusolasentidadesquepodriacuteanestarimplicadasenunconflictooenunasituacioacuten de violencia Este proceso podriacutea estar supervisado por las autoridades puacuteblicas y entrantildear la obligacioacuten de denunciar A la vez ello plantea la cuestioacuten delainclusioacuten(esdecircabepreguntarsesilosbeneficiariospodriacuteanquedarexcluidos de un programa de asistencia sobre la base de una correspondencia encontrada) y puede comprometer la neutralidad y la independencia de la accioacuten humanitaria

bull recopilacioacuten de datos adicionales en el marco del proceso como datos de geolocalizacioacutenoidentificadorestelefoacutenicosuacutenicosyotrosmetadatosdetelefoniacuteamoacutevil cuando exista la participacioacuten de operadores de telefoniacutea moacutevil

bull requisitos respecto del registro de la tarjeta SIM

bull obligaciones de conservacioacuten incompatibles con la informacioacuten suministrada por las organizaciones humanitarias al momento de la recopilacioacuten


bull otrosfinescomercialescomoelperfiladodeindividuosparaevaluarlasolvenciaoconfinespublicitariosy

bull otras obligaciones impuestas por la legislacioacuten nacional

Los privilegios y las inmunidades tambieacuten son sumamente importantes en lo que respecta a los programas de transferencia de efectivo En este sentido las disposiciones de la seccioacuten 109 Privilegios e inmunidades y servicios en la nube deben tenerse en cuenta para este tipo de programas

96 INTERCAMBIO INTERNACIONAL DE DATOSLa legislacioacuten sobre proteccioacuten de datos impone restricciones al intercambio internacional de datos con lo cual las organizaciones humanitarias deben contar con mecanismos para proporcionarle una base legiacutetima en el marco de los programas de asistencia en efectivo como se explicoacute en el capiacutetulo 4 ldquoIntercambio internacional de datosrdquo Antes de realizar un intercambio internacional de datos las organizaciones humanitarias deben analizar si dicho intercambio tiene una base legiacutetima en virtud del derecho aplicable y de sus propias poliacuteticas internas

Losserviciosfinancierosestaacutentanaltamenteinterconectadosquesucontrolresultaimposible para las organizaciones humanitarias Esta interconectividad asiacute como las leyes reglamentaciones y praacutecticas nacionales afectan la manera en que los datos podriacutean transferirse dentro de un paiacutes y fuera de este Por ello las organizaciones humanitarias deben tratar los temas que se enumeran a continuacioacuten con todas las instituciones queparticipanen losprogramasde transferenciade efectivo (i) quieacutenes son susprincipales socios tanto dentro del paiacutes como fuera de este (ii) si es posible almacenar los datos del programa de transferencia de efectivo por fuera de los intercambios de informacioacuten169


Las organizaciones humanitarias pueden recurrir a prestadores de servicios comerciales locales o internacionales para la implementacioacuten de sus programas de transferencia de efectivo Las organizaciones humanitarias tambieacuten pueden cooperar entre ellas mediante el intercambio de bases de datos que contengan informacioacuten recopilada en el marco de estas operaciones Por ende es indispensable determinar cuaacuteles son las partes que efectivamente definiraacutenlosfinesdeltratamientodedatosylosmediospararealizarlo(controladoresde datos) y cuaacuteles recibiraacuten instrucciones de los controladores de datos (procesadores de datos) Tambieacuten es posible que varias partes se consideren corresponsables del tratamiento

169 CICRyPrivacyInternationalldquoChapter6CashTransferProgrammesrdquoen The Humanitarian Metadata Problem ldquoDoing no harmrdquo in the digital era (octubre de 2018) paacuteg 79


Unavezquelasfuncioneshayansidoclaramentedefinidasyquelastareascorrespondienteshayan sido asignadas el intercambio de datos entre organizaciones humanitarias con otros paiacuteses o con terceros organismos (sean privados o puacuteblicos) normalmente deben regirse por las claacuteusulas contractuales adecuadas

Cabe recordar que si bien los datos personales pueden estar protegidos mientras se conserven en los sistemas de las organizaciones humanitarias a las que el derecho internacional otorga privilegios e inmunidades esos mismos datos pueden perder dicha proteccioacuten al ser transferidos a procesadores de datos que no gozan de privilegios ni inmunidades Asimismo la legislacioacuten local puede obligar a los procesadores de datos a revelar esos datos a organismos gubernamentales e incluso a abstenerse de informar a las organizaciones humanitarias desde doacutende provienen los datos


Las evaluaciones de impacto relativas a la proteccioacuten de datos (EIPD) deben elaborarse y adaptarse a cada programa que utilice dinero en efectivo y vales Estos programas pueden variar seguacuten la organizacioacuten pero tambieacuten pueden existir programas diferentes dentro de una misma organizacioacuten Cada programa constituye una actividad de proteccioacuten de datos distinta la cual debe someterse a una EIPD Las EIPD ayudaraacuten a lasorganizacioneshumanitariasa(a)identificarlosriesgoscontralaprivacidaddelosindividuossobretodolosquesurgendelosflujosdedatosydelaspartesinteresadas(b) identificar lasobligacionesdecumplimientode laorganizacioacutenenmateriadeprivacidad y proteccioacuten de datos (c) proteger la reputacioacuten de la organizacioacuten e infundir confianzaenlapoblacioacutenrespectodelprogramay(d)garantizarquelaorganizacioacutenno ponga en peligro la neutralidad de la accioacuten humanitaria

Se recomienda a las organizaciones humanitarias analizar documentar y comprender elflujodedatosdelosbeneficiariosparacadaprogramaqueinicienoimplementenseaanivelinternooexternoidentificarlosriesgosenjuegoyelaborarestrategiasdeatenuacioacuten de riesgos Las problemaacuteticas que suelen estar asociadas con los prestadores deservicioscomercialesyrelativasalareglamentacioacutenenmateriadeidentificacioacutendeclientes (KYC) con la obligacioacuten de denuncia ante las autoridades nacionales con el intercambio internacional de datos y con potencial almacenamiento en la nube deben estudiarseyevaluarseespeciacuteficamenteencomparacioacutenconlasventajasderecurriralaasistencia en efectivo y en vales

La asociacioacuten Cash Learning Partnership ha elaborado un modelo de EIPD para los programas de transferencia de efectivo170

170 Cash Learning Partnership Protecting Beneficiary Privacy Principles and operational standards for the secure use of personal data in cash and e-transfer programmespaacuteg18obcit


USO POSIBLE

DIFICULTAD

MAYOR PODER DE CAacuteLCULO EN MENOR TIEMPO

AGILIDAD EN CUANTO A INCREMENTO DE CAPACIDADES

ALOJAMIENTO DE DATOS EN FORMA SEGURA

FLEXIBILIDAD EN CUANTO A UBICACIOacuteN

CONTROL LIMITADO DE LOS SERVICIOS EN LA NUBE

INTERCEPTACIOacuteN DE INFORMACIOacuteN SENSIBLE

GARANTIacuteA DE QUE TODAS LAS COPIAS DE SEGURIDAD SEAN ELIMINADAS EN CASO DE SER

SOLICITADOPOSIBLE ACCESO POR PARTE DE LOS PRESTADORES DE SOLUCIONES EN LA NUBE

POSIBLE ACCESO POR PARTE DE LAS AUTORIDADES GUBERNAMENTALES

REALIZACIOacuteN DE AUDITORIacuteAS

CAPIacuteTULO 10



101 INTRODUCCIOacuteNLadefinicioacutenmaacutesutilizadadeldquocomputacioacutenenlanuberdquoesladelInstitutoNacionalde Estaacutendares y Tecnologiacutea de Estados Unidos (National Institute of Standards and

Technology o NIST)171 seguacuten la cual ldquocomputacioacuten en la nube es un modelo tecnoloacutegico que permite el acceso ubicuo adaptado y a demanda a traveacutes de la red a un conjunto de recursos de computacioacuten configurables y compartidos (por ejemplo redesservidores dispositivos de almacenamiento aplicaciones y servicios) que pueden ser raacutepidamente suministrados y ofrecidos al usuario con un esfuerzo de gestioacuten reducido y una interaccioacuten miacutenima con el proveedor del serviciordquo El documento elaborado por elNISTdefinetresmodelosdeserviciondashsoftware como servicio (Software as a Service

o SaaS) plataforma como servicio (Platform as a Service o PaaS) e infraestructura como servicio (Infrastructure as a Service o IaaS)ndash y cuatro modelos de despliegue ndashnube puacuteblica nube privada nube comunitaria y nube hiacutebrida172ndash pero hay que tener en cuenta que permanentemente se desarrollan nuevos modelos

La computacioacuten en la nube puede facilitar y acelerar la creacioacuten y el tratamiento de grandes voluacutemenes de datos asiacute como la produccioacuten de nuevos servicios y aplicaciones Asimismo permite un despliegue maacutes aacutegil Dado que la asistencia humanitaria estaacute impulsada por la informacioacuten este nuevo paradigma de tratamiento de datos es actualmente una herramienta de utilidad para las organizaciones humanitarias Sus ventajas son acceso aungranpoderde caacutelculo enperiacuteodos cortos elasticidadyflexibilidadrespectodelaubicacioacutenyreduccioacutendeloscostos173

Sin embargo los servicios en la nube tambieacuten pueden entrantildear riesgos y desafiacuteos para la privacidad y la proteccioacuten de datos que pueden agruparse en dos categoriacuteas principaleslafaltadecontrolsobrelosdatosporunladoylafaltadetransparenciarespecto de la propia operacioacuten de tratamiento por otro Para la accioacuten humanitaria lossiguientesriesgosrevistenparticularimportancia

bull la utilizacioacuten de servicios desde sitios no protegidos

bull la interceptacioacuten de informacioacuten sensible

bull las fallas en los sistemas de autenticacioacuten

bull el riesgo de que los datos sean robados del proveedor de servicios en la nube por ejemplo por piratas informaacuteticos

bull la posibilidad de acceso por parte del Gobierno y de las autoridades encargadas de hacer cumplir la ley


172 Supervisor Europeo de Proteccioacuten de Datos dictamen del 16 de noviembre de 2012 sobre la Comunicacioacuten de la Comisioacuten ldquoLiberar el potencial de la computacioacuten en nube en Europardquo paacuteg4httpssecureedpseuropaeuEDPSWEBwebdavsharedDocumentsConsultationOpinions201212-11-16_Cloud_Computing_ENpdfResumenenespantildeolhttpsedpseuropaeusitesedpfilespublication13-09-03_cloud_computing_ex_sum_es_0pdf

173 Dara Schniederjans y Korey Ozpolat An Empirical Examination of Cloud Computing in Humanitarian Logisticsdocumentodetrabajohttpwwwcbaurieduresearchbrownbagspring2013documentsDaraS2013329paperpdf

10 SERvICIOS EN LA NUBE 171

Las consecuencias de la computacioacuten en la nube para la proteccioacuten de datos se subrayaron en la Conferencia Internacional de Autoridades de Proteccioacuten de Datos y Privacidad a traveacutes de su resolucioacuten sobre computacioacuten en la nube aprobada en Uruguay en 2012174

Por otra parte las organizaciones humanitarias a las que el derecho internacional otorga privilegios e inmunidades deben saber que la externalizacioacuten del tratamiento de datos personales a un tercero proveedor de servicios en la nube puede exponer sus datos al riesgo de perder esos privilegios e inmunidades La seccioacuten 109 Privilegios e inmunidades y servicios en la nube explica con mayor exhaustividad las posibles consecuencias de los privilegios y las inmunidades en un entorno de servicios en la nube

Los tres principales modelos de servicios en la nube pueden describirse de la siguiente manera175

bull Infraestructuracomoservicio(IaaS)unaIaaSenlanubepermiteaccederalosrecursos informaacuteticos brutos de un servicio en la nube En vez de comprar el hardware el cliente compra el acceso al hardware al proveedor de servicios en la nube en funcioacuten de la capacidad requerida

bull Plataformacomoservicio(PaaS)unaPaaSenlanubebrindaaccesoaunaplataforma informaacutetica que permite a los clientes escribir aplicaciones para ejecutar en esa plataforma o en otra instancia de ella La plataforma a la vez puede estar alojada en una IaaS en la nube

bull Softwarecomoservicio(SaaS)elSaaSenlanubebrindaaccesoaunaaplicacioacutencompleta a la que el usuario de servicios en la nube puede acceder por medio de un navegador o de otro software Este modo de acceso elimina o disminuye la necesidad de instalar el software en la computadora del cliente y permite al servicio aceptar una mayor variedad de dispositivos El software a la vez puede estar alojado en una plataforma o una infraestructura en la nube

Asimismo hay diferentes tipos de infraestructuras diferentes en la nube Una nube privada es utilizada uacutenicamente por una sola organizacioacuten puede ser gestionada tanto a nivel interno como por un tercero y puede estar alojada o no dentro de la organizacioacuten En una nube puacuteblica los servicios se prestan a traveacutes de una red abierta al puacuteblico Por uacuteltimo la nube hiacutebrida es una combinacioacuten de dos nubes o maacutes que tienen entidades distintasperoqueestaacutenvinculadasentresiacuteloqueofrecelosbeneficiosdelosmodelosde despliegues muacuteltiples

Cada uno de estos modelos tiene ventajas y desventajas Una nube puacuteblica es maacutes accesible dado que la informacioacuten se almacena fuera del sitio y por ende estaacute disponible en cualquier lugar a traveacutes de internet Asimismo permite aumentar

174 V httpglobalprivacyassemblyorgwp-contentuploads201502Resolution-on-Cloud-Computingpdfmc_phishing_protection_id=28047-br1tehqdu81eaoar3q10

175 OficinadelComisionadodeInformacioacutendelReinoUnidoGuidance on the use of Cloud Computing2012paacutegs5-6httpsicoorgukfor-the-publiconlinecloud-computing


raacutepidamente la capacidad del servidor y eventualmente reducir cosos Tambieacuten puede ser objeto de revisiones perioacutedicas con el propoacutesito de actualizar y mejorar la seguridad y el rendimiento Ahora bien dado que la nube puacuteblica depende de una conexioacuten a internet existe el riesgo de perder control sobre los datos debido a transferencias de datos desconocidas o no autorizadas de una jurisdiccioacuten a otra a una falsa eliminacioacuten de los datos a la conservacioacuten de datos posterior a la rescisioacuten de los servicios a la pirateriacutea informaacutetica o a ataques contra la seguridad En una nube puacuteblica es difiacutecil saber doacutende estaacuten almacenados los datos en un momento dado y la eliminacioacuten es praacutecticamente imposible debido a la gran cantidad de copias de seguridad que se realizan sin supervisioacuten Ademaacutes existen numerosas cuestiones relativas a la privacidadyalaconfidencialidadcomoelhechodequeeltratamientopodriacuteaestarsujeto a legislaciones diferentes que podriacutean obligar a la publicacioacuten no autorizada de datos y dar lugar a que las autoridades ejerzan su jurisdiccioacuten

En una nube privada o interna los datos se conservan dentro de la red interna de la organizacioacuten y por lo tanto no son de acceso puacuteblico Este tipo de nube ofrece un entorno maacutes controlado cuenta con un nuacutemero limitado de usuarios y conlleva entonces menos riesgos de divulgacioacuten por parte de terceros Una nube privada puede ofrecer la misma facilidaddeusolamismaescalabilidadylamismaflexibilidadqueunanubepuacuteblicaNoobstante sus desventajas residen en el costo y en el hecho de que no siempre ofrece las uacuteltimas actualizaciones o mejoras en materia de rendimiento y seguridad

Con una nube hiacutebrida las organizaciones pueden decidir a queacute opcioacuten recurrir en funcioacutende laclasificacioacutende la informacioacutenquedebealmacenarseEngeneral lainformacioacuten menos sensible se enviacutea a una nube puacuteblica mientras que la informacioacuten maacutessensibleyconfidencialseconservaenunanubeprivadaointernaSibienpermitereducir costos y ofrece escalabilidad seguridad y actualizaciones o mejoras en materia de rendimiento este modelo conlleva los mismos riesgos que la nube puacuteblica en lo que respecta a la peacuterdida del control de los datos y de divulgacioacuten no autorizada

102 RESPONSABILIDAD Y RESPONSABILIDAD DEMOSTRADA EN LA NUBE

La relacioacuten entre el cliente y el proveedor de servicios en la nube es similar a la que existe entre el controlador de datos y el encargado del tratamiento de datos176 Sin embargo en casos excepcionales el proveedor de servicios en la nube puede actuar tambieacuten como controlador de datos en cuyo caso asume toda la responsabilidad (conjunta) del tratamiento de datos y debe respetar todas las obligaciones legiacutetimas pertinentes en materia de proteccioacuten de datos El cliente de la nube (es decir la organizacioacuten humanitaria) tiene la responsabilidad como controlador de datos de cumplir las obligaciones legiacutetimas previstas en el derecho aplicable en materia de proteccioacuten de

176 V Seccioacuten 107 Relacioacuten entre el controlador de datos y el procesador de datos


datos Asimismo el cliente de la nube debe seleccionar a un proveedor que respete la legislacioacuten sobre proteccioacuten de datos

La nocioacuten de responsabilidad demostrada expresa las obligaciones de cumplimiento directas que la legislacioacuten sobre proteccioacuten de datos impone a los controladores de datos y a los procesadores de datos es decir que estos deben poder garantizar y demostrar que sus actividades de tratamiento respetan las obligaciones legiacutetimas pertinentes para lo cual deben adoptar y aplicar las poliacuteticas y los reglamentos de proteccioacuten de datos correspondientes

EJEMPLO Al contratar a un proveedor de servicios en la nube con la intencioacuten de almacenar datos personales en la nube la organizacioacuten humanitaria seguiraacute siendo responsable ante los titulares de los datos por cualquier violacioacuten de la proteccioacuten de datos en la que incurra el proveedor Por lo tanto es fundamental que la organizacioacuten adopte las siguientes medidasantesdealmacenardatospersonalesenunanube bull realizar una EIPD sobre el almacenamiento de datos personales en la nube que

tiene previsto hacer y estar preparada para cancelar el proyecto si los resultados demuestran que podriacutea implicar riesgos indebidos para la proteccioacuten de datos de los individuos

bull realizarunaaveriguacioacutenexhaustivayconfiablesobreelproveedordeserviciosenlanubeafindeasegurarsedequetomaraacutetodoslosrecaudosnecesariosyquetrataraacute la proteccioacuten de datos con seriedad

bull hablar abiertamente sobre la proteccioacuten de datos con el proveedor y determinar si demuestra disposicioacuten y capacidad para cumplir sus obligaciones en materia de proteccioacuten de datos

bull revisarminuciosamenteelcontratoconelproveedorantesdefirmarloyasegurarse de que las obligaciones en materia de proteccioacuten de datos esteacuten expresadas en el lenguaje apropiado y

bull en el caso de las organizaciones humanitarias que gozan de privilegios e inmunidades asegurarse de que esteacuten debidamente integrados en el disentildeo de lasolucioacutenenlanubeyqueseanrespetadosafindequelasorganizacioneshumanitariaspuedanbeneficiarsedeellos


Todos los principios relativos a la proteccioacuten de datos se aplican a los servicios informaacuteticos en la nube y en este caso conviene prestar particular atencioacuten a una serie de aspectos especialmente pertinentes




Antes de contratar a un proveedor de servicios en la nube las organizaciones humanitarias deben demostrar que existe una de las siguientes bases legiacutetimas177







En este sentido es importante distinguir el tratamiento inicial de datos personales efectuado por la organizacioacuten humanitaria de su tratamiento en la nube En primer lugar la organizacioacuten humanitaria debe tener una base legiacutetima para recoger y tratar datos personales que puede ser cualquiera de las bases legiacutetimas que se enumeran en el capiacutetulo 3 ldquoBases legiacutetimas para el tratamiento de datos personalesrdquo Por otra parte el tratamiento en la nube debe tener una base legiacutetima distinta En cada situacioacuten u operacioacuten humanitaria hay que evaluar caso por caso cada base legiacutetima y se debe determinar si puede extenderse a la nube sea como base legiacutetima ldquocomplementariardquo o en forma acumulativa


Auncuandoelintereacutesvitaldelosindividuosseaunabaselegiacutetimasuficientepara recoger datos personales tambieacuten debe existir una base legiacutetima para poder colocar los datos en la nube

S H

oiba

kAC

NUR


EJEMPLO Una organizacioacuten humanitaria recoge datos personales de individuos vulnerables sobre la base de su intereacutes vital Para que los servicios humanitarios prestados sean maacutes eficacesdesealuegoalmacenarlosdatosenunanubeprivadaparalocualcontrataa un proveedor de servicios informaacuteticos en la nube El intereacutes vital de los individuos esunabaselegiacutetimasuficientepararecogerlosdatospersonalesperotambieacutendebeexistir una base legiacutetima para poder colocar los datos en la nube El intereacutes vital podriacutea noserunabaselegiacutetimasuficienteparacolocarlosdatosenlanubedadoqueellonoes indispensable para los servicios humanitarios sino que el objetivo es incrementar la eficaciadelosservicioshumanitariosprestadosUnabaselegiacutetimaposiblepararecurrira un proveedor de servicios en la nube podriacutea ser el intereacutes legiacutetimo de la organizacioacuten humanitaria y que los derechos y las libertades fundamentales del titular de los datos cuyos datos estaacuten siendo tratados no priman sobre ese intereacutes El hecho de utilizar una nubeprivadarefuerzaesteargumentoPorotroladodeberiacuteaefectuarseunaEIPDafindeconfirmarestabaselegiacutetima

1032 PROCESAMIENTO LEAL Y LIacuteCITOLos datos personales deben tratarse de manera equitativa y liacutecita Para ser liacutecito el tratamiento debe tener una base legiacutetima apropiada178 mientras que el requisito de lealtad es un principio amplio que suele estar vinculado con el suministro de informacioacuten y con la utilizacioacuten de los datos Las organizaciones humanitarias que utilizan servicios informaacuteticos en la nube deben tener en cuenta que estos principios se aplican en todas las etapas del tratamiento (es decir recopilacioacuten tratamiento y almacenamiento)

1033 LIMITACIOacuteN DEL PROPOacuteSITO Y TRATAMIENTO ULTERIORLasorganizacioneshumanitariasdebendeterminaryexponerlospropoacutesitosespeciacuteficosdel tratamientodedatospersonalesLosfinesdel tratamientodebenexplicarseycomunicarse a los individuos al momento de la recopilacioacuten

Losfineshumanitariosofrecenunaampliabase sobre laque sepueden justificarlas operaciones de tratamiento ulterior Sin embargo no habraacute compatibilidad si los riesgosdel tratamientoulterior sonmayoresque losbeneficiospara laspersonasafectadas Ello depende de cada situacioacuten en particular Por ejemplo se puede llegar a esta incompatibilidad si existe el riesgo de que el tratamiento vaya en contra de los intereses de la persona con quien se relaciona la informacioacuten o de sus familiares sobre todo si el tratamiento puede representar una amenaza contra su vida su integridad su dignidad su seguridad fiacutesica o psicoloacutegica su libertad o su reputacioacuten



Enlosentornosenlanubeeselclientedelanubequiendebedeterminarlosfinesdel tratamiento antes de recopilar los datos personales del titular de los datos a quien debe informar debidamente Dado que un cliente de la nube tiene prohibido tratar datospersonalesconotrosfinesquenoseancompatiblesconlosestablecidosdesdeelinicio el proveedor de servicios informaacuteticos en la nube no puede decidir u organizar unilateralmente una transferencia automaacutetica de datos personales (y su tratamiento) a centros desconocidos de datos en la nube Tampoco puede utilizar datos personales parafinespropios(porejemplomarketing investigacionesparaotrosfinesoparaestablecerperfiles)

Asimismotodotratamientoulteriorqueseaincompatibleconlosfinesinicialestambieacutenestaacute prohibido para el proveedor de servicios en la nube y sus subcontratistas En una situacioacuten tiacutepica de servicios en la nube es posible que participen varios subcontratistas Afindeatenuarelriesgodetratamientoulteriorelcontratoentreelproveedordeservicios en la nube y el cliente debe prever medidas teacutecnicas y organizativas asiacute como brindar garantiacuteas respecto del registro y la auditoriacutea de las operaciones de tratamiento de datos personales pertinentes efectuadas por los empleados del proveedor de servicios o sus subcontratistas

1034 TRANSPARENCIALa transparencia es un aspecto del tratamiento leal y legiacutetimo de datos personales y tambieacuten estaacute estrechamente relacionada con el suministro de informacioacuten a los titulares de los datos El cliente de la nube tiene la obligacioacuten de suministrar informacioacuten precisa a los titulares de los datos cuyos datos personales o datos relacionados son recopilados por ejemplo identidad y domicilio del cliente de la nube fines del tratamientodestinatarios o categoriacuteas de destinatarios de los datos (como los procesadores de datos en la medida en que esa informacioacuten sea necesaria para garantizar la lealtad del tratamiento) e informacioacuten sobre sus derechos

Tambieacuten se debe garantizar transparencia en las relaciones entre el cliente el proveedor de servicios en la nube y los eventuales subcontratistas El cliente uacutenicamente puede evaluar la licitud del tratamiento de datos personales en la nube si el proveedor le informa de todos los aspectos pertinentes Un controlador de datos que prevea contratar a un proveedor de servicios en la nube debe analizar minuciosamente las condiciones generales del proveedor y evaluarlas desde el punto de vista de la proteccioacuten de datos

Otro aspecto de la transparencia dentro del aacutembito de la computacioacuten en la nube es que el cliente debe estar informado de todos los subcontratistas que participen en la prestacioacuten de los servicios informaacuteticos en la nube y no solamente de aquellos con los que mantenga una relacioacuten contractual directa asiacute como del lugar donde se encuentran todos los centros de datos en los que los datos personales pueden ser tratados


1035 CONSERVACIOacuteN DE LOS DATOSSe recomienda a las organizaciones humanitarias asegurarse de que los datos personales no sean conservados (por ellas mismas o por procesadores de datos) durante un periacuteodo mayoralnecesarioamenosquetenganmotivosclarosjustificablesydocumentadospara hacerlo de lo contrario los datos conservados por la organizacioacuten y por terceros deben ser destruidos Tambieacuten se recomienda eliminar o destruir los datos despueacutes de su tratamiento o bien establecer una poliacutetica de conservacioacuten de datos debidamente estructurada Cuando se hayan alcanzado los fines de la recopilacioacuten los datospersonales deben ser eliminados por la organizacioacuten y por todos los terceros que hayan tenido acceso a ellos a menos que estos uacuteltimos hayan obtenido el consentimiento para conservar los datos

Los datos solo pueden ser conservados en los servicios informaacuteticos en la nube si se relacionanconfineslegiacutetimosparaeltratamientoEnestesentidolosfineslegiacutetimospueden ser programas futuros seguimiento y evaluacioacuten mientras que los datos anonimizadosoagregadospodriacuteanseradecuadosparafinesdeinvestigacioacutenEnvirtuddel principio de minimizacioacuten de los datos solo debe conservarse una cantidad miacutenima de datos

El cliente de la nube tiene la responsabilidad de garantizar que los datos personales sean eliminados tan pronto como dejen de ser necesarios La eliminacioacuten de los datos es un aspecto crucial durante todo el periacuteodo de validez de un contrato de servicios informaacuteticos en la nube pero tambieacuten al momento de su rescisioacuten Es asimismo pertinente cuando se reemplazan o revocan los servicios de un subcontratista En ese casoelclientedelanubepodriacuteasolicitaruncertificadodedestruccioacutenalproveedordeserviciosobienuncertificadoqueconfirmequelosdatoshansidotransferidosaunnuevo proveedor de servicios informaacuteticos en la nube

El principio de eliminacioacuten de los datos se aplica a los datos personales independientemente del medio de almacenamiento (por ejemplo discos duros o cintas de seguridad) Dado que los datos personales pueden conservarse simultaacuteneamente en varios servidores ubicados en diferentes sitios es necesario asegurarse de que cada instancia se elimine de manera irreversible (es decir que tambieacuten deben eliminarse las versiones anteriores los archivos temporales e incluso los fragmentos de archivo)

La eliminacioacuten segura de los datos personales exige que el medio de almacenamiento sea destruido o desmagnetizado o bien que los datos personales almacenados se eliminen correctamente Para ello es conveniente utilizar softwares especiales que sobrescriben losdatospersonalesvariasvecesconformeaunaespecificacioacutenreconocidaElclientede la nube debe asegurarse de que el proveedor de servicios garantice la eliminacioacuten segura y de que el contrato que los vincula contenga disposiciones claras relativas a la eliminacioacuten de datos personales Lo mismo se aplica a los contratos entre los proveedores de servicios informaacuteticos en la nube y los subcontratistas


104 SEGURIDAD DE LOS DATOSLa seguridad de los datos puede garantizarse a traveacutes de medidas legiacutetimas teacutecnicas y organizativas Las medidas legiacutetimas pueden ser disposiciones contractuales pero tambieacuten evaluaciones de impacto relativas a la proteccioacuten de datos (EIPD) Es necesario adoptar una visioacuten global que debe tener en cuenta las fases de contratacioacuten de serviciosinformaacuteticosenlanubequeseenumeranacontinuacioacuten

bull la decisioacuten de utilizar servicios informaacuteticos o no en la nube (mediante una EIPD o una decisioacuten favorable o no favorable por parte de la jefatura)

bull el proceso de adquisicioacuten de servicios informaacuteticos en la nube que abarca averiguaciones legiacutetimas y teacutecnicas sobre posibles proveedores de servicios

bull la celebracioacuten del contrato (es decir establecer las condiciones necesarias)

bull la explotacioacuten el mantenimiento y la desactivacioacuten del servicio

Se recomienda elaborar una estrategia completa de proteccioacuten de datos y prestar atencioacuten a las cuestiones relativas a la proteccioacuten de datos en todas las fases del contrato es decir antes durante y despueacutes del periacuteodo de validez de las disposiciones contractuales Ello implica una evaluacioacuten global del marco contractual que abarca acuerdos de prestacioacuten deservicios(APS)claacuteusulasgenerales(esdecirquenoserefierenalaproteccioacutendedatos por ejemplo claacuteusulas sobre derecho aplicablemodificaciones al contratojurisdiccioacuten responsabilidad o indemnizacioacuten) y el principio general de ldquoparalelismo dentro de la nube y fuerardquo (por ejemplo que el periacuteodo de conservacioacuten de los datos sea el mismo para los tratamientos tanto dentro de la nube como fuera)

Cuando una organizacioacuten humanitaria decide contratar servicios informaacuteticos en la nube debeelegirunproveedorqueseacapazdebrindarlasgarantiacuteassuficientesrespectodela seguridad teacutecnica y las medidas organizativas que regiraacuten el tratamiento previsto asiacutecomodegarantizarelcumplimientodeesasmedidasAsimismodebefirmarseun contrato escrito con el proveedor dado que es necesario que exista un acto juriacutedico vinculante que relacione al controlador de datos con el encargado del tratamiento de datos y que rija su relacioacuten El contrato deberaacute establecer como miacutenimo que el encargado del tratamiento de datos debe obedecer las instrucciones del controlador de datos y adoptar las medidas teacutecnicas y organizativas necesarias para garantizar la proteccioacuten adecuada de los datos personales conforme al derecho aplicable en materia de proteccioacuten de datos

Afindegarantizarlaseguridadlegiacutetimaelcontratoentrelaorganizacioacutenhumanitariay el encargado del tratamiento de datos tambieacuten debe contener las claacuteusulas esenciales deproteccioacutendedatosqueseenumeranacontinuacioacuten

bull informacioacuten sobre el lugar donde se encuentran los centros de datos sobre la identidadylaubicacioacutendelossubcontratistasysobretodamodificacioacutenulteriorrealizada a la naturaleza del tratamiento Esta informacioacuten debe precisar el objeto y la duracioacuten de los servicios informaacuteticos en la nube que seraacuten prestados por elproveedorelalcancelamodalidadylafinalidaddeltratamientodedatospersonales efectuado por el proveedor y los tipos de datos personales tratados


bull detalles sobre las instrucciones del cliente de la nube que seraacuten suministradas al proveedor sobre todo en lo que respecta al APS aplicable y a las sanciones pertinentes(seanfinancierasuotrasquepermitandemandaralproveedorsinocumple con sus obligaciones)

bull establecimientodelaresponsabilidaddelproveedordeserviciosdenotificaralcliente en caso de cualquier tipo de violacioacuten que afecte los datos del cliente Cabe sentildealar que un incidente de seguridad no necesariamente constituye una violacioacuten de los datos

bull reconocimientodelaobligacioacutendetratarlosdatospersonalessoloconlosfinesexpresamentemencionadosyespecificadosasiacutecomodeeliminarlosdatosunavezfinalizadoelcontratoDebenespecificarselascondicionesderestitucioacutenode destruccioacuten de los datos una vez concluido el servicio Ademaacutes es preciso garantizar que los datos personales seraacuten eliminados en forma segura a pedido del cliente de la nube

bull confirmacioacuten(enelcasodeunanubeprivadaubicadafueradelasinstalacionesdelcliente de la nube) de que los datos de la organizacioacuten humanitaria se conservan en servidores aparte

bull especificacioacutendelasmedidasdeseguridadqueelproveedordeserviciosenlanube deberaacute adoptar en funcioacuten de los riesgos que conlleva el tratamiento y de la naturaleza de los datos que deben protegerse

bull claacuteusuladeconfidencialidadvinculantetantoparaelproveedordeservicioscomopara todos sus empleados que tengan acceso a los datos Uacutenicamente las personas autorizadas pueden tener acceso a los datos

bull obligacioacuten del proveedor de servicios de ayudar al cliente a facilitar el ejercicio de los derechos de los titulares de los datos a acceder corregir o eliminar sus datos

bull llegado el caso obligacioacuten del proveedor de servicios de respetar los privilegios y las inmunidades del cliente de la nube

bull una claacuteusula que establezca que los subencargados del tratamiento de datos solo pueden ser convocados sobre la base del consentimiento que suele prestar el controlador de datos (cliente de la nube) conforme a una obligacioacuten clara del encargado del tratamiento de datos de informar al controlador de datos de todamodificacioacutenprevistaenestesentidomientrasqueelcontroladordedatosconservaentodomomentolaposibilidaddeoponerseadichasmodificacioneso de rescindir el contrato El proveedor de servicios debe tener la obligacioacuten de comunicar la identidad de todos los subcontratistas a los que convoque Asimismo debe quedar establecido que los contratos entre el proveedor de serviciosysussubcontratistasreflejanlasdisposicionesdelcontratosuscritoentre el cliente de la nube y el proveedor (es decir que los subencargados del tratamiento de datos tienen las mismas obligaciones contractuales que los prestadores de servicios) En particular debe garantizarse que tanto el proveedor de servicios como todos los subcontratistas obedezcan uacutenicamente las instrucciones del cliente de la nube La cadena de responsabilidad debe estar claramente sentildealada en el contrato


bull disponer que el cliente de la nube realice auditoriacuteas durante el contrato y al finaldeesteElcontratodebepreverelregistroylaauditoriacuteadelasoperacionespertinentes de tratamiento de datos personales efectuadas por el proveedor de servicios o por los subcontratistas

bull obligacioacuten general del proveedor de servicios de garantizar que su organizacioacuten interna y sus disposiciones en materia de tratamiento de datos (y llegado el caso las de sus subencargados del tratamiento de datos) respeten los requisitos y las normas legiacutetimas nacionales e internacionales aplicables

Respecto de los aspectos teacutecnicos de la seguridad de los datos las organizaciones humanitarias deben tener en cuenta las importantes consideraciones que se enumeran a continuacioacuten179

bull DisponibilidadasegurarladisponibilidadsignificagarantizarunaccesofiableyoportunoalosdatospersonalesLadisponibilidadenlanubepuedeverse amenazada por una peacuterdida accidental de la conectividad de red entre el cliente y el proveedor o bien por una peacuterdida de rendimiento del servidor como consecuencia de actos maliciosos como los ataques de negacioacuten de servicio (distribuido) Otros riesgos para la disponibilidad son las fallas de hardware accidentales que se producen tanto en la red como en los sistemas de tratamiento y de almacenamiento de datos en la nube los cortes de electricidad u otros problemasdeinfraestructuraPorendeloscontroladoresdedatosdebenverificarque el proveedor de servicios en la nube haya adoptado todas las medidas razonables para hacer frente a los riesgos de interferencias como enlaces de respaldo de conexioacuten a internet almacenamiento redundante y mecanismos eficacesderespaldodedatos

bull Integridad la integridad guarda relacioacuten con el mantenimiento de la calidad de los datos que no deben sufrir ninguna alteracioacuten maliciosa o accidental durante el tratamiento el almacenamiento o la transmisioacuten Para los sistemas informaacuteticos la integridad requiere que los datos personales tratados en esos sistemas no seanmodificadosLasmodificacionespuedenserdetectadaspormecanismosdeautenticacioacutencriptograacuteficacomoloscoacutedigosdeautenticacioacutendemensajeslasfirmasolasfuncioneshashcriptograacuteficasTodaobstruccioacutendelaintegridaddelos sistemas informaacuteticos puede detectarse o prevenirse por medio de sistemas de deteccioacuten de intrusos (IDS) y sistemas de prevencioacuten de intrusos (IPS) Estas herramientas de seguridad son particularmente importantes para los entornos de red abierta en los que generalmente operan las nubes

bull Confidencialidad en un entorno en la nube el cifrado puede contribuir significativamentealaconfidencialidaddelosdatospersonalessiseaplicacorrectamente aunque no los convierte en anoacutenimos de manera irreversible Gracias a esta herramienta el cliente de la nube puede asegurarse de que solo las personas autorizadas que tengan la clave correcta puedan acceder a los datos

179 Adaptado del grupo de trabajo del artiacuteculo 29 dictamen 052012 sobre computacioacuten en la nubeWP1961dejulio2012paacutegs14-17httpseceuropaeujusticearticle-29documentationopinion-recommendationfiles2012wp196_espdf


personales que estaacuten bajo su responsabilidad El cifrado de datos personales debe ser utilizado para todos los datos ldquoen traacutensitordquo y cuando sea posible para los datos ldquoen reposordquo Esta regla se aplica sobre todo a los controladores de datos que planeen transferir datos sensibles Las comunicaciones entre el proveedor de servicios en la nube y el cliente y entre los centros de datos tambieacuten deben estar cifradas Cuando el cifrado es la medida teacutecnica elegida para asegurar los datos tambieacuten es importante garantizar la seguridad de la clave Las otras medidasteacutecnicasquetienencomoobjetivogarantizarlaconfidencialidadson los mecanismos de autorizacioacuten y la autenticacioacuten soacutelida (por ejemplo la autenticacioacuten de dos factores) Las claacuteusulas contractuales asimismo deben imponerobligacionesdeconfidencialidadalosempleadosdelosclientesdelanube a los proveedores de servicios y a los subcontratistas

bull Aislamiento (limitacioacuten del propoacutesito) el aislamiento es una expresioacuten del principio de limitacioacuten del propoacutesito En las infraestructuras en la nube los recursos como el almacenamiento la memoria y las redes se comparten entre varios usuarios lo que genera nuevos riesgos de divulgacioacuten de datos y de tratamiento ulterior ilegiacutetimo El aislamiento pretende resolver este problema garantizando que los datos no sean utilizados maacutes allaacute de su propoacutesito inicial y manteniendo tantolaconfidencialidadcomolaintegridadSelogramedianteunagestioacutenadecuada de los derechos de acceso a los datos personales y debe controlarse perioacutedicamente Es conveniente evitar los privilegios excesivos (por ejemplo ninguacuten usuario o administrador debe tener acceso a la totalidad de la nube) En teacuterminos maacutes generales los administradores y los usuarios solo deben tener acceso a la informacioacutennecesariaparafineslegiacutetimos(principiodelmenorprivilegio)

bull Posibilidad de intervencioacuten los titulares de los datos tienen derechos de acceso derectificacioacutendeeliminacioacutendebloqueoydeobjecioacutencomoseexplicamaacutesadelante180

bull Portabilidad es sumamente importante que los proveedores de servicios en la nube utilicen formatos de datos e interfaces de servicios estaacutendares dado que ello facilita la interoperabilidad y la portabilidad entre los diversos proveedores de servicios en la nube Por ende si un cliente de la nube decide cambiar de proveedor la falta de interoperabilidad puede complicar o impedir la transferencia de datos (personales) del cliente al nuevo proveedor con lo cual el cliente se vuelve dependiente de su proveedor Antes de encargar un servicio en la nube el clientedebeverificarsielproveedorgarantizalaportabilidaddelosdatosydelosservicios y queacute medios utiliza para ello La portabilidad de los datos tambieacuten hace referencia a la capacidad de un titular de datos de obtener del controlador de datos una copia de los datos tratados en un formato electroacutenico estructurado y de uso frecuente Para que ese derecho pueda ser ejercido es importante que no quede ninguacuten rastro de los datos en el sistema original una vez que sean transferidos Teacutecnicamentedebeserposibleverificarquesehaefectuadounaeliminacioacutensegura de los datos



A continuacioacuten se enumeran otros principios de seguridad informaacutetica que las organizaciones humanitarias deben considerar cuando se trasladen a la nube181

1041 PROTECCIOacuteN DE LOS DATOS EN TRAacuteNSITOLas transmisiones de datos deben estar correctamente protegidas contra las escuchas (eavesdropping) y las manipulaciones Esta regla vale no solo para las conexiones entre las instalaciones de la organizacioacuten y la aplicacioacuten en la nube sino tambieacuten para la trayectoria de los datos dentro del servicio y para las conexiones entre la aplicacioacuten y otros servicios (interfaz de programacioacuten de aplicaciones o API)182 Una solucioacuten comuacutenconsisteencifrareltraacuteficoderedutilizandounaVPN183 un protocolo TLS o un cifrado a nivel de la aplicacioacuten Es conveniente tomar todos los recaudos necesarios para elegir los protocolos adecuados e implementar el cifrado correctamente asiacute como para gestionar las claves secretas para el cifrado en siacute Asimismo pueden utilizarse conexionesdefibraoacutepticadedicadas cuando sea convenientey las circunstancias lo permitan

1042 PROTECCIOacuteN DE ACTIVOSLa proteccioacuten de activos que se realiza en un entorno en la nube es distinta de la proteccioacuten que se realiza en un lugar fiacutesico Por lo tanto es necesario considerar diversosaspectosespeciacuteficoscuandoseevaluacuteaunasolucioacutenenlanube

10421 Ubicacioacuten fiacutesicaEs importante saber la ubicacioacuten fiacutesica del lugar donde se almacenan los datos para conocerlalegislacioacutenqueseaplicaperotambieacutenlosriesgosdeamenazasespeciacuteficascomo las interrupciones del servicio eleacutectrico o de la red los actos cometidos por grupos u organizaciones hostiles y otras amenazas propias de cada paiacutes Por ende es importante obtener un informe detallado sobre la ubicacioacuten fiacutesica de los centros de datos y saber que los centros ubicados en diferentes lugares pueden intercambiar datos entre siacute sin que la organizacioacuten tenga conocimiento

181 Los autores agradecen a ICT Legal Consulting por permitirles utilizar los documentos sobre seguridad en la nube Adaptado del UK National Cyber Security Centre Cloud Security Guidance Implementing the Cloud Security Principles 17denoviembrede2018httpswwwncscgovukcollectioncloud-securityimplementing-the-cloud-security-principles

182 APIlainterfazdeprogramacioacutendeaplicacionesabreviadacomoAPIdelingleacutesApplication Programming Interface es un conjunto de subrutinas funciones y procedimientos (o meacutetodos en la programacioacuten orientada a objetos) que ofrece cierta biblioteca para ser utilizado por otro software como una capa de abstraccioacuten (httpseswikipediaorgwikiInterfaz_de_programaciC3B3n_de_aplicaciones)

183 VPNunaredprivadavirtualabreviadacomoVPNdelingleacutesVirtual Private Network es una tecnologiacutea de red de computadoras que permite una extensioacuten segura de la red de aacuterea local (LAN) sobre una red puacuteblica o no controlada como internet Permite que la computadora en la red enviacutee y reciba datos sobre redes compartidas o puacuteblicas como si fuera una red privada con toda la funcionalidad seguridad y poliacuteticas de gestioacuten de una red privada (httpseswikipediaorgwikiRed_privada_virtual)


Para las organizaciones humanitarias que gozan de privilegios e inmunidades tambieacuten es fundamental que el paiacutes donde se ubican los centros de datos tenga la obligacioacuten legiacutetima de respetar los privilegios y las inmunidades y que sea conocido por cumplirla

10422 Seguridad de los centros de datosEn el aacutembito de los servicios en la nube la seguridad fiacutesica de los centros de datos estaacute completamente en manos del proveedor de servicios de modo que es importante conocer bien la seguridad de las instalaciones donde se alojan los datos y las aplicaciones Paraellopuedenverificarselascertificacionesqueeventualmentehayanobtenidoloscentros de datos o las obligaciones contractuales subyacentes de la relacioacuten entre el proveedor de servicios en la nube y la organizacioacuten El nivel de seguridad garantizado debe coincidir con el nivel de seguridad requerido por la aplicacioacuten que seraacute alojada en la nube Una inspeccioacuten fiacutesica podriacutea brindar informacioacuten uacutetil pero casi nunca es posible de realizar en la mayoriacutea de los entornos en la nube

10423 Seguridad de los datos en reposoEl nivel de seguridad de los datos en reposo depende del tipo de servicio requerido y de otras disposiciones convenidas con el proveedor Sin embargo es razonable suponer que los datos seraacuten conservados en medios de almacenamiento compartidos con lo cual el proveedor de servicios debe precisar claramente el nivel de proteccioacuten y coacutemo sealcanzaasiacutecomotodaslascertificacionesdetercerosqueexistanSinembargoserecomiendanoconfiaruacutenicamenteenlaseguridaddelproveedordeserviciosparalos datos en reposo al menos para los datos maacutes sensibles y agregar otros niveles de proteccioacuten como el cifrado

10424 Sanitizacioacuten de datosLos entornos en la nube se caracterizan por las frecuentes operaciones de suministro eliminacioacuten y migracioacuten de recursos En otras palabras los datos y las aplicaciones pueden desplazarse faacutecilmente de un punto a otro de la infraestructura compartida Una gestioacuten inadecuada podriacutea generar un riesgo de divulgacioacuten de datos dado que es probable que las aplicaciones de los demaacutes clientes sean ejecutadas con el mismo hardware previamente utilizado por las organizaciones humanitarias Ademaacutes los datospodriacuteanpermanecerindefinidamenteenlainfraestructuraenlanubePorendedeben adoptarse algunas medidas para controlar esta amenaza como utilizar recursos dedicadosoverificarconelproveedorlasmedidasimplementadasparaeliminarosanitizar los datos de alguna otra manera El cifrado independientemente del proveedor de servicios podriacutea ofrecer un nivel de proteccioacuten adicional

10425 Eliminacioacuten de los equiposLa eliminacioacuten de los equipos es un aspecto que guarda estrecha relacioacuten con el punto anterior y conviene asegurarse de que ninguacuten tipo de dato o informacioacuten quede almacenado ni sea divulgado despueacutes de la desactivacioacuten del servicio o la eliminacioacuten del hardware El proveedor de servicios en la nube debe garantizar que estaacute en condiciones de cumplir esta exigencia de lo contrario deben adoptarse otras medidas (es decir el cifrado)


10426 DisponibilidadLos servicios en la nube deben ofrecer el nivel de disponibilidad requerido En este sentido son de suma importancia los acuerdos de prestacioacuten de servicios (APS) que deben examinarse tambieacuten desde el punto de vista de las obligaciones y las responsabilidadesSerecomiendaefectuarunaverificacioacutendelainformacioacutendeaccesopuacuteblicolocualpuedeservirparadeterminarlafiabilidadrealdelservicioprestado

1043 SEPARACIOacuteN DE LOS USUARIOSEn un entorno en la nube el proveedor de servicios debe garantizar la separacioacuten de los usuarios Sin embargo al analizar a un proveedor y maacutes auacuten cuando el proveedor y la tecnologiacutea que emplea son poco conocidos es importante evaluar la tecnologiacutea utilizada y recabar toda la informacioacuten que pueda ayudar a comprender coacutemo se garantiza la separacioacuten Son muchos los factores que afectan la separacioacuten como el modelo de servicio o el modelo de despliegue (nube puacuteblica o privada) Una prueba de penetracioacutenpuedeservirparaevaluarlaeficaciadelasmedidasdeseparacioacutenperosolo hasta cierto punto dado que es vaacutelida uacutenicamente al momento de realizarse y solo detecta problemas conocidos Tambieacuten puede ser de suma utilidad efectuar un control de incidentes previos y la manera en que el proveedor los gestionoacute

1044 GOBERNANZAEl proveedor de servicios debe tener un marco adecuado de gestioacuten de la seguridad dado que es la base para controlar y coordinar todas las medidas de seguridad asiacute como para administrar la evolucioacuten de las amenazas y de las tecnologiacuteas Luego debe demostrar que posee los elementos generalmente asociados a un responsable de nivel C (por ejemplo CSO CISO o CTO) encargado de la seguridad en la nube que ha implementado correctamente un marco de gestioacuten de la seguridad que tanto la seguridad como los riesgos de seguridad estaacuten contemplados en la gestioacuten de riesgos ylagestioacutenfinancierageneralesyquecumplelasnormasylosrequisitosjuriacutedicosTambieacuten conviene determinar si respeta las normas reconocidas

1045 SEGURIDAD OPERACIONALLos servicios informaacuteticos en la nube deben explotarse conforme a exigencias estrictas en materia de seguridad y la seguridad debe estar integrada en los procedimientos operativosestaacutendarLosprincipaleselementosson

bull gestioacutendelaconfiguracioacutenydelasmodificacionesparacontrolarloqueestaacuteenelentorno de produccioacuten y los cambios realizados efectuar las pruebas requeridas y recibirlaautorizacioacutencorrespondienteantesdeefectuarlasmodificaciones

bull gestioacuten de las vulnerabilidades para evaluar detectar y corregir las fallas de seguridad que puedan surgir en los servicios y la infraestructura

bull seguimiento para detectar anomaliacuteas ataques y actos no autorizados que puedan comprometer la seguridad de los servicios


bull gestioacuten de los incidentes En caso de incidente el proveedor de servicios debe ser capaz de adoptar las medidas adecuadas para atenuar dominar y corregir el problema Esta obligacioacuten abarca las comunicaciones y los informes dirigidos a los clientes y a las autoridades encargadas de hacer cumplir la ley

1046 PERSONALEl proveedor de servicios en la nube debe haber adoptado medidas para evaluar la fiabilidaddelpersonalqueparticipaenlagestioacutendelosserviciosDebeefectuarseunaverificacioacutenadecuadadelosantecedentesparatodaslasfuncionessensiblesoconprivilegios Los operadores deben recibir formacioacuten y tambieacuten deben comprender y reconocer sus responsabilidades

1047 DESARROLLOEn general los proveedores de servicios desarrollan gran parte de su infraestructura Debenrespetarlaspraacutecticasidoacuteneasylasnormassectorialesafindegarantizarquelas amenazas sean evaluadas durante el desarrollo Asimismo deben implementarse directricesparalaseguridaddeldisentildeodelacodificacioacutendelaspruebasydeldespliegue

1048 CADENA DE SUMINISTROLos proveedores de servicios en la nube suelen utilizar productos y servicios de terceros para integrar o gestionar los servicios que ofrecen Cualquier debilidad en la cadena de suministro puede comprometer la seguridad del conjunto de servicios y de aplicaciones en la nube El proveedor debe explicar la manera en que selecciona a los terceros proveedores el proceso de aceptacioacuten de servicios y productos las modalidades de gestioacutenderiesgosdeseguridadlasmodalidadesdeverificacioacutendelaactitudenmateriade seguridad de los proveedores asiacute como las modalidades de control de las piezas de repuesto las actualizaciones y otros cambios Este proceso es sumamente importante porque los servicios en la nube pueden estar superpuestos y otros proveedores pueden participaralfinaldelacadenaEnlamedidadeloposibleconvienecontrolaralostercerosproveedoresobienfirmaruncontratoqueprohiacutebaalosproveedoresdeserviciosen la nube recurrir a terceros proveedores que no sean aceptables para la organizacioacuten

1049 GESTIOacuteN DE LOS USUARIOSEn funcioacuten del servicio ofrecido el proceso de autorizacioacuten en parte puede estar gestionado por el proveedor de servicios en la nube Este proceso debe ser evaluado paraverificarsuconformidadcon laspraacutecticas idoacuteneascon lasnormasycon lasnecesidadesdelaorganizacioacutenafindegarantizarunaccesoseguroalasinterfacesde gestioacuten Dichas interfaces permiten realizar acciones que en cierta medida pueden ser consideradas equivalentes a otras acciones fiacutesicas realizadas en un centro de datos tradicional y por ende deben ser cuidadosamente protegidas Los privilegios deben ser muyconcretosyespeciacuteficosafindegarantizarunagestioacutenadecuadadelasfuncionesy los privilegios


10410 IDENTIDAD Y AUTENTICACIOacuteNAl igual que en el caso de la gestioacuten de los usuarios el acceso a cualquier interfaz de servicio debe estar estrictamente protegido La aplicacioacuten de los procesos de identificacioacutenydeautorizacioacutendebeserevaluadaparagarantizarquerespondaalas necesidades de seguridad de la organizacioacuten Algunos ejemplos de meacutetodos son la autenticacioacutendedosfactoreslautilizacioacutendecertificadosTLSdelclienteolossistemascon inicio de sesioacuten uacutenico (SSO) Los meacutetodos que se adopten deben mantenerse actualizados con los uacuteltimos avances en materia de seguridad para hacer frente a la creciente complejidad de las amenazas

10411 INTERFACES EXTERNASCuando las interfaces de gestioacuten quedan expuestas se ampliacutea el campo de accioacuten para posibles ataques Por lo tanto es conveniente evaluar la seguridad de esas interfaces frente a dicha amenaza asiacute como la disponibilidad de soluciones como las redes privadas o medidas equivalentes para acceder a las interfaces privadas

10412 ADMINISTRACIOacuteN DE LOS SERVICIOSLa arquitectura y la gestioacuten de los sistemas de administracioacuten deben idearse e implementarse con sumo cuidado dado que dichos sistemas estaacuten muy expuestos a los ataques Por ende una descripcioacuten de la gestioacuten de los sistemas de administracioacuten y de los procedimientos puede resultar uacutetil para evaluar la poliacutetica de seguridad del proveedor de servicios

10413 AUDITORIacuteASEl proveedor de servicios debe comunicar los resultados de las auditoriacuteas independientes a la organizacioacuten o bien permitirle solicitar una evaluacioacuten o auditoriacutea independientes Los datos de la auditoriacutea relacionados con los servicios (por ejemplo el rendimiento el tiempo fuera de servicio o los incidentes de seguridad) deben poder ser examinados

10414 UTILIZACIOacuteN DE LOS SERVICIOSLa organizacioacuten debe comprender bien las interacciones con el servicio informaacutetico en la nube es decir las interfaces los intercambios de datos los procesos de autorizacioacuten para los usuarios la administracioacuten los voluacutemenes de trabajo y cualquier otroaspectoquepuedainfluirenelservicioconsideradocomolasumadetodaslasactividades de la nube y de la organizacioacuten Antes de implementar una solucioacuten en la nubedeberealizarseunaevaluacioacutenprecisadelosflujosdedatosdelosprocesosy de las arquitecturas Asimismo deben elaborarse e implementarse los procesos correspondientes el personal debe recibir formacioacuten y los operadores deben poseer los conocimientos necesarios sobre la solucioacuten en la nube su utilizacioacuten y la relacioacuten con la organizacioacuten asiacute como cualquier otra informacioacuten relativa al buen uso y a la gestioacuten adecuada de la solucioacuten en la nube


105 DERECHOS DE LOS TITULARES DE LOS DATOSLostitularesdelosdatostienenderechosdeaccesoderectificacioacutendeeliminacioacuteny de objecioacuten en lo que respecta a sus datos personales tratados en la nube184 La organizacioacutenhumanitaria debe verificar que el proveedorde servicios en lanubeno interponga obstaacuteculos teacutecnicos y organizativos al ejercicio de esos derechos aun cuando los datos sean tratados ulteriormente por subcontratistas El contrato entre el cliente y el proveedor debe exigir que este uacuteltimo facilite el ejercicio de los derechos de los titulares de los datos y que garantice que ese mismo ejercicio de los derechos esteacute protegido en lo que respecta a eventuales subcontratistas

106 INTERCAMBIO INTERNACIONAL DE DATOSPor su propia naturaleza los servicios en la nube implican un intercambio internacional de datos personales con partes situadas en diferentes paiacuteses La legislacioacuten sobre proteccioacuten de datos enmarca el intercambio internacional de datos con lo cual las organizaciones humanitarias deben asegurarse de que la utilizacioacuten de servicios en la nube respete tanto la legislacioacuten a la que estaacute sujeta como sus propias poliacuteticas internas Ello significa por ejemplo que todo contrato que se firme con un proveedor deservicios en la nube debe precisar la manera en que el proveedor cumple los requisitos juriacutedicos relativos al intercambio internacional de datos (por ejemplo por medio de claacuteusulas contractuales con sus entidades y con sus subcontratistas) Una EIPD185 previa al intercambio internacional de datos podriacutea reforzar la licitud de ese tratamiento desde el punto de vista de la proteccioacuten de los datos


Como se explica en la seccioacuten 45186 la relacioacuten entre una organizacioacuten humanitaria que coloca datos personales en la nube y el proveedor de servicios en la nube que contrata para hacerlo es en teacuterminos generales una relacioacuten similar a la que existe entre el controlador de datos y el encargado del tratamiento de datos Sin embargo en la praacutectica esas funciones pueden ser maacutes difiacuteciles de categorizar de lo que parece en un primer momento dado que ello dependeraacute de la libertad que se le otorgue al proveedor quedeberaacuteestardefinidaenelcontratoquesefirmeentreelproveedoryelclienteLo esencial es que estas incertidumbres no afecten los derechos de los titulares de los datos es decir que las organizaciones humanitarias deben ser lo maacutes transparentes posible respecto del uso que hagan de los servicios en la nube y no deben permitir que los proveedores perjudiquen a los titulares de los datos

184 V Seccioacuten 211 Derechos de los titulares de los datos185 V Seccioacuten 108 Evaluaciones de impacto relativas a la proteccioacuten de datos186 V Seccioacuten 45 Relacioacuten entre el controlador de datos y el procesador de datos


Cuando una organizacioacuten humanitaria utiliza servicios en la nube el proveedor de servicios suele contratar a subencargados del tratamiento de datos El contrato con el proveedor debe precisar que este puede recurrir a los servicios de los subencargados del tratamiento de datos uacutenicamente con el consentimiento del controlador de datos (es decir la organizacioacuten humanitaria) Asimismo debe establecerse claramente que el encargado del tratamiento de datos (es decir el proveedor de servicios en la nube) debeinformaralcontroladordedatosdetodamodificacioacutenprevistaenestesentidomientras que el controlador de datos conserva la posibilidad de oponerse a dichas modificacionesoderescindirelcontrato


Las evaluaciones de impacto relativas a la proteccioacuten de datos (EIPD) son herramientas importantes que se utilizan durante el disentildeo de proyectos para garantizar que todos los aspectos de las normas en materia de proteccioacuten de datos y los posibles riesgos sean abordados Cada vez que se prevea recurrir a los servicios en la nube es indispensable efectuarunaEIPDespeciacuteficamenteadaptadaadichasconfiguraciones187 Ademaacutes de precisarlosdetallesylasespecificacionesdeltratamientolasEIPDdebencentrarseen los riesgos que ello conlleva y en las medidas de atenuacioacuten En este sentido cabe sentildealar que las EIPD deben realizarse antes de usar los servicios en la nube

109 PRIVILEGIOS E INMUNIDADES EN LA NUBEMaacutes allaacute de las consideraciones anteriores las organizaciones humanitarias que gozan de privilegios e inmunidades tambieacuten deben tener en cuenta que el hecho de colocar datos en la nube puede comprometer la proteccioacuten que ofrecen dichos privilegios e inmunidades a menos que se implementen las medidas legiacutetimas teacutecnicas y organizativas adecuadas Esta consideracioacuten es fundamental sobre todo porque en una situacioacuten de emergencia humanitaria los privilegios y las inmunidades de una organizacioacuten humanitaria son la primera liacutenea de proteccioacuten para los datos personales delosindividuosvulnerablesparticularmenteenlosconflictosyotrassituaciones de violencia

Las organizaciones humanitarias deben estudiar la posibilidad de adoptar las medidas legiacutetimasorganizativasyteacutecnicasquesesugierenacontinuacioacutenafindeaseguraruna proteccioacuten adecuada de sus privilegios e inmunidades en un entorno en la nube



1091 MEDIDAS LEGIacuteTIMAS bull Los datos deben ser alojados y tratados por procesadores de datos externos

ubicados exclusivamente en jurisdicciones donde los privilegios y las inmunidades de la organizacioacuten esteacuten formalmente reconocidos en los acuerdos relativos a los estatutos que reconocen por un lado la inviolabilidad de los expedientes de los archivos de la correspondencia y de las comunicaciones independientemente del lugar donde se conserven los datos y de la entidad que los conserve y por otro la inmunidad respecto de toda forma de proceso judicial Idealmente esta proteccioacuten legiacutetima deberiacutea estar respaldada por antecedentes de respeto constante de dichos privilegios e inmunidades

bull Los procesadores de datos y los subencargados del tratamiento de datos deben tener la obligacioacuten contractual de informar a cualquier autoridad que desee acceder a los datos que esos datos estaacuten protegidos por los privilegios y las inmunidades de una organizacioacuten humanitaria de rechazar toda solicitud de acceso por parte de las autoridades sea informal administrativa o judicial y de remitir dichasolicitudalaorganizacioacutenhumanitariadenotificardeinmediatoalaorganizacioacuten humanitaria sobre toda solicitud de acceso a sus datos sea informal administrativa o judicial sobre la identidad de la autoridad solicitante y sobre el estado de la solicitud y de ayudar a la organizacioacuten humanitaria a suministrar la informacioacuten y los documentos que pueda necesitar como parte de un procedimiento informal administrativo o judicial para hacer valer sus privilegios e inmunidades sobre los datos pertinentes

1092 MEDIDAS ORGANIZATIVAS bull Los datos de la organizacioacuten humanitaria deben conservarse en servidores

distintos y estar separados de los datos de otros clientes de los procesadores de datos y de los subencargados del tratamiento de datos

bull Los servidores donde se alojen los datos de las organizaciones humanitarias deben estar claramente sentildealados con el emblema de la organizacioacuten y llevar la leyenda ldquoLegally Privileged Informationrdquo (informacioacuten protegida)

bull En la medida de lo posible el acceso a los servidores donde se alojan los datos de las organizaciones humanitarias solo debe permitirse con la autorizacioacuten tanto de los procesadores de datos como de la organizacioacuten humanitaria

bull El personal del encargado del tratamiento de datos y de los subencargados del tratamiento de datos debe estar correctamente informado sobre la condicioacuten de proteccioacuten de los datos y recibir formacioacuten respecto del procedimiento que debe seguirse en caso de solicitudes de acceso por parte de terceros


1093 MEDIDAS TEacuteCNICAS bull Los datos alojados en un entorno en la nube deben estar cifrados y las claves de

cifrado deben estar uacutenicamente en manos de la organizacioacuten humanitaria

bull Si la solucioacuten en la nube prevista es un SaaS y si los procesadores de datos y los subencargados del tratamiento de datos necesitan gestionar el servicio ofrecido deben establecerse ciertas disposiciones que permitan garantizar que puedan acceder al sistema de gestioacuten ejecutar actualizaciones corregir errores y brindar asistencia a los usuarios sin tener que acceder jamaacutes a los datos no cifrados

USO POSIBLE

DIFICULTADES

APLICACIONES DE MENSAJERIacuteA MOacuteVIL

COORDINACIOacuteN EFICAZ

COMUNICACIOacuteN INMEDIATA CON PERSONAS EN LUGARES REMOTOS O INACCESIBLES

DIFUSIOacuteN DE CONTENIDOS A UN GRAN NUacuteMERO DE PERSONAS

NECESIDAD DE DEFINIR ORIENTACIONES CLARAS RESPECTO DEL TRATAMIENTO QUE REALIZAN LAS ORGANIZACIONES HUMANITARIAS DE LOS DATOS OBTENIDOS DE APLICACIONES DE MENSAJERIacuteA

DESCONOCIMIENTO DE LOS TIPOS DE DATOS TRATADOS

RIESGO DE QUE TERCEROS PUEDAN ACCEDER A LOS METADATOS ANALIZARLOS Y UTILIZARLOS EN DETRIMENTO DE LAS PERSONAS VULNERABLES

CAPIacuteTULO 11




En su labor diaria las organizaciones humanitarias recurren a numerosos canales de comunicacioacuten que abarcan medios de intercambio de informacioacuten formales (por ejemplo la radioy la televisioacuten) informalesnooficialesydirectosParaemplear los canalesde comunicacioacuten maacutes adecuados a cada situacioacuten deben comprender la cultura y las necesidades de la sociedad afectada por una crisis asiacute como sus medios de comunicacioacuten

En este sentido cuando estas aplicaciones estaacuten muy difundidas su utilizacioacuten por parte de las organizaciones humanitarias es particularmente interesante dado que permiten una comunicacioacuten inmediata con las personas afectadas por una crisis o por unconflictoycontribuyenaunacoordinacioacuteneficazdelastareasyaccionesinternasEstetipodetecnologiacuteapuedereforzarlaeficaciadelaaccioacutenhumanitariayllegarapoblaciones ubicadas en lugares remotos o inaccesibles Sin embargo las aplicaciones de mensajeriacutea moacutevil suelen utilizarse sin tener verdaderamente en cuenta los riesgos relativos a la proteccioacuten de datos personales

188 Este capiacutetulo se basa en el informe Humanitarian Futures for Messaging Apps CICR The EngineRoomyBlockPartyenerode2017httpsshopicrcorghumanitarian-futures-for-messaging-appshtml

Migrantescargansusteleacutefonosmoacutevilesenunazonawifienuncampamentoimprovisado cerca de la estacioacuten de ferrocarril de San Giovanni en Como Italia agosto de 2016

A W

iegm

ann

REUT

ERS

11 APLICACIONES DE MENSAJERiacuteA MOacutevIL 195

Si bien ofrecen funcionalidades formidables las aplicaciones de mensajeriacutea moacutevil pueden entrantildear riesgos importantes para la proteccioacuten de datos Pareceriacutea que en la praacutectica las organizaciones humanitarias las utilizan cuando tienen necesidad sin respetar ninguacuten procedimiento formal que se base en un anaacutelisis de los riesgos o las consideraciones respecto de la viabilidad y la gestioacuten a largo plazo En cambio lo que prima son las necesidades apremiantes de las organizaciones humanitarias en materia de informacioacuten y comunicacioacuten En la medida en que no incluya un anaacutelisis de riesgos este enfoque iraacute en contra de los principios rectores de las organizaciones humanitarias como la responsabilidad la adecuacioacuten el principio de ldquono causar dantildeordquo y la diligencia debida Como sucede con todos los demaacutes canales de comunicacioacuten la adopcioacuten de aplicaciones de mensajeriacutea moacutevil exige un anaacutelisis minucioso de sus ventajas y sus riesgos Las cuestiones que se estudiaraacuten en este anaacutelisis dependeraacuten de cada circunstancia en particular Por ejemplo las inquietudes relativas a la seguridad de los datos personales en una situacioacuten de violencia poliacutetica pueden ser muy distintas a las preocupaciones en materia de seguridad durante una cataacutestrofe natural

Las aplicaciones de mensajeriacutea moacutevil instaladas en teleacutefonos celulares u otros dispositivos inteligentes pueden plantear ciertos riesgos de vulnerar el derecho de los individuos a la proteccioacuten de sus datos personales En efecto estas aplicaciones ofrecen la posibilidad no solo de intercambiar datos entre usuarios sino tambieacuten de tratar agregar y generar grandes voluacutemenes de datos (por ejemplo metadatos datos de localizacioacuten y contactos) Algunas autoridades que regulan la proteccioacuten de datos consideran que los riesgos para la proteccioacuten de datos personales resultan de una combinacioacutendelossiguientesfactores1)desconocimientoporpartedelosusuariosde los datos que en realidad procesan en sus dispositivos inteligentes 2) ausencia del consentimientodelosusuarios3)medidasdeseguridadinsuficientesy4)posibilidadde tratamiento ulterior189

Conforme al imperativo de la ldquoproximidad digitalrdquo es decir que las organizaciones aspiranatenerpresenciadigitaldondeesteacutenlosbeneficiarios(delamismamaneraque tratan de tener presencia fiacutesica) las organizaciones humanitarias tienden a utilizar las aplicaciones de mensajeriacutea moacutevil que son populares en una sociedad determinada al momento de una emergencia humanitaria como WhatsApp Facebook Messenger Snapchat Viber Telegram y LINE Estas plataformas exclusivas pertenecen a grandes proveedores de servicios que no necesariamente estaacuten dispuestos a personalizar sus aplicaciones para responder a las necesidades de las organizaciones humanitarias Al mismo tiempo la utilizacioacuten de una plataforma de comunicacioacuten menos popular podriacutea excluir a personas a las que la organizacioacuten pretende ayudar

189 V Grupo de trabajo del artiacuteculo 29 sobre proteccioacuten de datos dictamen 022013 sobre las aplicaciones de los dispositivos inteligentes WP 202 27 de febrero de 2013


La adopcioacuten de aplicaciones de mensajeriacutea moacutevil tambieacuten puede conducir a un tratamiento ulterior de los datos recogidos incluidos los datos personales Estas aplicaciones permiten recopilar informacioacuten en liacutenea y pueden ofrecer nuevas maneras de analizar los datos disponibles En otras palabras los datos y los metadatos recogidos por medio de estas aplicaciones de mensajeriacutea moacutevil pueden ayudar a cotejar informacioacuten de manera ineacutedita Por ese motivo y teniendo en cuenta la probabilidad de un tratamiento ulterior de los datospersonalesesimportanteconsiderarlosfinesconlosqueseutilizaunaaplicacioacutende mensajeriacutea asiacute como las entidades con quienes se intercambiaraacuten los datos recogidos Las organizaciones humanitarias pueden entonces constatar que les resulta imposible afirmarcontodaseguridadquelosusuariospuedendestruiroeliminarlosdatosyaenviados dado que ello supondriacutea tener que negociar con numerosas partes

Las aplicaciones de mensajeriacutea moacutevil fueron disentildeadas principalmente para permitir comunicaciones privadas entre individuos o pequentildeos grupos Las organizaciones humanitarias podriacutean utilizar este tipo de funcionalidad para brindar asesoramiento baacutesicooparaquelosbeneficiarioslesenviacuteeninformacioacutensobreincidentesconflictosencursoonecesidadesespeciacuteficasSinembargoestasaplicacionestambieacutenpuedenser utilizadas en la accioacuten humanitaria para ldquodifundirrdquo contenidos a varios contactos o seguidores (followers) En particular cuando hay un gran nuacutemero de usuarios las aplicaciones de mensajeriacutea moacutevil pueden funcionar como un canal de comunicacioacuten unidireccional (por ejemplo para anunciar la hora y el lugar de distribucioacuten de ayuda humanitaria o un cambio en los horarios de atencioacuten de una cliacutenica local)

1111 LAS APLICACIONES DE MENSAJERIacuteA MOacuteVIL EN LA ACCIOacuteN HUMANITARIA

Una aplicacioacuten de mensajeriacutea es un software que permite a los usuarios enviar y recibir informacioacuten por medio de sus teleacutefonos moacuteviles u otros dispositivos portaacutetiles inteligentesLafacilidaddeusodeestasaplicacioneshainfluidoengranmedidaensu popularidad su aceptacioacuten puacuteblica y su creciente demanda Existen tres diferencias fundamentales entre la comunicacioacuten a traveacutes de aplicaciones de mensajeriacutea moacutevil y la comunicacioacuten que utiliza redes de telefoniacutea moacutevil a saber190

bull las aplicaciones de mensajeriacutea moacutevil transmiten y reciben datos por medio de unaconexioacutenainternetwifiounaconexioacutendedatosmoacuteviles(adiferenciadelosmensajes SMS que son transmitidos a traveacutes de las redes de telefoniacutea tradicionales)

bull las aplicaciones de mensajeriacutea moacutevil pueden transmitir o recibir una variedad de tipos de datos mucho maacutes amplia en comparacioacuten con los SMS o incluso los MMS el sucesor multimedia del SMS Con el tiempo las aplicaciones de mensajeriacutea moacutevil han desarrollado maacutes similitudes que diferencias y ademaacutes de las llamadas de voz y los textos los usuarios de estas aplicaciones tambieacuten pueden enviar y recibir lossiguientestiposdeinformacioacutenarchivos(comofotosimaacutegenesyenalgunoscasos documentos) grabaciones de audio (como grabaciones de voz que funcionan

190 CICR The Engine Room y Block Party Humanitarian Futures for Messaging Apps (enero de 2017)httpsshopicrcorghumanitarian-futures-for-messaging-appshtml


de la misma manera que un correo de voz) datos de localizacioacuten basados en el sensor de GPS del teleacutefono videollamadas en vivo (en algunas aplicaciones) y emojis (ideogramasquerepresentanemocionesuobjetosespeciacuteficos)

bull las aplicaciones de mensajeriacutea moacutevil pueden transmitir contenido cifrado de extremo a extremo Sin embargo tambieacuten pueden generar y conservar grandes voluacutemenes de metadatos no cifrados

Las organizaciones humanitarias han adoptado aplicaciones de mensajeriacutea moacutevil por los siguientes motivos191

bull paradirigirseaunpuacuteblicodestinatario(miembrosdelpersonalobeneficiarios)que ya utilizan aplicaciones de mensajeriacutea

bull para reducir costos de comunicacioacuten

bull paramanteneruncontactofiableconpersonasquesedesplazan(miembrosdelpersonalobeneficiarios)

bull para comunicarse con personas en entornos donde otros medios de comunicacioacuten no estaacuten disponibles

bull para aumentar la velocidad de las comunicaciones

bull para mejorar la seguridad de las comunicaciones digitales en comparacioacuten con los meacutetodos de comunicacioacuten existentes (cuando dichas aplicaciones utilizan un cifrado de extremo a extremo de los contenidos)

bull para facilitar la recopilacioacuten o la difusioacuten de informacioacuten en zonas de difiacutecil acceso remotas o inaccesibles

bull paraacelerarlarecopilacioacutendedatosoaumentarlaeficacia bull paramejorarlacoordinacioacutenentrelasoficinas

Teniendo en cuenta estas consideraciones pueden distinguirse dos aacutembitos de anaacutelisis desdeelpuntodevistadelaproteccioacutendedatos

bull el tratamiento de datos personales a traveacutes de las propias aplicaciones de mensajeriacutea moacutevil

bull el tratamiento de datos personales recopilados por las organizaciones humanitarias a traveacutes de aplicaciones de mensajeriacutea moacutevil

Estos aacutembitos de anaacutelisis se abordan a continuacioacuten



191 Para una explicacioacuten maacutes precisa de los motivos para adoptar aplicaciones de mensajeriacutea moacutevil en la accioacuten humanitaria v Humanitarian Futures for Messaging Apps CICR The Engine Room y Block Party enero de 2017 ob cit


1121 PROCESAMIENTO DE DATOS PERSONALES A TRAVEacuteS DE LAS APLICACIONES DE MENSAJERIacuteA MOacuteVIL

Para comunicarse por mensajeriacutea moacutevil con individuos en situaciones de emergencia humanitaria las organizaciones humanitarias deben instalar y utilizar casi siempre las aplicaciones que ya usa la mayoriacutea de la poblacioacuten Por lo general los individuos es decirlosbeneficiariosyahanbajadoeinstaladodichasaplicacionesyhanaceptadolas condiciones en materia de proteccioacuten de datos

Sin embargo al comunicarse con los beneficiarios a traveacutes de aplicaciones demensajeriacutea moacutevil las organizaciones humanitarias pueden dar a entender directa o indirectamente que esos medios de comunicacioacuten son seguros y que no se exponealosbeneficiariosaninguacutenperjuicioalcomunicarseconellasPorlotantoindependientemente del consentimiento inicial prestado por los beneficiarios alproveedor de la aplicacioacuten para tratar sus datos personales es importante que la organizacioacutenhumanitariaanalicelasconsecuenciasdedichautilizacioacutenafindequeelintercambioconlosbeneficiariosnogenereninguacutenresultadonefastoinesperadoParaello se recomienda efectuar una EIPD que deberaacute tener en cuenta las consideraciones que se sentildealan a continuacioacuten La EIPD puede concluir que ciertas categoriacuteas de datos solo pueden ser recogidas o comunicadas por medio de una determinada aplicacioacuten o bien que una aplicacioacuten puede utilizarse uacutenicamente en algunas circunstancias y no en otras Tambieacuten es posible que el uso de una aplicacioacuten particularmente conocida no sea conveniente para la organizacioacuten humanitaria y que ella solo desee utilizarla para informar a los individuos sobre su intencioacuten de comunicarse con ellos por medio de otra aplicacioacuten maacutes segura Al efectuar la evaluacioacuten tambieacuten hay que tener en cuenta quelasaplicacionesdemensajeriacuteadesarrollanymodificansuscaracteriacutesticasmuyraacutepidamente y que nada garantiza que una funcionalidad ofrecida por una aplicacioacuten esteacutedisponibleindefinidamenteoquelosusuariostenganelsoftware actualizado en particular en los paiacuteses en los que la ley restringe el cifrado Del mismo modo las poliacuteticas y las declaraciones de las empresas respecto de la utilizacioacuten de datos la seguridad y la privacidad pueden ser revisadas posteriormente Por lo general las organizaciones no podraacuten ver los detalles teacutecnicos del coacutedigo subyacente y por lo tanto no podraacuten efectuar una evaluacioacuten profunda de los efectos de esas modificacionesenlaseguridadylaprivacidaddelosusuariosLasorganizacionesque recurren a terceros proveedores para gestionar o tratar informacioacuten tambieacuten debenestarpreparadasparaafrontarelriesgoqueelloconllevaLasmodificacionesefectuadas a las funcionalidades de la aplicacioacuten podriacutean requerir una revisioacuten de la EIPD

Asimismo cabe resaltar la diferencia entre la comunicacioacuten unidireccional y bidireccionalconlosbeneficiariosatraveacutesdelasaplicacionesdadoquelacomunicacioacutenbidireccional suele entrantildear riesgos mucho mayores (posibilidad de transferir un mayor volumen de datos personales) y tambieacuten plantea la cuestioacuten de la gestioacuten y la viabilidad a largo plazo en comparacioacuten con las expectativas


11211 Amenazas potencialesLa proteccioacuten de datos y la privacidad son inquietudes presentes en todos los aacutembitos de la labor de las organizaciones humanitarias Por lo tanto estas organizaciones deben evaluarlosriesgosespeciacuteficoscuandopreveanutilizarunaaplicacioacutendemensajeriacuteaLapreocupacioacuten principal es el riesgo de que los datos recogidos por las organizaciones humanitariascaiganenmanosdetercerosimprevistosparaserutilizadosconfinescontrarios a la neutralidad la imparcialidad y la independencia de la labor humanitaria (por ejemplo autoridades locales fuerzas del orden grupos impulsados por intereses diversos o entidades privadas)

Estostercerospuedenser

bull entidades situadas en el paiacutes de origen de los refugiados por ejemplo grupos armadosyautoridadesquepuedanquereridentificaragruposoindividuosparaperjudicarlos o atacarlos

bull entidades que participen en poliacuteticas de migracioacuten o en actividades de seguridad quequierancomprenderypredecirlastendenciasylosflujosdedesplazamiento

bull entidades que participen en actividades de vigilancia por motivos de seguridad nacional

bull partes hostiles que quieran atacar organizaciones humanitarias y a las personas a las que prestan asistencia

bull entidadescomercialesquequieranobtenerunperfilmaacutesprecisodelaconductadedeterminados grupos lo que puede dar origen a situaciones de discriminacioacuten192

Las preocupaciones en este aacutembito han sido reconocidas y corroboradas por la Conferencia Internacional de Autoridades de Proteccioacuten de Datos y Privacidad a traveacutes de su resolucioacuten sobre privacidad y accioacuten internacional humanitaria aprobada en2015

ldquoLasorganizacioneshumanitariasquenosebeneficiandelosPrivilegioseInmunidadespuedenserpresionadasparaproporcionardatosrecolectadosconfineshumanitariosaautoridadesquedeseenusardichosdatosparaotrosfines(porejemplocontroldeflujosmigratoriosylaluchacontraelterrorismo)Elriesgodelusoindebidodelosdatos puede tener un grave impacto en los derechos de proteccioacuten de datos de las personas desplazadas y puede ser perjudicial para su seguridad asiacute como para la accioacuten humanitaria en generalrdquo193

192 Maria Xynou y Chris Walker Why we still recommend Signal over WhatsApp 23 de mayo de2016httpssecurityinaboxorgenblog2016-05-23why-we-still-recommend-signal-over-whatsapp-even-though-they-both-use-end-to-end-encryption

193 Conferencia Internacional de Autoridades de Proteccioacuten de Datos y Privacidad Resolucioacuten sobre privacidad y accioacuten internacional humanitaria 2015 ob cit


1122 TIPOS DE DATOS QUE RECOGEN Y CONSERVAN LAS APLICACIONES DE MENSAJERIacuteA

Existentresprotocolosprincipalesenelmundodelcifradoylamensajeriacuteamoacutevilelprotocolo Signal MTProto e iMessage1941 El protocolo Signal (anteriormente conocido con los nombres Axolotl y TextSecure)

es el utilizado por Signal Messenger de Open Whisper Systems WhatsApp de Facebook Facebook Messenger (en conversaciones secretas) Google Allo (en modo incoacutegnito) Skype (desde mediados de 2018 en conversaciones privadas) y Viber (implementacioacutenexclusivamodificada)

2 Por su parte Telegram desarrolloacute y utiliza MTProto (en conversaciones secretas)3 A su vez Apple desarrolloacute el protocolo iMessage que utiliza en la aplicacioacuten del

mismo nombre

Cada uno de ellos genera y procesa clases de datos diferentes y ademaacutes ofrece diversos grados de proteccioacuten para los contenidos de los mensajes y los metadatos

Contenido de los mensajes si bien algunas empresas grandes de aplicaciones de mensajeriacuteaafirmanquesusaplicacionesofrecenuncifradodeextremoaextremoes decir que ellas no pueden descifrar o leer el contenido de los mensajes otras aplicaciones muy conocidas como Facebook Messenger almacenan todos los mensajes en sus servidores Cabe sentildealar que en algunas aplicaciones el cifrado de extremo a extremo se ofrece solo como una caracteriacutestica opcional (como es el caso de Telegram LINE y Facebook Messenger) Por lo tanto si los usuarios no saben que deben activar estafuncionalidadensuconfiguracioacutentodoslosdatosdelosmensajesseenviaraacutende manera no cifrada La comunicacioacuten con la mayoriacutea de los bots en servicios como Telegram no estaacute cifrada de extremo a extremo Cabe destacar que si bien es posible proteger los contenidos tambieacuten es posible que los metadatos no gocen de esa misma proteccioacuten (v ldquoMetadatosrdquo a continuacioacuten)195

Informacioacuten de los usuarios cuando los usuarios se registran en una aplicacioacuten deben ingresar informacioacuten propia (que incluye desde el nuacutemero de teleacutefono en el caso de la mayoriacutea de las aplicaciones hasta imaacutegenes nombres completos y direcciones de correo electroacutenico en el caso de WeChat y Facebook Messenger) En muchos paiacuteses es obligatorio registrar la tarjeta SIM Alliacute la obligacioacuten que impone la aplicacioacuten de ingresar un nuacutemero de teleacutefono impide utilizar las aplicaciones de mensajeriacutea en forma anoacutenima En algunos lugares de Ameacuterica Latina los usuarios tambieacuten tienen la obligacioacuten de registrar el nuacutemero de su dispositivo196 Muchas aplicaciones acceden automaacuteticamente

194 CICRyPrivacyInternationalldquoChapter6CashTransferProgrammesrdquoenThe Humanitarian Metadata Problem ldquoDoing no harmrdquo in the digital era (octubre de 2018) paacuteg 50

195 LucyHandleyldquoSherylSandbergWhatsAppmetadatainformsgovernmentsaboutterrorism in spite of encryptionrdquo CNBC 31 de julio de 2017 httpsfinanceyahoocomnewssheryl-sandberg-whatsapp-metadata-informs-112540721html

196 GSMA Mandatory registration of prepaid SIM cards Addressing challenges through best practiceabrilde2016wwwgsmacompublicpolicywp-contentuploads201604Mandatory-SIM-Registrationpdf


alalistadecontactostelefoacutenicosdeunusuariocuandoesteseregistraafindeencontrarotros contactos que ya tengan la aplicacioacuten En algunos casos las aplicaciones pueden almacenarestosdatosenformaseparada(porejemploWhatsAppconfirmoacuteenjuniode2016 que almacena las listas de contactos)197 En otros casos tambieacuten puede almacenarse la informacioacuten de los grupos a los que pertenece el usuario

Metadatos en funcioacuten de sus condiciones de uso las aplicaciones de mensajeriacutea recogen diversos voluacutemenes de metadatos por ejemplo los sitios y la informacioacuten a los que se accedioacute desde la aplicacioacuten Entre los metadatos que podriacutean obtenerse de un mensajecabemencionarIMEIIMSI(identificadoresdedispositivoydetarjetaSIM)elnuacutemerodeteleacutefonodelemisor y del destinatario el tamantildeo del mensaje los datos de localizacioacuten y hora las direcciones IP el modelo de hardware e informacioacuten sobre el navegador198 Muchas empresas de aplicaciones afirmanque esos datos se almacenan en sus servidorespero rara vez aclaran durante cuaacutento tiempo los conservan y si los metadatos estaacuten cifradosonoydequeacutemanera(estosucedeinclusoconaplicacionesqueafirmantenerimplementado un cifrado de extremo a extremo) Si bien algunas aplicaciones de mensajeriacutea instaladas en computadoras personales ofrecen enmascarar los metadatos de los usuarios utilizando los servicios para ocultar de la red Tor (software que permite la navegacioacuten anoacutenima)199 las principales aplicaciones de mensajeriacutea disponibles hoy en diacutea no ofrecen esta posibilidad En cambio las aplicaciones maacutes respetuosas de la privacidad como Signal200 simplemente se proponen recoger la menor cantidad de metadatos posible

Datos inferidos incluso con el cifrado de extremo a extremo es mucho lo que se puede inferirdelosmetadatosquerodeanalamensajeriacuteaLos investigadores del MIT y de la Universiteacute Catholique de Louvain en Beacutelgica analizaron datos sobre 15 millones de usuarios de teleacutefonos moacuteviles en un pequentildeo paiacutes europeo a lo largo de 15 meses y determinaron que solo cuatro puntos de referencia conunaresolucioacutenespecialytemporalbastantebajaeransuficientesparaidentificaral 95 de esos usuarios

197 Micah Lee Battle of the secure messaging apps How Signal beats WhatsApp TheIntercept22dejuniode2016httpstheinterceptcom20160622battle-of-the-secure-messaging-apps-how-signal-beats-whatsapp


199 Todas las aplicaciones que se enumeran a continuacioacuten utilizan los servicios para ocultar de Tor (software disentildeadoparapermitircomunicacionesanoacutenimas)GuardianProjectWhat is Orbothttpsguardianprojectinfoappsorbot Security in a Box Guide to Orbot httpssecurityinaboxorgenguideorbotandroid Tor Project Tor Messenger Beta Chat over TorEasily29deoctubrede2015httpsblogtorprojectorgblogtor-messenger-beta-chat-over-tor-easily Joseph Cox ldquoRicochetrdquo the Messenger That Beats Metadata Passes Security Audit17defebrerode2016httpmotherboardvicecomreadricochet-encrypted-messenger-tackles-metadata-problem-head-on

200 Signal Grand jury subpoena for Signal user data Eastern District of Virginia 4 de octubre de2016httpswhispersystemsorgbigbrothereastern-virginia-grand-jury


En otras palabras para extraer informacioacuten completa sobre la ubicacioacuten de una uacutenica persona de un conjunto de datos ldquoanonimizadosrdquo de maacutes de un milloacuten de personas todo lo que se necesitariacutea hacer es ubicar a dicha persona a una distancia de unos pocos metros de un transmisor de telefoniacutea moacutevil en alguacuten momento a lo largo de unahoracuatrovecesenunantildeoEnelcasodecontenerinformacioacutenespeciacuteficasobrela localizacioacuten de esa persona unas pocas publicaciones en Twitter probablemente brindariacutean toda la informacioacuten necesaria201

Intercambio de datos con terceros proveedores las empresas de aplicaciones de mensajeriacuteaamenudoafirmanque intercambiandatospersonalesdesususuarioscon otras empresas cuyos servicios permiten el funcionamiento de la aplicacioacuten Sin embargo casi nunca revelan las empresas con las que trabajan los servicios que prestan los datos a los que acceden o la manera en que los datos se procesan y se almacenan Twilio un tercero proveedor que trabaja con algunas empresas de aplicaciones de mensajeriacutea ha presentado informes de transparencia sucintos en los que indica haber recibido 376 solicitudes de datos provenientes de organismos internacionales durante el primer semestre de 2016 en comparacioacuten con las 46 solicitudes recibidas durante el mismo periacuteodo en 2015202

Prueba de la instalacioacuten de una determinada aplicacioacuten en el teleacutefono moacutevil de un usuario al acceder al dispositivo fiacutesico de un individuo las autoridades pueden encontrar pruebas fiacutesicas de que un usuario ha instalado una determinada aplicacioacuten de mensajeriacutea Tambieacuten es posible obtener esta informacioacuten por otros medios por ejemplo en la mayoriacutea de los casos los usuarios deben asociar una direccioacuten de correo electroacutenico a su teleacutefono inteligente para bajar una determinada aplicacioacuten lo cual genera un viacutenculo entre la aplicacioacuten y otras actividades en liacutenea que eventualmente se puede rastrear

1123 MANERAS EN QUE OTRAS PARTES PUEDEN ACCEDER A LOS DATOS QUE SE INTERCAMBIAN EN LAS APLICACIONES DE MENSAJERIacuteA

Otras partes pueden acceder a los datos que se transmiten por medio de aplicaciones de mensajeriacuteadediversasmanerasporejemplo

bull una empresa de aplicaciones de mensajeriacutea (o un tercero proveedor que accede a la informacioacuten personal de los usuarios de la aplicacioacuten) divulga el contenido de los mensajes o los metadatos que conserva en sus servidores a pedido de una autoridad de la jurisdiccioacuten donde los datos estaacuten almacenados

bull otra parte obtiene acceso iliacutecito u oculto al contenido de los mensajes o a los metadatos almacenados en los servidores de una empresa de aplicaciones de mensajeriacutea (a traveacutes de piratas informaacuteticos) o bien accede a esa informacioacuten

201 L Hardesty ldquoHow hard is it to lsquode-anonymizersquo cellphone datardquo MIT News 27 de marzo de2013httpsnewsofficemitedu2013how-hard-it-de-anonymize-cellphone-data

202 V Twilio Transparency Policy httpswwwtwiliocomlegaltransparency


mientras esta se transmite entre dos actores (conocido como ldquoataque de intermediariordquo o ataque man-in-the-middle) Por ejemplo las pruebas efectuadas porelCitizenLabdelaUniversidaddeTorontoafinesde2013demostraronque la aplicacioacuten de mensajeriacutea LINE no cifraba el contenido enviado por sus conexiones3Gapesardequeelcontenidoenviadoporwifisiacuteestabacifrado203

bull cuandoseconfiscaundispositivo(porejemplounteleacutefonomoacutevilounacomputadora) es posible utilizar herramientas forenses para acceder a sus metadatos incluso al contenido y los datos que el usuario creyoacute haber eliminado204 Se pueden utilizar herramientas de extraccioacuten para descargar los datos desde teleacutefonosmoacutevilesentreellas bull contactos bull datos de llamadas (a quieacuten llamamos cuaacutendo y por cuaacutento tiempo) bull mensajes de texto bull archivos guardados (fotografiacuteas videos archivos de audio documentos etc) bull datos de aplicaciones (queacute aplicaciones utilizamos y los datos almacenados en

ellas) bull informacioacuten sobre la ubicacioacuten bull conexionesaredeswifi(quepuedenrevelarlaubicacioacutendecualquierlugarenelquenoshayamosconectadosawifiporejemplonuestrolugardetrabajoylasinstalaciones que hayamos visitado)

Es posible que algunas herramientas de extraccioacuten para teleacutefonos moacuteviles accedan tambieacuten a datos almacenados en la nube en lugar de hacerlo directamente en nuestros dispositivos o bien a datos cuya existencia desconocemos o a los que no podemos acceder es decir datos eliminados205

bull partes que acceden al contenido de las aplicaciones de mensajeriacutea por otros medios encubiertosporejemplocuandoobtienenaccesoaloscoacutedigosdeverificacioacutenenviados a los usuarios por SMS cuando se registran en una aplicacioacuten desviando eltraacuteficoporlasredesconvencionalesdetelefoniacuteamoacutevil206 o cuando convencen

203 Las redes 3G estaacuten cifradas de forma predeterminada pero solo al nivel del proveedor deredloquesignificaquelosproveedoresdeserviciosdeinternetylasempresasdetelecomunicaciones pueden descifrar la informacioacuten enviada a traveacutes de sus redes Citizen Lab Asia Chats Analyzing Information Controls and Privacy in Asian Messaging Applicationsnoviembrede2013httpscitizenlabca201311asia-chats-analyzing-information-controls-privacy-asian-messaging-applications J Russell Thailandrsquos Government Claims It Can Monitor The Countryrsquos 30M Line Users httpstechcrunchcom20141223thailand-line-monitoring-claim

204 CICR y Privacy International ldquoSection 53 Other metadatardquo en The Humanitarian Metadata Problem ldquoDoing no harmrdquo in the digital era (octubre de 2018)

205 Mobile Phone Extraction documento explicativo elaborado por Privacy International yLibertycomopartedelacampantildeaconjuntaldquoNeighbourhoodWatchedHowpolicingsurveillancetechnologyimpactsyourrightsrdquodisponibleenhttpsprivacyinternationalorgneighbourhood-watched

206 Frederic Jacobs How Russia Works on Intercepting Messaging Apps30deabrilde2016httpswwwbellingcatcomnews20160430russia-telegram-hack Operational Telegram18denoviembrede2015httpsmediumcomthegrugqoperational-telegram-cbbaadb9013af1vg48cl1


a los usuarios de instalar un software malicioso (malware) en sus teleacutefonos lo que permite a terceros acceder en forma remota a ese dispositivo o a los datos almacenados en eacutel207

bull una persona es obligada a entregar su dispositivo fiacutesico El cifrado de extremo a extremo solo cifra los datos durante su transmisioacuten no los que ya estaacuten en el dispositivo del usuario Si una parte accede fiacutesicamente a un teleacutefono o a una computadora con acceso a las cuentas de las aplicaciones de mensajeriacutea del usuario (por ejemplo obligaacutendolo a desbloquear el dispositivo) dicha parte podraacute tomar conocimiento del contenido de los mensajes y de los detalles de las aplicaciones instaladas en el dispositivo En algunos paiacuteses las autoridades consideran que el simple hecho de instalar aplicaciones como WhatsApp es un indicio de comportamiento subversivo208 Tanto Signal como Telegram y SnapChat ofrecen mensajes que se autodestruyen es decir que pueden verse desde el teleacutefono del remitente y desde el del destinatario durante un periacuteodo limitado y luego se eliminan automaacuteticamente

bull una empresa de aplicaciones de mensajeriacutea permite a una autoridad acceder directamente al contenido o a los datos transmitidos a traveacutes de su aplicacioacuten agregando una funcionalidad secreta a su coacutedigo de programacioacuten (lo que se conoce como ldquopuerta traserardquo o backdoor) Por ejemplo algunos paiacuteses habriacutean amenazado con multar a las empresas de aplicaciones de mensajeriacutea que no introdujeran puertastraserasensuscoacutedigosdeprogramacioacutencomoespeciacuteficamenteocurrioacuteconWhatsApp Telegram y Viber209 Otras compantildeiacuteas han declarado puacuteblicamente que se han negado a los pedidos de organismos gubernamentales de crear estas puertas traseras210 Tambieacuten ha habido intentos por parte de agencias de inteligencia para que se les permitiera el acceso a contenido cifrado211

bull sielgrupoestaacuteconfiguradocomoldquopuacuteblicordquo(esdecircualquierapuedeunirseincluso sin ser invitado) tambieacuten se podriacutea acceder a estos datos Ademaacutes en un grupo de mensajeriacutea como WhatsApp cada miembro del grupo puede extraer

207 V por ejemplo Iran Threats Malware posing as human rights organizations targeting Iranians foreign policy institutions and Middle Eastern countries1deseptiembrede2016httpsiranthreatsgithubioresourceshuman-rights-impersonation-malware

208 Electronic Frontier Foundation Your Apps Please China Shows how Surveillance Leads to Intimidation and Software Censorshipenerode2016httpswwwefforgdeeplinks201601china-shows-how-backdoors-lead-software-censorship Maria Xynou y Chris Walker Why we still recommend Signal over WhatsApp23demayode2016httpssecurityinaboxorgenblog2016-05-23why-we-still-recommend-signal-over-whatsapp-even-though-they-both-use-end-to-end-encryption

209 Patrick Howell OrsquoNeill Russian bill requires encryption backdoors in all messenger apps 20 de juniode2016httpwwwdailydotcomlayer8encryption-backdoor-russia-fsb

210 Jon Russell Tim Cook Says Apple Wonrsquot Create Universal iPhone Backdoor For FBI 17 de febrero de2016 httpstechcrunchcom20160217tim-cook-apple-wont-create-backdoor-to-unlock-san-bernardino-attackers-iphone Max Eddy What Itrsquos Like When The FBI Asks You To Backdoor Your Software8deenerode2014httpsecuritywatchpcmagcomsecurity319544-what-it-s-like-when-the-fbi-asks-you-to-backdoor-your-software

211 V Privacy International Ghosts in Your Machine Spooks Want Secret Access to Encrypted Messages29demayode2019httpsprivacyinternationalorgnews-analysis3002ghosts-your-machine-spooks-want-secret-access-encrypted-messages


los nombres informados de los otros miembros sus nuacutemeros de teleacutefono y los mensajes que han enviado212

bull las protecciones utilizadas en las aplicaciones de mensajeriacutea tambieacuten se han visto afectadas por fallas en SS7 los protocolos de telecomunicaciones subyacentes213 Estas fallas permiten que las personas suplanten un nuacutemero de teleacutefono creen una cuenta duplicada en una aplicacioacuten de mensajeriacutea y enviacuteen y reciban todos los mensajes destinados a este nuacutemero sin que el usuario tenga conocimiento de ello214

1124 FUNCIONALIDADES DE LAS APLICACIONES DE MENSAJERIacuteA RELACIONADAS CON LA PRIVACIDAD Y LA SEGURIDAD

Es conveniente buscar las siguientes funcionalidades al momento de elegir una aplicacioacuten de mensajeriacutea para intercambiar informacioacuten en situaciones humanitarias

11241 Anonimato permitido o ausencia del requisito de verificacioacuten de la identidad

Permitir que los usuarios se comuniquen en forma anoacutenima a traveacutes de una aplicacioacuten de mensajeriacutea protege su privacidad mientras que exigir nombres reales direcciones decorreoelectroacutenicoeidentidadesverificadasaumentaelriesgodequelosindividuossean vigilados o atacados Cuanta menos informacioacuten tenga que suministrar un usuario para poder utilizar una aplicacioacuten menos seraacute la informacioacuten sobre los usuarios a la que podraacuten acceder terceros

11242 No conservacioacuten del contenido de los mensajesLa privacidad de los usuarios se respeta mejor cuando los mensajes se enviacutean a un dispositivo y luego se borran de los servidores de la empresa de aplicaciones una vez leiacutedos Aplicaciones como Telegram WhatsApp Viber y Signal indican que no suelen almacenar mensajes como praacutectica de rutina y que los eliminan de sus servidores inmediatamente despueacutes de haberlos entregado al destinatario o a los destinatarios Sin embargo empresas como Skype conservan el contenido de los mensajes en sus servidores una vez que el usuario los leyoacute sin precisar el periacuteodo maacuteximo de tiempo tras el cual los datos seraacuten eliminados

212 V Wadhwa ldquoWhatsApp Public Groups Can Leave User Data Vulnerable to Scrapingrdquo VentureBeat 3 de abril de 2018 httpsventurebeatcom20180403whatsapp-public-groups-can-leave-user-data-vulnerable-to-scraping

213 La red telefoacutenica puacuteblica conmutada (PSTN por sus siglas en ingleacutes) es decir la suma de todas las redes telefoacutenicas conmutadas locales o regionales) utiliza un sistema de sentildealizacioacuten denominado ldquoSistema de sentildealizacioacuten no 7rdquo (ldquoSS7rdquo) El SS7 es tambieacuten la base de la telefoniacutea moacutevil utilizada para el enrutamiento de llamadas de SMS y de otrosserviciosmoacutevilesParamaacutesdetallesvCICRyPrivacyInternationalldquoSection5Telecommunications and messagingrdquo en The Humanitarian Metadata Problem ldquoDoing no harmrdquo in the digital era (octubre de 2018)

214 Vijay ldquoHow To Hack WhatsApp Using SS7 Flawrdquo TechWorm(blog)2dejuniode2016httpswwwTechwormnet201606how-to-hack-whatsapp-using-ss7-flawhtml John Leyden ldquoSS7 Spookery on the Cheap Allows Hackers to Impersonate Mobile Chat Subscribersrdquo The Register10demayode2016edicioacutenenliacuteneasecSecurity httpswwwtheregistercouk20160510ss7_mobile_chat_hack


11243 Cifrado de extremo a extremoEl cifrado de extremo a extremo limita la capacidad de terceros como Gobiernos o adversarios de interceptar las comunicaciones entre las organizaciones humanitarias ysusbeneficiariosydeverelcontenidodelosmensajesEnestecasoaunqueunaempresa conserve los datos de contenido estos estaraacuten cifrados y por ende no seraacuten legibles para la empresa o para los terceros que quieran acceder a ellos Asiacute el cifrado limita el tipo y la cantidad de datos legibles que las empresas de aplicaciones de mensajeriacutea pueden estar obligadas a divulgar Idealmente el cifrado deberiacutea utilizarse de manera predeterminada en todas las conversaciones individuales y colectivas Existen recursos en liacutenea que evaluacutean los niveles de seguridad de las aplicaciones215

11244 Propiedad de los datos Es indispensable que los usuarios de aplicaciones de mensajeriacutea sean considerados propietarioslegalesdesusdatospersonalmenteidentificablesasiacutecomodelcontenidode sus mensajes De esta manera las empresas de aplicaciones de mensajeriacutea no pueden utilizaresosdatosconfinescomercialesodeotrotiposinelconsentimientoexpliacutecitodel usuario Este aspecto es abordado por la legislacioacuten nacional de algunos paiacuteses y tambieacuten puede estar regido por las condiciones de las aplicaciones de mensajeriacutea

11245 No conservacioacuten o conservacioacuten miacutenima de metadatosCuantos menos metadatos conserven las empresas de aplicaciones de mensajeriacutea en sus servidores menos datos podraacuten estar obligadas a divulgar a los Gobiernos o vender confinescomercialesAplicacionesdemensajeriacuteacomoSignalyTelegramafirmanquenoconservanmetadatosdesususuarios(aunquelaafirmacioacutendeTelegramhasido rebatida216)mientras que lamayoriacutea de las aplicaciones analizadas afirmanque recopilan nuacutemeros de contactos registros de actividad en la aplicacioacuten y datos de localizacioacuten

11246 Coacutedigo abierto de la aplicacioacuten de mensajeriacuteaCuando una aplicacioacuten de mensajeriacutea es de coacutedigo abierto puede ser examinada por tercerosindependientesparaverificarquenopresentavulnerabilidadesanteamenazascontra la seguridad ni funciones de vigilancia ocultas como las puertas traseras Idealmente una aplicacioacuten deberiacutea publicar todo su coacutedigo fuente Signal y Wire son enteramente de coacutedigo abierto mientras que aplicaciones como Telegram y Threema solo publican parte de su coacutedigo217

215 ElectronicFrontierFoundationSecureMessagingScorecard httpswwwefforgpagessecure-messaging-scorecard

216 Jeremy Seth Davis Telegram metadata allows for lsquostalking anyonersquo 30 dejuliode2015httpswwwscmagazinecomhomesecurity-newstelegram-metadata-allows-for-stalking-anyone

217 Para maacutes informacioacuten sobre este tema v Lorenzo Franceschi-Bicchierai Wickr Can the Snapchat for Grown-Ups Save You From Spies4demarzode2013 httpmashablecom20130304wickr3EwysDKZ5kqh


11247 Examen minucioso por parte de la empresa de las solicitudes de divulgacioacuten que realizan las fuerzas del orden

Es fundamental que la empresa de aplicaciones de mensajeriacutea controle rigurosamente las solicitudes de datos que realizan las fuerzas del orden y que respondan a ellas con moderacioacuten Idealmente las empresas deberiacutean suministrar informacioacuten de su propia conducta en este sentido mediante la publicacioacuten perioacutedica de informes de transparencia actualizados en los que brinde detalles sobre las solicitudes recibidas las jurisdicciones de origen y el tipo de informacioacuten suministrada Al momento de la redaccioacuten del presente manual Microsoft218 y Facebook219 publican regularmente informes de transparencia en los que indican el nuacutemero de solicitudes recibidas y el volumen de datos transferidos a los organismos encargados de hacer cumplir la ley mientras que la empresa Open Whisper Systems (el desarrollador de Signal) publica una descripcioacuten maacutes precisa de las pocas solicitudes que recibe220

Asimismo es importante determinar si una entidad que ofrece una aplicacioacuten de mensajeriacutea estaacute situada en un paiacutes donde el Gobierno tiene un gran poder de vigilancia o antecedentes de infringir las restricciones legales que enmarcan la vigilancia221

11248 Intercambio limitado de datos personales con tercerosSi bien las aplicaciones de mensajeriacutea necesitan intercambiar ciertos datos con terceros (por lo general quienes desempentildean una funcioacuten teacutecnica en el tratamiento de datos) para facilitar la prestacioacuten de sus servicios resulta primordial que las empresas no intercambien datos personales y que cuando sea estrictamente necesario solo intercambiendatosmiacutenimos quehayan sido desidentificados Las organizacionesdeben elegir una aplicacioacuten de mensajeriacutea que no intercambie ninguacuten tipo de dato con terceros que no sean los estrictamente necesarios para el funcionamiento teacutecnico del servicioAsimismodebenexigirunaconfirmacioacutenexpliacutecitadeelloporpartedelasempresas antes de proseguir

11249 Restriccioacuten de acceso a traveacutes del sistema operativo del softwaresoftware o de parches de seguridad del dispositivo

Las versiones maacutes recientes de los sistemas operativos de teleacutefonos moacuteviles incluyen funciones de seguridad adicionales que por ejemplo impiden que las aplicaciones accedan a datos almacenados en alguacuten otro lugar del dispositivo Asimismo los usuarios pueden optar por otorgar permisos individuales o bien habilitar el cifrado de todo el dispositivo Sin embargo es probable que estos dispositivos y sistemas operativos maacutes modernos no esteacuten disponibles en las zonas en las que las organizaciones humanitarias

218 MicrosoftLawEnforcementRequestsReporthttpswwwmicrosoftcomen-uscorporate-responsibilitylaw-enforcement-requests-report

219 FacebookGovernmentRequeststoFacebookhttpsgovtrequestsfacebookcomabout 220 OpenWhisperSystemsGovernmentRequestshttpswhispersystemsorgbigbrother221 Algunasfuentesinteresantespararealizarinvestigacionescomplementariasson

httpswwwdigcitorg httpsprivacyinternationalorgadvocacy httpsadvoxglobalvoicesorg y httpswwwefforgdeeplinks


trabajan Esto significa que terceros no autorizados podriacutean acceder a los datosintercambiados asiacute como a los metadatos generados a traveacutes del uso de aplicaciones de mensajeriacutea por los diversos medios antes mencionados (seccioacuten 1123)222

1125 PROCESAMIENTO DE DATOS PERSONALES RECOGIDOS A TRAVEacuteS DE LAS APLICACIONES DE MENSAJERIacuteA MOacuteVIL

Una vez que los beneficiarios entran en comunicacioacuten con las organizacioneshumanitarias a traveacutes de aplicaciones de mensajeriacutea moacutevil las organizaciones humanitarias necesitan recopilar muy probablemente almacenar en otras plataformas agregar y analizar la informacioacuten suministrada

Es indispensable que ese tratamiento respete tambieacuten los principios relativos a la proteccioacuten de datos que se enumeran en la primera parte de este manual A continuacioacuten se analizan algunos principios propios de la recopilacioacuten de datos a traveacutes de aplicaciones de mensajeriacutea moacutevil

En situaciones de accioacuten humanitaria la comunicacioacuten con las comunidades siempre implicaabordarunconjuntodepreguntascomplejasporejemplo

bull iquestLos individuos necesitan otorgar a la organizacioacuten humanitaria la ldquoautorizacioacutenrdquo para antildeadir sus datos a un grupo o canal

bull iquestCoacutemo puede un individuo optar por no recibir el contenido iquestEsta posibilidad se le explica claramente desde el principio

bull iquestDe queacute manera se puede informar a las personas sobre los terceros con quienes se intercambian sus datos personales

bull Si las solicitudes de apoyo que no incumben al cometido de la organizacioacuten humanitaria se intercambian con otra organizacioacuten humanitaria iquestlos protocolos deintercambiodedatosestaacutenclaramentedefinidos

bull iquestCoacutemo saben las personas durante cuaacutento tiempo se conservaraacuten sus datos y con queacutefines

bull iquestDe queacute manera se pueden comunicar todas estas cuestiones en forma sencilla de modo que incluso las personas que no esteacuten familiarizadas con la tecnologiacutea puedan comprenderlas

El trabajo con aplicaciones de mensajeriacutea antildeade un nivel de complejidad a todas estas cuestiones

Las organizaciones humanitarias deberiacutean incluir en sus EIPD detalles de los diversos protocolos asiacute como el grado de proteccioacuten que cada uno ofrece para los contenidos y los metadatosEstolespermitiraacuteevaluarcuaacuteleslamejoropcioacutenparaunfindeterminado(es decir intercambiar informacioacuten sensible) y tambieacuten en queacute contexto se los utilizaraacute (esdecirjuriacutedicosypoliacuteticos)asiacutecomoelperfildelosbeneficiarios

222 CICRyPrivacyInternationalldquoChapter43OthermetadatardquoenThe Humanitarian Metadata Problem Doing No Harm in the Digital Era octubre de 2018 paacutegs 61-62



Las organizaciones humanitarias pueden tratar datos personales recogidos por medio de aplicaciones de mensajeriacutea moacutevil sobre las siguientes bases legiacutetimas223







En la mayoriacutea de los casos el tratamiento de datos personales recogidos por medio de aplicaciones de mensajeriacutea moacutevil puede basarse en el consentimiento el intereacutes vital o el intereacutes puacuteblico Si los individuos ya se han comunicado con una organizacioacuten humanitaria por medio de una aplicacioacuten de mensajeriacutea o si les han brindado su nuacutemero telefoacutenico puede considerarse que han prestado su consentimiento para recibir mensajes Sin embargo el consentimiento debe ser informado y es fundamental que las organizaciones humanitarias suministren la informacioacuten pertinente respecto de porejemplolosfineslaconservacioacutenoelintercambiodelosdatosrecopiladoscomose explica en la seccioacuten correspondiente de este manual224

Si no se utiliza el consentimiento puede considerarse que los mensajes relacionados con las emergencias humanitarias atantildeen al intereacutes vital de los titulares de los datos o al intereacutes puacuteblico Estas bases legiacutetimas tambieacuten exigen que los individuos sean informados por ejemplo enviaacutendoles un enlace a la nota informativa pertinente en un mensaje a traveacutes de la aplicacioacuten de mensajeriacutea moacutevil

114 CONSERVACIOacuteN DE LOS DATOSLas organizaciones humanitarias deben precisar en sus notas informativas y en sus poliacuteticas de proteccioacuten de datos el periacuteodo durante el cual preveacuten conservar los datos

Algunos de los datos ingresados en la mayoriacutea de las aplicaciones de mensajeriacutea son conservados y almacenados por terceros (empresas de aplicaciones de mensajeriacutea) que a la vez intercambian parte de esos datos con otros terceros ndashsean proveedores de servicios que permiten el funcionamiento de la aplicacioacuten o empresas matrices (como en el caso de Facebook y WhatsApp) Por lo tanto la organizacioacuten humanitaria debe aclarar en su nota informativa que los datos suministrados a traveacutes de la aplicacioacuten

223 V Capiacutetulo 3 ldquoBases legiacutetimas para el tratamiento de datos personalesrdquo224 V Capiacutetulo 2 ldquoPrincipios baacutesicos relativos a la proteccioacuten de datosrdquo


tambieacuten seraacuten conservados por el proveedor de la aplicacioacuten y por terceros bajo la responsabilidad del proveedor y regidos por sus poliacuteticas de proteccioacuten de datos

Las organizaciones humanitarias tambieacuten deben intentar contar con una poliacutetica de conservacioacuten relativa a los intercambios de informacioacuten o a las ldquoconversacionesrdquo (chats)yeliminarperioacutedicamenteelhistorialdeconversacionesafindegarantizarlaminimizacioacuten de los datos

115 DERECHOS DE RECTIFICACIOacuteN Y DE ELIMINACIOacuteN DEL TITULAR DE LOS DATOS

Conforme a la primera parte de este manual las organizaciones humanitarias deben prever en sus poliacuteticas de proteccioacuten de datos mecanismos que faciliten el ejercicio efectivo de los derechos de los titulares de los datos y que estos sean informados sobre el tema

Si bien esta obligacioacuten puede no ser problemaacutetica respecto de los datos extraiacutedos de las aplicaciones de mensajeriacutea por parte de las organizaciones humanitarias podriacutea resultardifiacutecilafirmarconcertezaqueestasaplicacionespermitenalosusuariosdestruir o eliminar los datos ya enviados dado que ello implicariacutea negociaciones con diversas partes (de las cuales no todas son transparentes acerca de los datos que conservan) Se recomienda que este aspecto tambieacuten sea aclarado en la poliacutetica de proteccioacuten de datos

116 MINIMIZACIOacuteN DE LOS DATOSDado el poco control que las organizaciones humanitarias tienen de los datos recopilados por las aplicaciones de mensajeriacutea moacutevil las organizaciones que deseen utilizar aplicaciones de mensajeriacutea deben intentar minimizar la cantidad de informacioacuten que les es enviada Algunos trabajos de investigacioacuten acadeacutemica centrados en Estados Unidos tambieacuten han constatado que en general los usuarios no conocen las consecuencias para la privacidad que conllevan la instalacioacuten a aplicaciones de mensajeriacutea y el intercambio de datos a traveacutes de ellas225 Por lo tanto se sugiere a las organizaciones humanitarias que alienten a las personas afectadas por una crisis a intercambiar los datos personales que sean estrictamente necesarios para el suministro de ayuda humanitaria

225 Kelley P G Consolvo S Cranor L F Jung J Sadeh N Wetherall D (2012) A Conundrum of Permissions Installing Applications on an Android SmartphoneenBlythJDietrichSCamp L J (eds) Financial Cryptography and Data Security FC 2012 Lecture Notes in ComputerSciencevol7398SpringerBerlinHeidelberghttpdxdoiorg1010072F978-3-642-34638-5_6


EJEMPLO

En viacutesperas de las elecciones municipales en Sudaacutefrica en agosto de 2016 la organizacioacutensinfinesdelucroAfricarsquos Voices Foundation se asocioacute con Livity Africa para evaluar el impacto de Voting is Power una campantildea para alentar a los joacutevenes a votar y a dar a conocer las cuestiones que ellos consideran importantes226

Para ello estas dos organizaciones utilizaron encuestas en liacutenea de joacutevenes (realizadas por correo electroacutenico WhatsApp y Facebook Messenger) y publicaciones en las redes sociales Se optoacute por elegir los canales WhatsApp y Messenger debido a su popularidad entre los joacutevenes (se contactaron 476 personas a traveacutes de Facebook Messenger y 46 a traveacutes de WhatsApp) Africarsquos Voices Foundation estimoacute que la utilizacioacuten de grupos de WhatsApp fomentoacute las conversaciones que luego arrojariacutean informacioacuten particularmente uacutetil La responsable del departamento de Impacto y Comunicaciones Rainbow Wilcox sentildealoacute que ldquolos datos que pueden recopilarse [a traveacutes de WhatsApp] son valiosos auteacutenticos y aportan una perspectiva de las creencias y los comportamientos socioculturalesrdquo

Sin embargo la organizacioacuten teme que la utilizacioacuten de Facebook Messenger y WhatsApp pueda afectar la privacidad ldquoNosotros hemos solicitado un consentimiento informado y almacenado los datos en forma segura pero nos resulta imposible controlarlamaneraenqueesosdatosseutilizaraacutenendichasplataformasrdquoafirmoacuteClaudia Abreu Lopes directora del departamento de Investigaciones e Innovacioacuten ldquoFue problemaacutetico porque solicitamos informacioacuten personal como votaciones y datos demograacuteficosHemosdecididonorepetiresteproyectosilosriesgosparalaprivacidadno quedan bien claros desde el principiordquo

Como se sugirioacute anteriormente se recomienda que las organizaciones humanitarias tambieacuten intenten contar con poliacuteticas claras que prevean la eliminacioacuten perioacutedica de las conversaciones una vez que se hayan extraiacutedo los datos necesarios

117 LIMITACIOacuteN DEL PROPOacuteSITO Y TRATAMIENTO ULTERIOR

En la mayoriacutea de los casos los datos recogidos por medio de aplicaciones de mensajeriacutea moacutevil seraacuten extraiacutedos y analizados por las organizaciones humanitarias en otras plataformas En el marco de sus poliacuteticas de proteccioacuten de datos que deben ser comunicadas a los titulares de los datos las organizaciones humanitarias deben indicar claramentelosfinesdeltratamiento

226 Africarsquos VoicesestudiodecasoLivity South Africa httpwwwafricasvoicesorgcase-studieslivity-south-africa


Ellopodriacutearesultarparticularmentedifiacutecilsisetieneencuentalaflexibilidaddeusoy la inmediatez de las comunicaciones que ofrecen estas soluciones dado que es probable que un titular de datos plantee numerosas cuestiones en el transcurso de una conversacioacuten y cada cuestioacuten requeriraacute una o maacutes medidas de seguimiento Habida cuentadeloanteriorydelacompatibilidaddelosfineshumanitariosunafinalidadgeneraldeasistenciayproteccioacutenhumanitariasdeberiacuteasersuficiente

Tambieacuten en este caso dado que el tratamiento a traveacutes de aplicaciones de mensajeriacutea moacutevil escapa el control de las organizaciones humanitarias ellas deben mencionar en su poliacutetica de proteccioacuten de datos que conforme a dicha poliacutetica esas aplicaciones puedentratarlosdatosconotrosfines

118 GESTIOacuteN ANAacuteLISIS Y VERIFICACIOacuteN DE LOS DATOSEs difiacutecil aprovechar los datos tratados a traveacutes aplicaciones de mensajeriacutea en la accioacuten humanitaria En la actualidad son maacutes las personas que pueden recoger e intercambiar un volumen mayor de datos con las organizaciones pero estas deben asegurarse de podergestionaranalizaryverificarlosdatosrecogidos

Lacreacioacutendeunflujode trabajoquepermitagestionaryanalizar la informacioacutenrecibidapuedeplantearalgunasdificultadesNoexisteningunainteroperabilidadentrelos sistemas utilizados por las aplicaciones de mensajeriacutea y los sistemas de gestioacuten de la informacioacuten o las bases de datos existentes Con lo cual para las organizaciones humanitarias la transcripcioacuten manual de los mensajes individuales en las hojas de caacutelculo suele ser la uacutenica manera de analizar los datos que permite tomar decisiones eficazmente

LaverificacioacutendelainformacioacutenrecibidaatraveacutesdelasaplicacionesdemensajeriacuteatambieacutenplanteadificultadesSibienesunproblemaquesurgeenvarioscanalesdecomunicacioacuten en liacutenea227enelcasodelasaplicacionesdemensajeriacutealaverificacioacutende los contenidos es maacutes complicada debido a la velocidad con la que puede enviarse la informacioacuten asiacute como el volumen de mensajes y los tipos de datos que pueden enviarse Los medios periodiacutesticos y los defensores de los derechos humanos han intentado superar estos desafiacuteos trabajando en conjunto para generar recursos y orientaciones sobre el tema algunos de los cuales pueden ser de utilidad para las organizaciones humanitarias228

227 The Engine Room Verification of social media The case of UNHCR on Twitter httpsresponsibledataioreflection-storiessocial-media-verification

228 V por ejemplo Craig Silverman (ed) The Verification Handbook European Journalism Centre httpverificationhandbookcomautoresvariosDatNavNew Guide to navigate and integrate digital data in human rights research The Engine Room Benetech y Amnistiacutea Internacional 2016 httpswwwtheengineroomorgdatnav-digital-data-in-human-rights-research First Draft News Partner Network httpsfirstdraftnewsorgabout


Las organizaciones humanitarias efectuacutean un tratamiento ulterior cuando los datos personales recogidos a traveacutes de aplicaciones de mensajeriacutea son gestionados analizados overificadosEnconsecuencialasorganizacioneshumanitariasdebenasegurarsedeque las operaciones de tratamiento ulterior de datos personales sean compatibles con el propoacutesito para el que se recogieron inicialmente los datos

119 PROTECCIOacuteN DE DATOS DESDE EL DISENtildeOSi las organizaciones humanitarias tienen la intencioacuten de desarrollar una aplicacioacuten de mensajeriacutea deben prever la implementacioacuten de los principios relativos a la proteccioacuten de datos desde el disentildeo lo que exige disentildear sistemas y servicios que respeten la privacidad tanto para las soluciones teacutecnicas como para las medidas organizativas En la praacutectica una evaluacioacuten de impacto relativa a la proteccioacuten de datos (EIPD) permite una implementacioacuten concreta de estos principios La arquitectura cliente-servidor utilizada para almacenar datos tambieacuten debe ser respetada desde el comienzo por los principios relativos a la proteccioacuten de datos

Al tomar la decisioacuten de desarrollar su propia aplicacioacuten o plataforma las organizaciones humanitarias deben tener en cuenta algunas cuestiones En primer lugar es probable que lesresultedifiacutecilpromoverelusodelaaplicacioacutenentrelosbeneficiariosdelaorganizacioacutenEn segundo lugar el mantenimiento y la seguridad de la aplicacioacuten implican costos permanentes Una vez desarrollado y a medida que surgen nuevas vulnerabilidades todo software necesita actualizaciones perioacutedicas La organizacioacuten humanitaria deberaacute evaluar si cuenta internamente con las aptitudes la experiencia y los conocimientos que se necesitan para desarrollar y mantener este tipo de aplicacioacuten o plataforma229

1110 INTERCAMBIO INTERNACIONAL DE DATOSAsimismo es importante tener en cuenta que algunos servicios se entrecruzan y que es probable que haya superposiciones en cuanto a las entidades y los sistemas operativos utilizadosEnlapraacutecticaestosignificaquelasactividadesdetratamientodedatosde las redes utilizadas por las redes sociales y de las aplicaciones de mensajeriacutea no se deben (y no se pueden) considerar como elementos separados Con frecuencia dichas aplicaciones estaacuten vinculadas a las redes utilizadas por las redes sociales (por ejemplo Facebook Messenger) directamente o bien de manera indirecta porque pertenecen al mismo grupo empresario (por ejemplo WhatsApp pertenece a Facebook) En este caso esprobablequelosserviciosintercambiendatosparadiversosfines230

229 CICRyPrivacyInternationalldquoChapter54Outsourcingcontractingandusingthirdpartiesrdquo en The Humanitarian Metadata Problem Doing No Harm in the Digital Era (octubre de 2018)

230 CICRyPrivacyInternationalldquoSection41Messagingappsandsocialmediardquoen The Humanitarian Metadata Problem ldquoDoing no harmrdquo in the digital era (octubre de 2018)

FACILITAR LA DISTRIBUCIOacuteN DE AYUDA

CONTINUIDAD DE LA ATENCIOacuteN

USO EN DISTINTOS SECTORES

IDENTIDAD DIGITAL

CONJUNTO DE ATRIBUTOS DE IDENTIDAD CAPTURADOS EN FORMA ELECTROacuteNICA

DIFERENTES SOLUCIONES DE IDENTIDAD DIGITAL

USO POSIBLE

DIFICULTADESRIESGO DE DANtildeO

BASE LEGIacuteTIMA

PROTECCIOacuteN DE LOS DATOS

DEFINICIOacuteN DE OBJETIVOS FINES Y PARTES INTERESADAS

CAPIacuteTULO 12

IDENTIDAD DIGITAL 231

231 Los editores desean expresar su agradecimiento a Aiden Slavin (ID2020) a Giulio Coppi (Consejo Noruego para los Refugiados) al Dr Tom Fisher (Privacy International) y a Robert Riemann (Supervisor Europeo de Proteccioacuten de Datos) por sus aportes a este capiacutetulo


121 INTRODUCCIOacuteNCada ser humano tiene una identidad El derecho a la identidad es indiscutible y estaacute reconocido en declaraciones y convenios internacionales232 Sin embargo no todos los seres humanos tienen forma de demostrar su identidad cuando todas las personas deberiacutean poder demostrar su identidad a traveacutes de una herramienta233 La forma que deberiacutea adoptar esta herramienta es tema de debate Maacutes allaacute de cuaacutel sea ndashdocumento tarjeta token aplicacioacuten moacutevil u otrandash es necesario generarla y administrarla Los cometidos de las organizaciones humanitarias son los que dan marco a sus acciones Como veremos en este capiacutetulo esto resulta particularmente pertinente en el caso de la identidad digital

En la mayoriacutea de los casos las organizaciones humanitarias necesitan recurrir a sistemasdegestioacutendelaidentidadafindefacilitarsusobjetivosprogramaacuteticos(porejemplounsistemadegestioacutendebeneficiariosdestinadoagarantizarquelaayudallegue al destinatario o a los destinatarios previstos234 Algunas organizaciones han participado en iniciativas para desarrollar sistemas de este tipo que no se limiten a respaldar un objetivo programaacutetico y que en la praacutectica brinden identidad juriacutedica235 (enocasionesdeformadigital)aquienescarecendedocumentosdeidentificacioacutenyque por ese motivo pueden tornarse ldquoinvisibles y olvidados y quedar rezagadosrdquo236 Noobstantelaherramientadeidentificacioacutendisentildeadayaplicadainicialmentepararespaldar objetivos programaacuteticos a veces muta con el tiempo hacia un uso maacutes amplio (demostrar la identidad juriacutedica de una persona por ejemplo)

Con estas consideraciones el presente capiacutetulo analiza desde el punto de vista de la proteccioacuten de datos las implicancias que la creacioacuten de un sistema de gestioacuten de identidad digitaltieneparalosbeneficiariosEneacutelsetratanentreotrascuestionesdequeacutemaneralas organizaciones humanitarias recopilan y almacenan datos en este sistema y coacutemo tratanlainformacioacutensobrelosparticipanteslosusuariosolosbeneficiarios

232 V por ejemplo Declaracioacuten Universal de Derechos Humanos art 6 Convencioacuten sobre los Derechos del Nintildeo art 7

233 VObjetivodedesarrollosostenible(ODS)169ldquoPara2030proporcionaraccesoaunaidentidadjuriacutedicaparatodosenparticularmedianteelregistrodenacimientosrdquo httpssustainabledevelopmentunorgsdg16

234 USAID Identity in a Digital Age Infrastructure for Inclusive DevelopmentUSAID2017paacuteg1 httpswwwusaidgovsitesdefaultfilesdocuments15396IDENTITY_IN_A_DIGITAL_AGEpdf

235 AlolargodelpresentecapiacutetuloseutilizaladefinicioacutenoperacionaldelasNacionesUnidasdelaexpresioacutenldquoidentidadjuriacutedicardquoldquoLaidentidadjuriacutedicasedefinecomolascaracteriacutesticasbaacutesicas que conforman la identidad del individuo por ejemplo el nombre el sexo y el lugar y fecha de nacimiento y se concede cuando se inscribe el nacimiento y la autoridad competentedelregistrocivilexpideelcertificadocorrespondienteEncasodenoregistrarelnacimientounaautoridaddeidentificacioacutenlegalmentereconocidapodraacuteconcederlaidentidad juriacutedica este sistema deberaacute vincularse al sistema de registro civil para aplicar un enfoque integral a la identidad juriacutedica desde el nacimiento hasta la muerte Al registrarse el fallecimiento de una persona la entidad encargada del registro civil procede a retirar suidentidadjuriacutedicaexpidiendoelcorrespondientecertificadodedefuncioacutenEnelcasodelos refugiados los Estados miembros son los principales responsables por la emisioacuten del certificadodeidentidadjuriacutedicaperoestatambieacutenpuedeestaracargodeunaautoridadque goce de reconocimiento internacional y a la que se le haya encomendado dicha tareardquo AgendadeidentidadjuriacutedicadelaONUhttpsunstatsunorglegal-identity-agenda

236 USAID 2017 paacuteg 1


Teacutermino Objetivos Caracteriacutesticas tiacutepicas

Ejemplos

Identidad funcional

Permite que un servicio (una funcioacuten) especiacutefico autentique a los participantes

Contextual duplicacioacuten de informacioacuten

Cada individuo puede tener muacuteltiples identidades funcionales que pueden ser transnacionales por ejemplo la identificacioacuten de un estudiante de un votante o de un programa de distribucioacuten de alimentos

Identidad fundacional (identidad juriacutedica)

Brinda una identidad juriacutedica a una poblacioacuten amplia como un bien comuacuten sin especificar un servicio en particular Permite que los individuos demuestren quieacutenes son A quien expide esa identidad se lo considera una fuente de identidad de confianza (en ocasiones denominada ldquofuente de identidad autorizadardquo)

Genera una identidad juriacutedica que otros pueden usar como referencia Dentro de su alcance cada persona solo puede tener una identidad no obstante la misma persona puede tener varias identidades juriacutedicas (por ejemplo pasaportes emitidos por distintos paiacuteses)

Por lo general es de origen gubernamental y abarca a toda la poblacioacuten de un paiacutes237 algunos ejemplos son el nuacutemero de la seguridad social una partida de nacimiento o un nuacutemero Aadhaar (un nuacutemero de 12 diacutegitos que en la India constituye la identificacioacuten uacutenica de las personas en funcioacuten de sus datos biomeacutetricos y demograacuteficos)

Identidad conceptual(identidad personal)238

La identidad conceptual define la identidad de un individuo en relacioacuten con otros dentro de una estructura societaria dada lo que determina queacute percepcioacuten tiene de siacute misma esa persona y coacutemo la percibe la sociedad que la rodea

Es intangible y variable y estaacute muy influida por la percepcioacuten personal y la de la sociedad

Define atributos (como la pertenencia a una etnia la orientacioacuten sexual religiosa o poliacutetica) en funcioacuten de los cuales los individuos se definen y son definidos por otros dentro de su sociedad

Paracomenzarcabedestacarquenoexisteunadefinicioacutendeldquoidentidaddigitalrdquoquehaya sido aceptada universalmente si bien se puede coincidir en que en teacuterminos generales las identidades digitales consisten en ldquoun conjunto de atributos de identidad capturados y almacenados en forma electroacutenica que describen en forma uacutenica a una persona en un contexto dado y que se utilizan para realizar transacciones electroacutenicasrdquo239 Sin embargo y dado que se trata de un concepto con muacuteltiples facetas la identidad digital puede relacionarse con otros conceptos importantes comolaidentificacioacutenlaidentidadfuncionallaidentidadfundacionalylaidentidadpersonal240 Dado que estas expresiones se emplean a lo largo de este capiacutetulo en la tablaprecedenteseofreceunaexplicacioacutensimplificadadecadaunadeellas

237 USAID 2017 paacuteg 12238 En este capiacutetulo no se trataraacute la identidad conceptual ya que no es posible incluirla en un

sistema de identidad 239 World Bank Group GSMA y Secure Identity Alliance Digital Identity Towards Shared Principles

for Public and Private Sector Cooperation World Bank Group GSMA and Secure Identity Alliance2016paacuteg11httpswwwgsmacommobilefordevelopmentresourcesdigital-identity-towards-shared-principles-public-private-sector-cooperation

240 JDonnerldquoThedifferencebetweendigitalidentityidentificationandIDCaribouDigitalrsquosstyleguidefortalkingaboutidentityinadigitalagerdquo19dediciembrede2018httpsmediumcomcaribou-digitalthe-difference-between-digital-identity-identification-and-id-41580bbb7563


Dadas estas distintas clases de identidad es importante que las organizaciones humanitariasdejenenclarodesdeuncomienzosiloquerequierendelosbeneficiariosesuna identidad funcional o fundacional ya que esta eleccioacuten incide en el disentildeo del sistema de identidad y en los procesos de gestioacuten asociados (por ejemplo la colaboracioacuten con un tercero los viacutenculos con otros sistemas existentes etc) Con frecuencia las decisiones respecto del sistema de identidad se guiaraacuten por limitaciones de naturaleza juriacutedica

1211 AUTENTICACIOacuteN IDENTIFICACIOacuteN Y VERIFICACIOacuteN iquestQUIEacuteN ES USTED Y COacuteMO PUEDE DEMOSTRARLO

Las organizaciones humanitarias no siempre necesitan conocer la identidad juriacutedica de una persona Por ejemplo cuando el objetivo de la interaccioacuten es brindar asistencia Enconsecuenciaantesdedesarrollarunsistemadeidentidaddigitalsedebedefinirqueacuteinformacioacutensenecesitadelosbeneficiariosparaunprogramahumanitarioenparticular En este punto es importante hacer una distincioacuten entre autenticacioacuten identificacioacutenyverificacioacuten

LaidentificacioacutenrespondealapreguntaldquoiquestquieacutenesustedrdquoPeroalestablecerunsistema de gestioacuten de la identidad las organizaciones deben comenzar con una preguntadiferenteasaberldquoiquestqueacutenecesitosaberdeesapersonaparabrindarleayudao proteccioacutenrdquo En algunos casos conocer a la persona puede ser importante Por ejemploalreuniramenoresnoacompantildeadosconsuspadresescriacuteticoverificarquelos presuntos padres sean quienes argumentan ser Sin embargo y con frecuencia (posiblemente en la mayoriacutea de los casos) basta con saber que la persona tiene derecho a acceder a un servicio porque reuacutene determinado criterio o tiene una serie de atributos en particular (por ejemplo puede demostrar que tiene menos de 12 antildeos de edad para recibir una vacuna en particular) Esto tambieacuten se conoce como autenticacioacuten es decir tener la posibilidad de demostrar que uno es quien dice ser

Incluso cuando solo necesiten autenticacioacuten las organizaciones humanitarias deberiacutean llevaracabounprocesodeverificacioacutenalinscribirabeneficiariosenelsistemadegestioacutendelaidentidadLaverificacioacutenesportantoelactodecontrolarlaidentificacioacutendeunapersona(porejemploconfirmarsunombreosudocumentodeidentidad)oalgunosdesusatributosdeidentidad(comoconfirmarconelliacutederdelacomunidadque la persona es miembro de la comunidad que recibiraacute ayuda) Cuando se utiliza un sistema de autenticacioacuten sencillo para garantizar que la ayuda llegue a los individuos afectadoslaverificacioacutenalmomentodesuregistrocontribuyeacomprobarquequienesteniacutean derecho a recibirla eran las personas que estaban registradas Cabe destacar no obstantequealgunosserviciosdeayudaquizaacutesnonecesitenverificacioacutenPorejemplocuando una organizacioacuten humanitaria publica informacioacuten en una plataforma en liacutenea en la que cualquiera puede inscribirse

Cuandolasorganizacioneshumanitarias inscribenyregistranabeneficiariosseraacutenecesario recabar algunos datos sobre ellos los cuales se almacenaraacuten en el sistema


de gestioacuten de la identidad Como quedaraacute claro a continuacioacuten la decisioacuten sobre queacute atributossedebenconsignaryparaqueacutefinofinesesclaveparalaproteccioacutendedatosEnparticular solo se deberiacutean recopilar los atributos necesarios para cumplir el propoacutesito de la actividad (apoyar la entrega de ayuda por ejemplo) A modo de ilustracioacuten en la mayoriacutea de los casos es probable que una organizacioacuten no necesite guardar una copia deundocumentodeidentidadparadejarconstanciadequeseverificoacutequeunapersonaregistradaeramenordeedadUnavezinscriptoelbeneficiarioprobablementerecibaalguacutentipoderegistrodesuidentidad(porejemplouncertificadounatarjetauncoacutedigopinouncertificadodigital)alquepodraacuteaccederygestionardesdeundispositivomoacutevilNohacefaltaunaverificacioacutenadicionalenellugardeentregadadoqueelbeneficiarioya cuenta con el elemento que demuestra que tiene acceso al servicio en cuestioacuten

1212 IDENTIDAD DIGITALLa identidad digital es un conjunto de atributos almacenados en forma digital que describen de manera uacutenica a una persona en un contexto dado (v las clases de identidades descriptas previamente identidad funcional identidad fundacional eidentidad conceptual) En algunos casos es probable que las personas tengan maacutes de una identidad y potencialmente cientos de identidades digitales cada una de las cualessirvecomoidentidadfuncionalEstetipodesistemapermitiriacuteaalosbeneficiariosacceder a servicios asistencia o proteccioacuten de manera similar a lo que permite un modelo de acceso mediante nombre de usuario y contrasentildea o un sistema de token sin tener que demostrar su identidad juriacutedica

En otros casos en cambio las organizaciones quizaacute necesiten diferenciar a un individuo de otro con un alto grado de certeza y probablemente cuenten con solo una identidad digital para cada persona En estas situaciones el sistema de identidad deberiacutea permitir que la identidad digital esteacute vinculada a una persona fiacutesica El objetivo es facilitar la diferenciacioacuten entre individuos por ejemplo cuando la organizacioacuten brinda ayuda personalizada (por ejemplo asistencia de salud) Sin embargo incluso cuando se necesita esta vinculacioacuten la organizacioacuten podriacutea no tener la necesidad de solicitar a los beneficiariosquepresentenestosdocumentosdeidentidadjuriacutedicaPorejemploquizaacutespuedaninscribirsesoloconsunombresinnecesidaddeconfirmarqueelnombrequetienen coincide con su identidad juriacutedica (por ejemplo mediante el cotejo con su partida de nacimiento u otro documento de identidad)

Por uacuteltimo puede haber casos en los que la organizacioacuten humanitaria necesita contar conunsistemaquetambieacutenlepermitadeterminaryverificarlaidentidadjuriacutedicadelindividuo Este caso es muy similar al anterior salvo por el hecho de que se necesitaraacute undocumentodeidentidadjuriacutedicaparaidentificarformalmentealapersonaencuestioacuten


En resumen los siguientes son los pasos principales que una organizacioacuten humanitaria deberiacuteaseguiralestablecerunsistemadegestioacutendeidentidaddigital

bull En primer lugar la organizacioacuten decide queacute necesita saber sobre las personas afectadasparaasiacutepoderimplementarunprogramahumanitarioespeciacuteficoEstodeterminaraacutesiserequiereidentificacioacutenonoosibastaconlaautenticacioacutenDesde el punto de vista de la proteccioacuten de datos siempre que sea posible se deberiacutea optar por esta uacuteltima alternativa

bull En segundo lugar y a partir de las necesidades del programa la organizacioacuten determina si necesita una identidad funcional o fundacional sin olvidar que solo unas pocas organizaciones humanitarias tienen el cometido de establecer o gestionaridentidadesfundacionalesyentalcasosoloparafinesespeciacuteficos

bull Entercerlugarlaorganizacioacutendisentildeaunprocesodeverificacioacutenparahaceruncontrol cruzado de la informacioacuten que se suministroacute en la etapa de inscripcioacuten Seguacuten el sistema de identidad elegido es probable que no implique ninguacuten traacutemite en particular o bien que requiera cierto proceso de diligencia debida o alternativamente un documento juriacutedico autorizado La organizacioacuten deberiacutea determinar si necesita o no conservarlainformacioacutenqueevaluoacuteenlafasedeverificacioacuten

1213 DISENtildeO Y GESTIOacuteN DEL SISTEMAUna vez que la organizacioacuten humanitaria comprende sus objetivos (autenticacioacuten identificacioacutenyverificacioacuten)tienequedecidircoacutemosedisentildearaacuteelsistemadeidentidaddigitalparaquesirvaalosfinesprevistosycoacutemoseloadministraraacuteLaorganizacioacutenhumanitaria (u otro organismo) puede controlar el sistema de forma centralizada o bien compartir el control con muacuteltiples partes de forma descentralizada241 Algunas iniciativas actuales procuran dar a los individuos el control de sus propios sistemas de identidad para que puedan decidir quieacuten puede acceder a sus credenciales de identidad ycuaacutendoEnestesentidoellugardondeestaraacutenalojadoslosdatosavecesinfluyeen la estructura de gestioacuten Cuando muacuteltiples partes acceden al mismo sistema por ejemplo tiene que haber una plataforma compartida De igual modo cuando se hacen esfuerzos por ceder el control a los individuos es posible permitirles que almacenen sus credenciales en sus propios dispositivos o que utilicen a un proveedor de servicios de su eleccioacuten

El siguiente aacuterbol de decisiones resume las preguntas que las organizaciones humanitarias deberiacutean responder al momento de decidir si implementar o no un sistemadeidentidadasiacutecomolosfactoresquedeberiacuteantenerencuenta

241 La diferencia entre una arquitectura descentralizada y una distribuida y un sistema de identidad federada se describe en detalle en la bibliografiacutea Si bien es un aspecto importante excede al alcance de este capiacutetulo y por lo tanto no se lo trataraacute Para una descripcioacuten maacutes exhaustiva de la identidad descentralizada v Digital Identity Foundation (httpsidentityfoundation) World Wide Web Consortium (httpsw3c-ccggithubiodid-spec) y Foro Econoacutemico Mundial (httpwww3weforumorgdocsWEF_Trustworthy_Verification_of_Digital_Identities_2019pdf)


1 Tipo de sistema de identidad

bull iquestEs posible basarse solamente en la autenticacioacuten o es realmente necesario identificaralosbeneficiarios

bull iquestCuaacutel es el objetivo iquestGenerar una identidad funcional o una identidad fundacional(Notasoloalgunasorganizacionestienenelcometidodegeneraridentidad fundacional)

bull iquestEsnecesarioverificarlainformacioacutenalmomentodelainscripcioacutenEncasonegativoiquestesaceptableunsistemasinverificacioacutenSisenecesitalaverificacioacuteniquesthacefaltaundocumentodeidentidadjuriacutedicaformal(obastaconunelementodeverificacioacutenmaacutessencillo)iquestEsnecesarioconservarlainformacioacutenevaluadaduranteelprocesodeverificacioacuten

2 Opciones de disentildeo

bull iquestQueacute informacioacuten se deberiacutea almacenar iquestQuieacuten deberiacutea hacerlo iquestDoacutende

bull Cabedestacarqueelhechodeverificarunatributoenparticular(porejemplola nacionalidad para determinar si la persona reuacutene o no los requisitos para suinclusioacutenenunprogramahumanitario)nosignificaqueestainformacioacutendeba almacenarse en el sistema de identidad El sistema puede sencillamente confirmarqueunapersonatieneelatributonecesariosinnecesidaddemayores detalles

bull EnalgunoscasosesprobablequenisiquierasenecesitelaverificacioacutenPorejemplo en el caso de un servicio digital al que todos pueden acceder en el que es posible crear una cuenta libremente sin necesidad de revelar informacioacuten personal o cuando la mera presencia de un individuo en un lugar al que se enviacutea a personas desplazadas le da derecho a acceder a la asistencia (cuando se distribuyen tarjetas sin recabar informacioacuten por ejemplo)

bull iquestCoacutemo se controlaraacuten y trataraacuten los datos iquestQuieacuten necesita acceder a queacute informacioacutenenqueacutemomentoyparaqueacutefines

1214 IDENTIDAD DIGITAL EN EL SECTOR HUMANITARIO CASOS POSIBLES

Los cuatro casos que se describen a continuacioacuten ilustran la interaccioacuten entre los diversos sistemas de identidad digital en el sector humanitario

Caso 1 una organizacioacuten humanitaria expide una credencial de identidad (por ejemplo undocumentootarjetadeinscripcioacuten)aunbeneficiariodelaasistenciaregistradoEnestecasoelbeneficiariondashuntitulardelosdatosndashutilizariacuteaunaidentidadfuncionalque le permita recibir la ayuda Sin embargo en algunas situaciones este sistema de identificacioacutenseaceptariacuteacomopruebadequieacuteneselbeneficiarioenotraspalabrasseaceptariacutea como identidad fundacional (v el caso 4) Sin embargo en algunos programas humanitarios los individuos solo tienen que realizar la autenticacioacuten para demostrar que tienen derecho legiacutetimo a acceder a ciertos servicios de asistencia sin necesidad de identificacioacutenalguna


Caso 2unaorganizacioacutenhumanitariaofrecemuacuteltiplesserviciosalosbeneficiariosAfinde brindar estos servicios cada unidad de la organizacioacuten necesita tener acceso a cierta partedelosdatosobtenidosdelosbeneficiariosPorejemploparabrindarasistenciaen especie es posible que la unidad necesite acceder a los registros de distribucioacuten deasistenciavinculadosalbeneficiarioSimultaacuteneamenteotraunidadquizaacutesnecesiteacceder a historias cliacutenicas para brindar un tratamiento de seguimiento en tanto una tercera probablemente requiera informacioacuten sobre esa persona para el restablecimiento del contacto entre familiares

Caso 3 varias organizaciones humanitarias brindan muacuteltiples servicios a los beneficiariosatraveacutesdeunsistemadeidentidadunificadoEnestetipodesolucioacutende identidad compartida cada organizacioacuten puede acceder a los datos que son necesarios y pertinentes para la prestacioacuten de sus servicios Este caso implicariacutea tanto autenticacioacutencomoidentificacioacutenLainteroperabilidadentrelosdistintosorganismosyorganizacionespodriacutearesultarbeneficiosayaqueelsistemaactuariacuteacomounuacutenicoportal para la asistencia humanitaria Esto implicariacutea aplicar el principio de ldquosolo una vezrdquo242enlaaccioacutenhumanitariaafindefacilitarlaprovisioacutendeserviciosfiacutesicosodigitales directamente a los beneficiarios a traveacutes de plataformas en liacutenea o delintercambio de informacioacuten o documentos (ya sea automaacuteticamente o a pedido) entre diversas organizaciones humanitarias243 Aun asiacute las organizaciones deberaacuten considerar diversosfactoresaloptarporestetipodesolucionesPorejemplodeberiacuteanidentificarel marco de gestioacuten aplicable y asegurarse de que las funciones que desempentildean los que participan en el sistema (controladores de datos y procesadores de datos) sean claros Dado que la segregacioacuten adecuada del acceso a los datos puede resultar difiacutecil desde el punto de vista teacutecnico es comuacuten que ocurran violaciones de datos en soluciones comercialesunificadasDeigualmaneraenunsistemaunificadoesposiblequelasrelacionescomplejasentrelasorganizacionesdificultenlatareadegarantizarquelosdatosseusensolamenteparalosfinesprevistosAdemaacuteslossistemascomplejoscomoeste pueden traducirse en la exclusioacuten de facto de determinados grupos que quizaacutes carezcan de las habilidades de alfabetizacioacuten digital necesarias

Caso 4 en algunos contextos es posible que las organizaciones humanitarias emitan documentosdeidentidadfuncionalalosbeneficiarioscomotarjetasdeinscripcioacutenqueles permitan a las personas afectadas acceder a sus servicios Puede suceder que estos documentos sirvan como documentos de identidad funcional para las autoridades o parainstitucionesfinancierasquelasaceptancomocomprobantedeidentidad

242 El principio de ldquosolo una vezrdquo implica que los individuos brindan su informacioacuten personal a las autoridades solo una vez y de alliacute en maacutes a pedido o con su consentimiento las dependencias gubernamentales pueden intercambiar informacioacuten para cumplir con sus deberes en lugar de tener que obtenerla nuevamente

243 V Supervisor Europeo de Proteccioacuten de Datos (SEPD) dictamen 82017 propuesta de Reglamento relativo a la creacioacuten de un portal digital uacutenico y al principio de ldquosolo una vezrdquo SEPD 1 de agosto de 2017httpsedpseuropaeusitesedpfilespublication17-08-01_sdg_opinion_enpdf


EJEMPLOEnJordaniayenEgiptodospaiacutesesquerecibenunaimportanteafluenciaderefugiadosafindecumplirconlosrequisitossobreregistrodelatarjetaSIMylosreferidosalenfoque ldquoConozca a su clienterdquo (KYC) las autoridades locales exigen un pasaporte vaacutelidooalgunaidentificacioacutenexpedidaporelgobiernoporejemplounatarjetadeservicios para los refugiados y los solicitantes de asilo expedida por el Ministerio del Interior de Jordania ACNUR sostiene que tambieacuten deberiacutean aceptarse sus documentos de identificacioacuten ya que probablemente sean los uacutenicos con los que cuenten losrefugiados y los solicitantes de asilo

1215 IDENTIDAD DIGITAL COMO IDENTIDAD FUNDACIONAL

Existen actualmente varias iniciativas destinadas a desarrollar sistemas de identidad digital que sirvan como identidad fundacional para las personas que carecen de un documento de identidad

Estas iniciativas se inspiran en el hecho de que a las personas que no pueden demostrar quieacutenes son les resulta maacutes difiacutecil hacer valer sus derechos acceder a servicios puacuteblicos yreclamarbeneficiosenfuncioacutendesuedadnacionalidadcircunstanciasocualquierotro atributo referido a su identidad y su situacioacuten244 Dado que el comprobante de la identidad se ha transformado en un requisito previo para acceder a muchos servicios la falta de identidad constituye una importante barrera para la participacioacuten en la vida poliacutetica social y econoacutemica A modo de ejemplo los proveedores de servicios privados suelen requerir un comprobante de identidad para cumplir con requisitos juriacutedicos o bien como parte de sus procesos de diligencia debida (por ejemplo KYC prevencioacuten de fraude y suplantacioacuten de identidad y reduccioacuten de costos y de riesgos transaccionales) Los sistemas de identidad digital podriacutean constituir una de las formas de ayudar a las personas necesitadas pero que carecen de documentos de identidad Sin embargo y como ya se mencionoacute las organizaciones humanitarias tienen el cometido y por ende la base legiacutetima para desarrollar y poner en praacutectica sistemas fundacionales de este tipo

Cabe destacar que los programas de identidad digital no se limitan a tecnologiacuteas o sistemasespeciacuteficosSelospuededisentildearmedianteunademuchastecnologiacuteasobiena traveacutes de una combinacioacuten de soluciones Entre las tecnologiacuteas que suelen asociarse conlaidentidaddigitalcabemencionarlassiguientes

bull Biometriacutea245lainscripcioacutendebeneficiariosenplanesdeidentidaddigitalenel sector humanitario puede incluir el uso de biometriacutea por ejemplo huellas dactilares o escaneo del iris

244 G Verdirame y otros Rights in Exile Janus-Faced Humanitarianism Berghahn Books Nueva York 2005 paacutegs 59-63

245 V Capiacutetulo 8 ldquoBiometriacuteardquo


bull Cadenas de bloques246lascadenasdebloquessonunadelasformasposiblesparaque los individuos con acceso limitado a infraestructura y tecnologiacutea digitales demuestren su identidad247 No obstante a pesar de las promesas esta tecnologiacutea traeaparejadasdificultadesquerequierendeunanaacutelisiscuidadoso

bull Anaacutelisis de datos248esposiblecrearidentidadesdigitalesapartirdeatributosconductualesdigitales(tambieacutendenominadosldquoidentificacioacutenalgoriacutetmicardquo)sinutilizarcredencialesoficialesEnestecasolaactividadqueunapersonarealizaenliacutenea (uso de redes sociales historial de buacutesqueda compras en liacutenea historial de llamadasetc)podriacuteautilizarseparaverificarsuidentidad249 Si bien auacuten no se ha aprovechadoalmaacuteximoelpotencialdesistemasdeidentidadbasadosenperfileseste enfoque genera ciertas preocupaciones respecto de la proteccioacuten de datos250


Unaevaluacioacutendeimpactorelativaalaproteccioacutendedatos(EIPD)implicaidentificarevaluar y responder a los impactos que un proyecto una poliacutetica un programa u otra iniciativa que implique el tratamiento de datos personales pueden tener en los datos asiacute como en los titulares de esos datos En uacuteltima instancia una EIPD deberiacutea traducirse en medidas que atenuacuteen los riesgos para los derechos y las libertades de los individuos ademaacutes de acompantildear un proyecto o una iniciativa a lo largo de su ciclo de vida A la luz del tratamiento a gran escala que estos sistemas de identidad digital implican asiacutecomodeotrosriesgospotencialesydeldantildeoquepodriacuteainfligirsealostitularesdelos datos como resultado de su utilizacioacuten las organizaciones humanitarias deberiacutean llevar a cabo una EIPD antes de la implementacioacuten del sistema y del programa y en el transcurso de dicha implementacioacuten Ademaacutes el proceso de EIPD deberiacutea analizar no solo el cumplimiento de los requisitos en materia de proteccioacuten de datos sino tambieacuten los posibles efectos adversos que el sistema puede tener en diversos derechos fundamentales ademaacutes de las consecuencias eacuteticas y sociales del tratamiento de datos251

246 V Capiacutetulo 14 ldquoCadenas de bloquesrdquo247 A Beduschi y otros Building Digital Identities The challenges risks and opportunities of

collecting behavioural attributes for new digital identity systems Universidad de Exeter yCoelition2017paacutegs15-16paacuteg26httpssocialsciencesexeteracukmediauniversityofexetercollegeofsocialsciencesandinternationalstudieslawimagesresearchBuiding_Digital_Identities_with_Behavioural_Attributespdf

248 V Capiacutetulo 6 ldquoAnaacutelisis de datos y macrodatos para cuestiones referidas al uso de anaacutelisis de datosrdquo

249 A Beduschi y otros 2017 paacuteg 8250 PorejemplolosperfilessombraenFacebookVRBrandomldquoShadowprofilesarethebiggestflawinFacebookrsquosprivacydefenserdquo11deabrilde2018httpswwwthevergecom201841117225482facebook-shadow-profiles-zuckerberg-congress-data-privacy

251 AManteleroldquoAIandBigDataAblueprintforahumanrightssocialandethicalimpactassessmentrdquo Computer Law amp Security Review vol 24 nuacutemero 4 2018 paacutegs 754 -772 paacuteg755httpsdoiorg101016jclsr201805017


Elusodesistemasde identidadparamuacuteltiplesfineshumanitariosalgunosde loscualesnosiempreseidentificandesdeuninicioplanteaelriesgodeloquesedenominadesviacioacuten de uso (function creep) Esto ocurre cuando las organizaciones humanitarias yaseaintencionalmenteonorecurrenalsistemadeidentidadparafinesdistintosde los previstos originalmente y en consecuencia hacen un uso indebido de los datosdelosbeneficiariosAdemaacuteslosgobiernosylosgruposarmadosnoestatalesquenorespetanlosderechoshumanospodriacuteanaccederasistemasdeidentificacioacutenyotrosparaidentificaraenemigosoadversariosoparaatacaryestablecerelperfilde determinados grupos a partir de su pertenencia a una etnia opinioacuten poliacutetica nacionalidad u otras caracteriacutesticas Esta informacioacuten podriacutea usarse luego para controlar discriminar o dantildear a estos grupos o individuos de diversas maneras entre ellas excluyeacutendolos de servicios y ayuda esenciales privarlos de su libertad y del derecho a un proceso equitativo o incluso cometiendo atrocidades (como el genocidio enRuandaylapersecucioacutenenlaAlemanianazidondelaidentificacioacutenyelperfiladodesempentildearon un papel fundamental)

123 PROTECCIOacuteN DE DATOS DESDE EL DISENtildeO Y POR DEFECTO

La proteccioacuten de datos desde el disentildeo y por defecto es una praacutectica que deberiacutea estar presente a lo largo del ciclo de vida de las aplicaciones que procesan datos personales252 Implica disentildear una operacioacuten un programa o una solucioacuten de tratamiento que desde un comienzo implemente principios de proteccioacuten de datos clave y brinde al titular de los datos la mayor proteccioacuten posible En este sentido los principios de proteccioacuten de datosmaacutesimportantesson

bull licitud lealtad y transparencia

bull limitacioacuten del propoacutesito

bull minimizacioacuten de los datos

bull precisioacuten

bull limitacioacuten de almacenamiento (retencioacuten limitada)

bull integridadyconfidencialidad(seguridad) bull responsabilidad demostrada

Al disentildear un sistema de identidad las organizaciones humanitarias deberiacutean empezar con un anaacutelisis de sus necesidades para luego determinar si necesitan o no unsistemadeestetipoysiesproporcionadopararesolverelproblemaidentificadoSi una organizacioacuten determina que necesita un sistema de identidad deberaacute evaluar cuidadosamente queacute clase de sistema es el que mejor se adapta a sus necesidades y resulta apropiado en esas circunstancias particulares Como se explica en la seccioacuten 6

252 LJasmontaiteyotrosldquoDataProtectionbyDesignandbyDefaultFramingGuidingprinciples into Legal Obligations in the GDPRrdquo European Data Protection Law Review vol 4 nuacutemero22018httpsedpllexxioneuarticleEDPL201820


este proceso ayudaraacute a la organizacioacuten a aplicar los principios de minimizacioacuten de los datos y de proporcionalidad

La proteccioacuten de datos desde el disentildeo exige que una organizacioacuten conciba sistemas que permitan y faciliten el ejercicio de derechos por parte del titular de los datos (v la seccioacuten 5) Por ejemplo en un sistema de identidad digital los titulares de los datos deberiacutean tener por defecto acceso a notas informativas a toda la informacioacuten vinculada asuidentidadyaregistrosdondesedetallequieacutenaccedioacuteasusdatosyparaqueacutefines


Los sistemas de identidad digital pueden involucrar a una amplia variedad de organismos y entidades entre ellos organizaciones humanitarias gobiernos y entidades comerciales como bancos proveedores de sistemas de pago proveedores de redes de tecnologiacutea de la informacioacuten y compantildeiacuteas de biometriacutea Por ende es posible que resulte difiacutecil determinar queacute partes deberiacutean ser tratadas como controlador de datos y a cuaacuteles se las deberiacutea considerar procesadores de datos De igual modo podriacutea resultar difiacutecildeterminarcuaacutelessonlosliacutemitesdelaresponsabilidaddecadaparteAfindecontrarrestar este problema el disentildeo del sistema de identidad digital debe permitir aclarar quieacutenes son las partes interesadas queacute obligaciones y responsabilidades tienen yqueacutecategoriacuteasyflujosdedatosutilizacadaunaasiacutecomoparaqueacutefinesCuandouna organizacioacuten humanitaria determina losmedios y los fines del programa deidentificacioacutenactuaraacuteencalidaddecontroladordedatosyenconsecuenciapodriacuteaserresponsable por violaciones uso indebido y otras formas de dantildeo que podriacutean surgir del programa En las situaciones en las que se establece un control conjunto o cuando el encargado del tratamiento de datos procesa datos personales exclusivamente en nombre del controlador de datos una buena praacutectica consiste en distribuir responsabilidades entre las partes mediante un acuerdo por escrito

125 DERECHOS DE LOS TITULARES DE LOS DATOSEn la actualidad y a traveacutes de diversas iniciativas se analiza la posibilidad de desarrollar sistemas de identidad digital controlados por el titular de los datos El objetivo de estos sistemas es ceder el control a los individuos para lo cual se les permite almacenar datos sobre su identidad en sus propios dispositivos sin depender de un sitio de almacenamiento ycuandoseanecesariootorgarcredencialesaquienesnecesitenverificartalesdatos253 Como se mencionoacute esto podriacutea lograrse por ejemplo mediante la creacioacuten de un sistema

253 M Pisa y M Juden Blockchain and Economic Development Hype vs Reality Center for Global DevelopmentWashingtonDC2017paacuteg25httpswwwcgdevorgsitesdefaultfilesblockchain-and-economic-development-hype-vs-reality_0pdf


enelquelosbeneficiariosalmacenensuinformacioacutenpersonalensuspropiosdispositivoso en otro medio de almacenamiento de su preferencia y puedan decidir cuaacutendo compartirla con organismos y organizaciones que trabajan en accioacuten humanitaria Algunas iniciativas de identidad funcional o fundacional tambieacuten procuran ceder el control a las personas para lo cual y como en el caso anterior les permiten guardar sus datos personales en sus propios dispositivos y compartirlos con otros si lo desean y cuando lo desean Si esa cesioacuten del control se produciriacutea efectivamente en la praacutectica o no es auacuten una cuestioacuten sin resolver Al llevar adelante estas iniciativas es importante asegurarse de que los individuos conozcan sus derechos y los riesgos de tener esta informacioacuten almacenada en susdispositivospersonalesasiacutecomodequeesteacutenlosuficientementeequipadoscomopara utilizar estas herramientas de manera segura

EJEMPLOLa ID2020Alliance se establecioacutepara influir en el desarrollode lasdenominadasldquobuenasrdquo identidades digitales en virtud de las cuales las personas tienen pleno control de su identidad y pueden determinar queacute datos compartir y con quieacuten Seguacuten la Alianza ldquohoy en diacutea la mayoriacutea de los datos personales se almacenan en silos Cuanto maacutes numerosos son los datos y maacutes silos hay menor es el control que se puede ejercer sobre ellosrdquo Para solucionarlo la Alianza propone que los individuos ldquopuedan controlar sus propias identidades digitales en particular coacutemo se obtienen utilizan y comparten los datos personalesrdquo254

Si bien este tipo de iniciativas no son comunes auacuten permiten que las organizaciones humanitariasbrindenalosbeneficiariosunmayorcontrolyaccesoasusdatosAtalfinles dan una contrasentildea para acceder a toda la informacioacuten referida a sus credenciales deidentidadydecorresponder laorganizacioacutencreaunperfilpersonalAuacutenrestaevaluarmaacutesexhaustivamentelosriesgosybeneficiospotencialesdeestasolucioacutenparapoderdeterminarsifuncionaenlapraacutecticaysirealmentetransfiereelcontrola los individuos Sin embargo en teoriacutea un sistema de este tipo automaacuteticamente les informariacuteaalosbeneficiariosacercadecualquierterceroquehayaaccedidoasusdatosy toda vez que comience una actividad de tratamiento Tambieacuten permitiriacutea que los beneficiariosactualicensuconsentimiento(cuandoesteconstituyalabaselegiacutetimapara el tratamiento) y que reciban informacioacuten actualizada al respecto Al tener maacutes controllosbeneficiariospodriacuteanejercerdirectamentesusderechoscomotitularesdelosdatosatraveacutesdeunperfilodeunaplataformaenliacuteneaCuandolosbeneficiarioscarecen de cultura digital o no tienen acceso a la tecnologiacutea necesaria las organizaciones humanitarias deben ofrecerles formas alternativas de ejercer sus derechos en relacioacuten con sus datos personales

254 TodaslascitasprovienendelsitiowebdelaID2020httpsid2020org


1251 DERECHO DE ACCESOLosbeneficiariostienenderechoasolicitarelaccesoalainformacioacutensobreeltratamientode sus datos asiacute como a los datos que estaacuten siendo tratados255 Si bien es posible que este derecho en algunas circunstancias sea limitado en su condicioacuten de controladores de datos las organizaciones humanitarias deberiacutean responder a estos pedidos e informar alosbeneficiariossisusdatospersonalessonobjetodetratamientoyentalcasopermitirles acceder a ellos Sin embargo en la praacutectica es posible que este derecho resulte difiacutecil de implementar en los programas de identidad digital ya que puede ser difiacutecilconfirmarsilapersonaquesolicitaelaccesoalainformacioacuteneselindividuoconderechoarecibirla(verificacioacuten)enparticularsielpedidoseformulapormediosdigitales (que es lo maacutes probable en el caso de la identidad digital) Si bien se trata de una cuestioacuten que se aplica a una amplia variedad de sistemas digitales tambieacuten se la debe tener en cuenta en el caso de la identidad digital En consecuencia las organizaciones humanitarias deberiacutean adoptar medidas para garantizar el respeto por los derechos de los titulares de los datos tanto antes de tomar una decisioacuten respecto del disentildeo de un sistema de identidad digital como al momento de determinar si implementarlo o no

Otradificultadrelacionadaconelrespetodelosderechosdelostitularesdelosdatosenlos programas de identidad digital deriva del hecho de que distintas unidades dentro de la misma organizacioacuten podriacutean tener informacioacuten diferente sobre el mismo titular de datos En consecuencia el cotejo de toda esta informacioacuten para responder a una solicitud podriacutea resultar difiacutecil e incluso implicar un esfuerzo innecesario ya que con frecuencia losbeneficiariosselimitanasolicitaraccesoaunaclasededatosenparticularoadatosreferidos a un programa dado y no a todos los datos sobre ellos que la organizacioacuten tiene en su poder En consecuencia las organizaciones deberiacutean hablar con el titular de losdatosparacomprenderlosaspectosespeciacuteficosdesusolicitudyevitartodoesfuerzosuperfluoLasorganizacioneshumanitariasdeberiacuteantenerencuentaestadificultadalmomentodedisentildearsusistemadeidentidaddigitalparapoderanticipardificultadesdeesta iacutendole y establecer formas de evitarlas Un sistema de acceso basado en contrasentildea comoelquesemencionaanteriormentepermitiriacuteaquelosbeneficiariosaccedanasuperfilencualquiermomentoverifiquenqueacuteinformacioacutensobreellosestaacuteenpoderdelaorganizacioacutenyparaqueacutefinesselautiliza

1252 DERECHOS DE RECTIFICACIOacuteN Y ELIMINACIOacuteNLosbeneficiariosdeberiacuteanpoderrectificarlosdatossobreellosqueseanincorrectosyen determinadas circunstancias pedir que se los elimine Podriacutean hacerlo directamente para lo cual por ejemplo deberiacutean acceder a su cuenta (como se mencionoacute antes) CuandolosbeneficiariosnocontrolansusdatoselejerciciodesusderechospuedeserdifiacutecilinclusocuandosetratadeevaluaryconfirmarlaidentidaddeunapersonaquesolicitalarectificacioacutenoeliminacioacutendesusdatosAfinderesponderaesteproblema

255 V Seccioacuten 2112 Acceso


lasorganizacioneshumanitariasdeberaacutenimplementarunsistemadeverificacioacutenquecumpla con el principio de minimizacioacuten y que no recabe datos personales innecesarios Unavezmaacutesunaformadelograresteobjetivoconsistiriacuteaenquelosbeneficiariosaccedan a su cuenta mediante una contrasentildea


Si bien esta seccioacuten ofrece una resentildea acerca de las inquietudes que pueden surgir en relacioacuten con la proteccioacuten de datos cuando se trabaja con sistemas de identidad digital cada caso deberaacute evaluarse en detalle y seguacuten sus propios fundamentos para locualsedeberaacutentenerencuentalatecnologiacuteautilizadaylaclasedeidentificacioacutennecesaria para alcanzar los objetivos del programa previstos Los distintos programas tendraacuten requisitos diferentes De igual manera las diversas tecnologiacuteas pueden tener consecuencias diferentes en materia de proteccioacuten de datos


Las organizaciones humanitarias necesitan tratar datos personales para poder determinaroverificarlaidentidaddeunbeneficiarioEstasactividadesdetratamientopueden llevarse a cabo sobre una base legiacutetima o maacutes En los casos 2 y 3 por ejemplo unaorganizacioacutenhumanitariadeberaacutedefinirunabaselegiacutetimaindependienteparacada actividad de tratamiento por ejemplo el intereacutes vital en el tratamiento de historias cliacutenicas y el consentimiento para el tratamiento de datos personales a los finesderestablecimientodelcontactoentrefamiliares

Respecto del consentimiento es importante reconocer que los beneficiarios quereciben ayuda probablemente no esteacuten en condiciones de darlo de manera vaacutelida256 Elconsentimientoeslaindicacioacutenespeciacuteficainformadaylibredequeuntitulardelos datos acepta el tratamiento de sus datos personales Anaacutelogamente si bien las organizaciones humanitarias pueden recurrir al intereacutes puacuteblico como base legiacutetima paraunprogramaquebrindacredencialesdeidentidadoficialeselhechodenoobtenerelconsentimientopodriacuteagenerardesconfianzaentrelosbeneficiariosPosiblementesientan que como no tienen injerencia en el tratamiento de sus datos personales sus derechos se ven restringidos Esto es particularmente cierto cuando los datos se refierenasuidentidadqueesunaparteintriacutensecadelavidadeunapersona



1262 LIMITACIOacuteN DEL PROPOacuteSITO Y TRATAMIENTO ULTERIORLosdatospersonalesdeberiacuteanrecabarseparafinesespeciacuteficosexpliacutecitosylegiacutetimosysu tratamiento ulterior solo deberiacutea realizarse cuando sea compatible con los propoacutesitos iniciales257 En tal sentido es importante tener en cuenta si los datos personales obtenidos de un titular de los datos para brindarle credenciales de identidad digital enelmarcodeunprogramahumanitarioespeciacutefico(porejemploconelobjetivodeestablecerlaidentidaddelosbeneficiarios)podriacuteanserobjetodetratamientoulterioren virtud de un programa diferente (como un programa de asistencia o de servicios) Las organizaciones humanitarias deberiacutean tener en cuenta los siguientes factores al aplicar el principio de la limitacioacuten del propoacutesito258

bull la compatibilidad entre los propoacutesitos iniciales y los ulteriores

bull el contexto en el que los datos se recaban incluida la relacioacuten entre el individuo y el controlador de los datos

bull la naturaleza de los datos

bull laspotencialesconsecuenciasparalosbeneficiarios bull las protecciones pertinentes (incluidas las referidas a la seguridad de los datos

como el cifrado y la seudonimizacioacuten)

Dado que los sistemas de identidad digital pueden tener muacuteltiples usos cada uno con su propiopropoacutesitolasorganizacionesdebenespecificarclaramentetodoslospropoacutesitosdeunaoperacioacutendetratamientodeterminadaSiestossemodificanosiulteriormentese los aclara la organizacioacuten deberaacute informar a los titulares de los datos

1263 PROPORCIONALIDADEl principio de proporcionalidad requiere que para alcanzar los objetivos de tratamiento especificadosseusenlosmediosdetratamientoqueseanlomenosintrusivosposiblesCabe recordar que algunas actividades humanitarias como la prestacioacuten de ayuda probablementerequieranquelosbeneficiariossolodemuestrenquetienenderechoarecibirelbeneficio(esdecirautenticacioacuten)entantootrasexigiraacutenunaidentidadfundacionaluldquooficialrdquo(esdecirverificacioacuten)Porelloencalidaddecontroladordedatos las organizaciones humanitarias deberiacutean evaluar queacute actividades requieren identificacioacutenycuaacutelesnoAllimitareltratamientoalaautenticacioacutendelderechodelosbeneficiariosaaccederalosservicioslasorganizacionespodriacuteanevitarquelafinalidadde la recoleccioacuten de los datos cambie de forma accidental o involuntaria o bien que se recabe informacioacuten innecesaria ya que la organizacioacuten no recopilariacutea ni almacenariacutea lasidentidadesjuriacutedicasdelosbeneficiariosCuandosenecesitalaautenticacioacutenolaidentificacioacutenlasorganizacionesdeberiacuteanconsiderarcuaacutentosdatosnecesitanydequeacute tipo Por ejemplo al usar datos biomeacutetricos las organizaciones deberiacutean tratar la menor cantidad de puntos de datos posible (por ejemplo una huella dactilar en lugar de diez)

257 V Capiacutetulo 2 ldquoPrincipios baacutesicos relativos a la proteccioacuten de datosrdquo258 SEPD 2017 paacutegs 9-10


1264 MINIMIZACIOacuteN DE LOS DATOSLas organizaciones humanitarias solo deberiacutean recolectar y tratar la cantidad miacutenima de datos que necesitan para cumplir el propoacutesito del tratamiento Por ello es necesario quecomprendancabalmentequeacuteinformacioacutennecesitandelosbeneficiariosantesdeimplementarcualquiersistemadeidentificacioacutenqueprocesedatospersonalesSiunaorganizacioacuten determina que basta simplemente con demostrar el derecho (es decir autenticacioacuten) no deberiacutea recabar ni tratar informacioacuten sobre la identidad

1265 SEGURIDAD DE LOS DATOSLos sistemas de identidad digital como los que se preveacuten en el caso 3 permitiriacutean que losbeneficiariosalmacenendatospersonalesensuspropiosdispositivosLomismose aplica a iniciativas disentildeadas para brindarles una identidad a quienes carecen de documentos de identidad En estos casos y en teoriacutea las organizaciones o los individuos que actuaran con malas intenciones solo podriacutean acceder a esta informacioacuten si fueran capaces de violar la seguridad del dispositivo Sin embargo otra posibilidad es que los beneficiariosseanobjetodecoercioacutenfiacutesicaparaentregarsusdispositivos

En otras situaciones como los que se describen en los casos 1 y 2 es posible que como parte de un programa de identidad digital las organizaciones humanitarias almacenen datos personales en sus propias bases de datos Estas podriacutean ser blanco de organizaciones o de individuos mal intencionados En consecuencia las organizaciones humanitarias deben asegurarse de que sus sistemas de identidad digital resguarden laconfidencialidadladisponibilidadyla integridaddelosdatosexistentesensussistemas y que al hacerlo los protejan adecuadamente del uso indebido violaciones de los datos y otras infracciones relacionadas con ellos259 Asimismo la naturaleza sensible de ciertas clases de datos personales exigiraacute en general un nivel de seguridad muy elevado Las teacutecnicas de cifrado como los sistemas secret sharing (tambieacuten denominados secret splitting) pueden contribuir a mejorar la seguridad En ellos los datos son cifrados y la clave se fragmenta entre muacuteltiples partes que deben trabajar juntas para descifrar los datos (diferentes organizaciones humanitarias por ejemplo como en el caso 3) lo que evitariacutea un uacutenico punto de fallo En este sistema es posible destruir la clave faacutecilmente de ser necesario ya que la eliminacioacuten de cierta cantidad de fragmentos (el nuacutemero variacutea de un sistema a otro) implicariacutea que los datos ya no puedan usarse

Al implementar programas de identidad las organizaciones humanitarias deberiacutean tener en cuenta las medidas de seguridad adoptadas por cualquiera de sus asociados Porejemplosilainformacioacutendelosbeneficiariossecomparteconotrosorganismosu otras organizaciones estos deben contar con medidas de seguridad apropiadas para proteger los datos y evitar las consecuencias perjudiciales de una violacioacuten de los datos



1266 CONSERVACIOacuteN DE LOS DATOSLosdatospersonalesdebenconservarseporunperiacuteododefinidoquenodebesermayoralque se necesita para el tratamiento Cuando el propoacutesito principal del tratamiento es brindar asistencia humanitaria baacutesica mediante la entrega de alimentos refugio y asistencia de salud los datos personales solo deberiacutean conservarse mientras sea necesario para prestar esa asistencia No obstante la situacioacuten es maacutes complicada en el caso de los programas deidentidaddigitalqueprocuranbrindarcredencialesdeidentidadparalosbeneficiariosquecarecendedocumentosdeidentidadyaqueesposiblequelosbeneficiariosdeseencontinuar usando su identidad (que reemplaza al documento de identidad o sirve como tal) durante toda su vida ademaacutes de actualizar su situacioacuten a medida que pasa el tiempo En este casoladeterminacioacutendelperiacuteododeconservacioacutenapropiadopuedeplanteardificultadesSin embargo las organizaciones humanitarias deberiacutean indicar inicialmente un periacuteodo de conservacioacuten que sea coherente con el propoacutesito inicial para el cual se recabaron los datosencuestioacutenUnavezfinalizadoesteperiacuteodo lasorganizacionesqueparticipanen programas de este tipo deberiacutean realizar evaluaciones perioacutedicas para determinar si necesitan conservar los datos maacutes tiempo o no Otra opcioacuten consistiriacutea en permitir que los beneficiariosdecidansisusdatossepodraacutenconservar

127 INTERCAMBIO INTERNACIONAL DE DATOSSeguacuten cuaacuteles sean la solucioacuten teacutecnica y el disentildeo elegidos es probable que como praacutectica de rutina los datos tratados en sistemas de identidad digital traspasen las fronteras nacionales En el caso 3 por ejemplo muacuteltiples organizaciones pueden intercambiar informacioacutenunasconotrasobien losbeneficiariospueden transmitir susdatosamuacuteltiples organizaciones al mismo tiempo El intercambio internacional de datos genera inquietudes en relacioacuten con la proteccioacuten de los datos260 Si bien algunas jurisdicciones han reconocido acuerdos de proteccioacuten (por ejemplo el uso de claacuteusulas contractuales) las organizaciones humanitarias que aplican programas de identidad digital probablemente tengandificultadesparaimplementarestosacuerdosyaqueesposiblequeelsistemaimplique la participacioacuten de muacuteltiples partes en lugares diferentes Como regla general se aconseja a las organizaciones humanitarias que adopten todas las medidas posibles para garantizar que la transferencia de datos personales a un tercero (y cualquier nueva transferencia ulterior) no reduzca el nivel de proteccioacuten de los derechos de los individuos Dado que las organizaciones son responsables por todas las transferencias de datos que realizan deben responder si en el caso previsto los datos se comparten de forma iliacutecita con otras organizaciones No obstante en algunas situaciones el consentimiento de los beneficiariospodriacuteaconstituirunabaselegiacutetimaapropiadaparaquelasorganizacionestransfierandatosSinembargoycomoyasemencionoacuteesobjetodecontroversiasquelosbeneficiariosquerecibenlaayudasiemprepuedandarunconsentimientovaacutelido261 Entalescircunstanciassedeberaacuteidentificarunabaselegiacutetima

260 V Capiacutetulo 4 ldquoIntercambio internacional de datosrdquo261 V Seccioacuten 32 Consentimiento

REDES SOCIALES

USO POSIBLE

DIFICULTADES

INTERVENCIOacuteNEN CASO DE DESASTRES Y OTRAS SITUACIONES DE EMERGENCIA

PREPARACIOacuteN

ESFUERZOS DE RECUPERACIOacuteN

LA INFORMACIOacuteN COMO ASISTENCIA

IDENTIFICACIOacuteN DE PERSONAS DESAPARECIDAS

INFORMACIOacuteN Y ASESORAMIENTO EN MATERIA DE SALUD

OBTENER RETROALIMENTACIOacuteN

FALTA DE CONTROL DE DATOS PERSONALES

DATOS CENTRALIZADOS

COMPARTIDOS CON TERCEROS

PERFILADO PARA VIGILANCIA

DANtildeO O EXPLOTACIOacuteN A CAMBIO DE UN VALOR COMERCIAL

UBICACIOacuteN

CAMINO CERRADO

ABIERTA

iexclGRACIAS

INSUMOS DEL CICR DISPONIBLES

SEGURIDAD

AYUDA

CAPIacuteTULO 13

REDES SOCIALES262 263

262 El presente capiacutetulo aborda el uso de las redes sociales por parte de las organizaciones humanitariascomomedioparacomunicarseeinteractuarconlosbeneficiariosParamaacutesinformacioacutensobreelusodelasredessocialesparaidentificarcrisisymejorarlarespuestahumanitaria v el capiacutetulo 6 ldquoAnaacutelisis de datos y macrodatosrdquo Para informacioacuten sobre aplicaciones de mensajeriacutea v el capiacutetulo 11 ldquoAplicaciones de mensajeriacutea moacutevilrdquo

263 Los editores desean expresar su agradecimiento a Nicolas de Bouville (Facebook) Camila Graham Wood Antonella Napolitano y Ed Geraghty (Privacy International) por sus aportes para la redaccioacuten de este capiacutetulo


131 INTRODUCCIOacuteN1311 REDES SOCIALES EN EL SECTOR HUMANITARIOLasorganizacioneshumanitariasinteractuacuteanconlosbeneficiariosatraveacutesdelasredessociales de diversas maneras En las emergencias por ejemplo es probable que las utilicen para informar a las personas sobre lugares seguros y sobre la prestacioacuten de ayuda Quizaacutes tambieacuten recurran a ellas para generar conciencia (por ejemplo responder a necesidades humanitarias en el marco de un proceso migratorio) para alentar a losbeneficiariosaintercambiarinformacioacutenenunaemergenciaoparasuministrarinformacioacuten sobre asistencia meacutedica y sanitaria

LainteraccioacutenconlosbeneficiariosconllevaunaseriederiesgosCuandolosindividuosven publicaciones de las organizaciones humanitarias (ya sea privadas o puacuteblicas) en las redes sociales o responden a ellas o cuando se unen a grupos puacuteblicos o privados organizados por estas organizaciones comparten una gran variedad de datos con la plataformaEsposiblequetantolasorganizacioneshumanitariascomolosbeneficiariosinteractuacuteen en las redes sociales sin necesariamente tener plena conciencia de que estaacuten generando datos y metadatos (un conjunto de datos que describe y brinda informacioacuten sobre otros datos)264 que las plataformas de redes sociales pueden recopilar y luego utilizarparaperfilaraunindividuoafindedeterminarcaracteriacutesticastalescomoaspectos clave de su identidad sus redes visiones y opiniones sus preferencias y su pertenencia a alguacuten partido poliacutetico De igual modo las organizaciones y los beneficiariostalvezdesconozcanlasconsecuenciasylosriesgosdeesetratamiento

Si bien los individuos pueden interactuar de manera informal con las organizaciones humanitarias en forma similar a lo que seriacutea una conversacioacuten en privado las plataformas de redes sociales estaacuten disentildeadas y funcionan de manera tal que los terceros pueden controlar recopilar conservar y analizar sus intercambios Entre estos terceros cabe mencionar no solo a los proveedores de redes sociales sino tambieacuten a las empresas los organismos encargados de hacer cumplir la ley las autoridades fronterizas y migratorias y los gobiernos que utilizan teacutecnicas de inteligencia de coacutedigo abiertoyherramientasdecontrolderedessocialessofisticadasLosdatosincluidaslasimaacutegenes que se publican en redes sociales se pueden analizar de diversas maneras que van desde el reconocimiento facial y de imaacutegenes hasta el reconocimiento de sentimientos y emociones265 con frecuencia mediante el uso de algoritmos opacos y el aprendizaje automaacutetico266Estaclasedeperfiladocontribuyealaopacidaddela

264 Para maacutes informacioacuten sobre metadatos v CICR y Privacy International The Humanitarian Metadata Problem Doing no Harm in the Digital EraPrivacyInternationalyCICR2018httpsprivacyinternationalorgsitesdefaultfiles2018-12The20Humanitarian20Metadata20Problem20-20Doing20No20Harm20in20the20Digital20Erapdf

265 V por ejemplo F M Plaza-del-Arco y otros ldquoImproved emotion recognition in Spanish socialmediathroughincorporationoflexicalknowledgerdquo27deseptiembrede2019httpswwwsciencedirectcomsciencearticlepiiS0167739X1931163X

266 V Capiacutetulo16ldquoLainteligenciaartificialyelaprendizajeautomaacuteticordquo

13 REDES SOCIALES 237

exposicioacuten de los individuos a traveacutes de sus interacciones con las redes sociales y el usoquehacendeellasLasdecisionesquesetomanapartirdeesteperfiladopuedentener graves consecuencias para la persona ya que esta opacidad incorpora riesgos adicionales derivados del acceso desigual a los datos y a la justicia por ejemplo la incapacidad de cuestionar suposiciones erroacuteneas que determinan los procesos de toma dedecisionesysusresultadosoinfluyenenellos

Si bien las redes sociales pueden ayudar a las organizaciones humanitarias a brindar servicios el uso de estas plataformas podriacutea dar lugar a que las organizaciones pierdan el control de los datos que se generan e intercambian y plantear riesgos en el mediano plazo o el maacutes largo plazo que se deben evaluar a traveacutes de anaacutelisis de riesgos y procedimientos claros (v la seccioacuten 2 sobre Evaluaciones de impacto relativas a la proteccioacuten de datos)

A continuacioacuten se ofrecen algunos ejemplos de casos en los que organizaciones humanitariasutilizaronlasredessocialesparainteractuarconlosbeneficiarios267

bull Facilitar la gestioacuten de emergencias mediante la mitigacioacuten la preparacioacuten la respuesta y la recuperacioacuten en situaciones de desastre y emergencia en Bangladesh la creacioacuten de una plataforma de coordinacioacuten nacional permitioacute que en situaciones de emergencia las organizaciones humanitarias en coordinacioacuten con el gobierno transmitieran por redes sociales una serie de mensajes sencillos sobre preparacioacuten para desastres destinados a facilitar la etapa de preparacioacuten

bull Mejorar la calidad de la prestacioacuten de asistencia en 2016 el CICR duplicoacute la cantidad de alimentos incluidos en los paquetes de alimentos entregados en Siria ya que a raiacutez de las condiciones de seguridad la distribucioacuten de viacuteveres se hizo aintervalosmaacutesprolongadosSeinformoacutealosbeneficiariosdeestecambioenun breve video que se difundioacute en la paacutegina institucional del CICR en Facebook Mediantelafuncioacutenldquocomentariosrdquolosbeneficiariostambieacutenpudieronresponderal video y explicar sus necesidades (por ejemplo solicitar cajas de cartoacuten de mejor calidad para que los alimentos no se dantildearan durante el transporte) El CICR respondioacute luego a los comentarios y explicoacute queacute estaba haciendo para cumplir con los pedidos o por queacute no podiacutea hacerlo

bull Mejorar la eficiencia de los servicios la Cruz Roja de Kenia monitorea de forma activa las redes sociales para obtener informacioacuten sobre accidentes de carretera y enviar ambulancias a los lugares en los que se ha producido un accidente Como conocen esta posibilidad con frecuencia los pobladores informan a la Cruz Roja de Kenia a traveacutes de las redes sociales cuando se producen accidentes de traacutensito

bull ldquoInformacioacuten como asistenciardquo y promocioacuten de la salud Meacutedicos sin Fronteras y otras organizaciones no gubernamentales recurren a las redes sociales para brindarinformacioacutenyasesoramientoenmateriadesaludalosbeneficiarios

267 Ejemplos tomados de T Luumlge Coacutemo utilizar las redes sociales para promover la participacioacuten de las personas afectadas por las crisis Una breve guiacutea para aquellas personas que utilizan redes sociales en organizaciones humanitariasCICRFICRyOficinadeCoordinacioacutendeAsuntosHumanitarios(OCHA)delasNacionesUnidas2017httpswwwicrcorgendocumentsocial-media-to-engage-with-affected-people


Si bien las plataformas de redes sociales ofrecen una gran variedad de oportunidades suusopuedeplantearriesgosalosbeneficiariosygenerarimportantescuestionesrespecto de la responsabilidad de las organizaciones humanitarias Antes de abordar los principales aspectos referidos a la proteccioacuten de datos en este capiacutetulo abordaremos coacutemo se generan los datos en las redes sociales

1312 REDES SOCIALES Y DATOS

13121 iquestQueacute datos se generan en las redes sociales y coacutemoLas plataformas de las redes sociales reciben capturan generan y procesan grandes cantidades de datos de los usuarios incluidos metadatos la ubicacioacuten del usuario imaacutegenes contactos ldquome gustardquo e indicadores de atencioacuten e intereacutes y los utilizan paradiversosfinesInclusocuandolosusuariosconsultanexpliacutecitamenteacercadesusdatossuelenohabermuchatransparenciarespectodequeacutedatosespeciacuteficossecreanycoacutemoaccedenaelloslaplataformayotrosycoacutemolosutilizanparadistintosfinescomoelperfilado

Algunos de los datos obtenidos por las plataformas de redes sociales provienen directamente de la persona (lo que se conoce como ldquodatos declaradosrdquo) por ejemplo cuando abren una cuenta (un nombre o nombre de usuario en ocasiones una copia de un documento de identidad un nuacutemero de teleacutefono una direccioacuten de correo electroacutenico yunadireccioacutenfiacutesica)ocuandopublicanfotografiacuteasocomentariosensuperfil268

Asimismo estas plataformas procesan lo que se denomina ldquodatos inferidosrdquo datos adicionales que no son suministrados directamente por los usuarios sino que se infierendesusdatosdeclaradosEnestecasolosdatosdeclaradosincluyentantolosqueelusuariosuministradirectamentecomolosqueserefierenaeacutelperoprovienendeotrasaplicacionesoplataformasqueenocasionestransfierenautomaacuteticamentedatospersonales a las plataformas de las redes sociales cuando un usuario abre la aplicacioacuten o accede a sus servicios incluso antes de obtener el consentimiento269 Esto sucede por ejemplo cuando una tienda en liacutenea informa a una plataforma de una red social que un usuario accedioacute a su paacutegina web de modo que la plataforma pueda usar las preferencias de compra de ese usuario para ofrecerle publicidades dirigidas

Las plataformas de redes sociales suelen combinar datos obtenidos de diferentes fuentes y mediante la aplicacioacuten de anaacutelisis de datos270creanunperfildeusuarioquecontrolalas actividades y el comportamiento del usuario271 Por ejemplo los proveedores pueden

268 CICR y Privacy International 2018 paacuteg 34269 PrivacyInternationalldquoInvestigatingAppsinteractionswithFacebookonAndroidrdquo2019

httpsprivacyinternationalorgappdata270 V Capiacutetulo 6 ldquoAnaacutelisis de datos y macrodatosrdquo271 Unioacuten Europea Grupo de trabajo sobre proteccioacuten de datos del artiacuteculo 29 Directrices sobre

decisiones individuales automatizadas y elaboracioacuten de perfiles a los efectos del Reglamento 2016679 (wp251rev01) 2018 paacuteg 12


inferir de la frecuencia de comunicacioacuten e interaccioacuten en las redes sociales quieacutenes son los amigos de una persona272 Al comprender la rutina y el comportamiento de una persona las plataformas pueden ofrecer servicios dirigidos y contenido individualizado a sus usuarios273 Laevidenciademuestraqueesposiblecrearunaidentidadsimilaraunperfilapartirde los atributos conductuales digitales de una persona es decir su actividad en liacutenea274 Enconsecuenciaesposibleutilizarsurastrodigitalparacrearunperfildigitalsinquelo sepa275 e inferir informacioacuten sobre ella con inclusioacuten de su geacutenero preferencias sexuales orientacioacuten religiosa ubicacioacuten relaciones interpersonales y comportamiento esperado276Estetipodeperfilseutilizaluegoparalapublicidaddirigidaperotambieacutense ha usado para campantildeas poliacuteticas asiacute como para tareas de policiacutea predictiva277 Estosignificaquesilasorganizacioneshumanitariasalientanalosbeneficiariosainteractuar con ellas en las redes sociales podriacutean estar facilitando este tipo de direccionamiento

Ejemplos de datos que se pueden obtenerFacebookdividelosdatosqueobtieneendiversascategoriacuteasdatossuministradosporun usuario datos sobre un usuario provistos por otros usuarios datos acerca de las redes y conexiones de los usuarios informacioacuten sobre pagos y dispositivos e informacioacuten de socios tales como anunciantes desarrolladores de aplicaciones y editores278 Dentro de cadacategoriacuteahayunaextensalistadedatosquelaplataformaobtienecomoldquocomunicaciones y otros datos que proporcionas cuando usas nuestros productos Por ejemplo cuando te registras para crear una cuenta creas o compartes contenido y enviacuteas mensajes a otras personas o te comunicas con ellas Esto puede incluir informacioacuten en el contenido o sobre eacutel que proporcionas (como los metadatos) por ejemplo la ubicacioacuten de una foto o la fecha de creacioacuten de un archivordquo279

272 CICR y Privacy International 2018 paacuteg 35273 ParamaacutesinformacioacutensobrepublicidaddirigidavPrivacyInternationalldquoAdTechrdquo

httpsprivacyinternationalorgtopicsadtech274 ABeduschiyotrosldquoBuildingDigitalIdentitiesTheChallengesRisksandOpportunities

of Collecting Behavioural Attributes for new Digital Identity Systemsrdquo Open Research Exeter2017paacuteg8httpsoreexeteracukrepositoryhandle1087128297

275 PorejemplolosperfilessombraenFacebookVhttpswwwthevergecom201841117225482facebook-shadow-profiles-zuckerberg-congress-data-privacy

276 CICR y Privacy International 2018 paacuteg 90277 VporejemploAMeijeryMWesselsldquoPredictivePolicingReviewofBenefitsand

Drawbacksrdquo International Journal of Public Administration vol 42 nuacutemero 12 2019 paacutegs 1031-1039DOI1010800190069220191575664Lapoliciacuteapredictivaseconsiderapartede las praacutecticas de aplicacioacuten de la ley

278 PoliacuteticadedatosdeFacebookhttpswwwfacebookcomfull_data_use_policy279 Poliacutetica de datos de Facebook


La lista incluye ademaacutes ldquoinformacioacuten sobre las operaciones y los comportamientos realizados en el dispositivo como poner una ventana en primer o segundo plano o los movimientos del mouserdquo280 asiacute como sentildeales de Bluetooth e informacioacuten sobre puntos deaccesoawifibalizas(ldquobeaconsrdquo)ytorresdetelefoniacuteacelular

Por su parte Twitter recopila datos referidos a informacioacuten baacutesica sobre el usuario (por ejemplo su nombre declarado nombre de usuario y direccioacuten de correo electroacutenico) informacioacutensobreelperfilinformacioacutendecontactoeinformacioacutenpuacuteblica(tuitsasiacutecomo metadatos generados por tuits tales como ubicacioacuten y hora)281

13122 iquestQueacute datos se pueden compartir con tercerosAlgunas plataformas de redes sociales pueden compartir la informacioacuten que recopilan con otros proveedores de servicios para fines tales como publicidad dirigida aindividuosconperfilesespeciacuteficosDadoelcrecimientoexponencialdelasplataformasde redes sociales el nuacutemero de personas y de empresas de publicidad que tienen acceso a informacioacuten personal ha aumentado muchiacutesimo en los uacuteltimos antildeos y con ello la posibilidad de hacer un seguimiento de las personas a traveacutes de diferentes meacutetodos Asimismo estas plataformas reciben datos de otras partes y organizaciones a traveacutes deacuerdosdeasociacioacutenyesosdatosadicionalesseutilizanparacrearunperfildeusuariocondiversosfinesincluidalapublicidad

Ejemplos de coacutemo se puede compartir datos de las redes socialesFacebook comparte informacioacuten agregada que recopila de usuarios de la red (y de quienes no la utilizan) con otras compantildeiacuteas de Facebook (como Instragram WhatsApp y Messenger) y con terceros asociados Asimismo permite que los usuarios compartan datos que almacenan en Facebook con aplicaciones de terceros sitios web u otros servicios que utilizan la plataforma o estaacuten integrados con ella282Estosignificaquelosusuariospuedencompartirdatos(asabiendasono)quenoserefierensoloaellos(porejemplosulistadeamigos)Enconsecuencialdquoinclusosiunusuariolsquocierrarsquosuperfiluna aplicacioacuten de terceros utilizada por uno de sus amigos de todos modos podriacutea recopilar sus datosrdquo283

Ademaacutes Facebook ofrece diversas opciones para que los anunciantes se beneficiende los perfiles de los usuarios Por ejemplo pueden cargar un correo electroacutenico ouna lista de teleacutefonos de clientes registrados y solicitar a Facebook que encuentre susperfilesenredessocialesafindedirigiraellossusaccionesdecomercializacioacuten

280 Poliacutetica de datos de Facebook281 CICR y Privacy International 2018 paacuteg 96282 Poliacutetica de datos de Facebook283 CICR y Privacy International 2018 paacuteg 96


(lo que se conoce como ldquopuacuteblico personalizadordquo)284Asiacutelosanunciantessebeneficiande informacioacuten agregada que Facebook les suministra en tanto la plataforma tambieacuten recopila datos del anunciante Asimismo las compantildeiacuteas tambieacuten pueden solicitarle que identifiqueperfilessimilaresalosdeclientesexistentesparaincrementarelalcancedesupublicidadconcentrarseenubicacionesgruposdemograacuteficosogeacutenerosespeciacuteficoso incluso instalar piacutexeles285 en sus sitios web de modo tal que cuando un usuario de Facebook visita su sitio reciba publicidades de la compantildeiacutea en su paacutegina de Facebook286 Sin embargo desde diciembre de 2019 Facebook ya no permite que los nuacutemeros de teleacutefono suministrados por los usuarios al abrir su cuenta para la autenticacioacuten de dos factores se utilicen para sugerir amistades287Estecambioenlaspraacutecticasdelacompantildeiacuteareflejaun mayor reconocimiento de las consecuencias de compartir datos entre plataformas y tercerosEstoseconfirmaconlanuevaherramientaOff-FacebookActivity288 que permite quelosusuariossepareninformacioacutenobtenidaportercerosdesuperfildeFacebook

Por su parte Twitter permite que los usuarios excluyan gran parte de sus actividades de tratamiento Sin embargo y en forma predeterminada todo lo que se comparte y publicaenlaplataformaespuacuteblicoamenosqueelusuarioespecifiquelocontrarioEnlapraacutecticaestosignificaqueTwitterpuede compartir o revelar la informacioacuten puacuteblica de un usuario (por ejemplo la informacioacutendesuperfiltuitspuacuteblicososeguidores)aunagranvariedaddeusuariosservicios y organizaciones Asimismo se reserva el derecho de inferir a partir de estos datos queacute temas podriacutean resultar de intereacutes para el usuario289

13123 iquestQueacute datos pueden obtener las autoridades gubernamentales y las autoridades encargadas de hacer cumplir la ley

Es posible que en virtud de legislacioacuten nacional las plataformas de redes sociales deban almacenar los datos personales de los usuarios de manera tal que las autoridades puacuteblicas puedan acceder a ellos afin de identificar a un individuo uobtenerinformacioacutensobresuactividadenliacuteneaconfinesdecumplimientodelaley290

284 Facebook ldquoInformacioacuten sobre los puacuteblicos personalizados creados a partir de listas de clientesrdquohttpswwwfacebookcombusinesshelp341425252616329

285 ElpiacutexeldeFacebookesunaherramientadeanaacutelisisconlaquepodraacutesmedirlaeficaciade tu publicidad al entender las acciones que las personas realizan en tu sitio web VldquoInformacioacutensobreelpiacutexeldeFacebookrdquohttpswwwfacebookcombusinesshelp742478679120153helpref=page_content

286 B V Alsenoy y otros From social media service to advertising network A critical analysis of Facebookrsquos Revised Policies and Terms Comisioacuten de privacidad de Beacutelgica 2015 paacutegs 55-64

287 K Paul ldquoFacebook separates security tool from friend suggestions citing privacy overhaulrdquo Reuters19dediciembrede2019httpswwwreuterscomarticleus-facebook-privacy-idUSKBN1yN26Q

288 Facebook ldquoNow You Can See and Control the Data That Apps and Websites Share withFacebookrdquo20deagostode2019httpsaboutfbcomnews201908off-facebook-activity

289 CICR y Privacy International 2018 paacuteg 97290 CICR y Privacy International 2018 paacuteg 34


En algunas jurisdicciones aunque no todas es posible que se requiera una orden para acceder a dicha informacioacuten

Si bien puede haber informacioacuten de dominio puacuteblico sobre los pedidos de acceso del gobierno en particular en jurisdicciones con un proceso judicial solo algunas compantildeiacuteas de redes sociales publican informes sobre transparencia291

A traveacutes de diversas herramientas entre ellas las que las plataformas mismas brindan (lo quesedenominaldquofirehoserdquo)losorganismosencargadosdehacercumplirlaleyyotrosterceros pueden acceder directamente a las redes sociales a traveacutes de lo que se conoce como inteligencia de coacutedigo abierto (OSINT por sus siglas en ingleacutes) es decir inteligencia obtenida de datos que son de dominio puacuteblico Tambieacuten pueden utilizar la inteligencia de redes sociales (SOCMINT) que implica controlar y recopilar informacioacuten tanto privada como de dominio puacuteblico que estaacute en las plataformas de redes sociales292 Estas praacutecticas estaacuten reglamentadas en muchas jurisdicciones y la legislacioacuten con frecuencia no es demasiado clara en cuanto a si el control es liacutecito o no Hay otras teacutecnicas invasivas que permiten extraer datos e informacioacuten almacenados fiacutesicamente en un dispositivo293 o en aplicaciones en la nube294 Al igual que sucede con la SOCMINT no hay mucha transparencia en el empleo de las tecnologiacuteas de extraccioacuten desde teleacutefonos moacuteviles y desde la nube y continuacutean sin estar reguladas en diversas jurisdicciones En la praacutectica como el almacenamiento en redes sociales suele estar basado en la nube el volumen de datos personales que se puede obtener a traveacutes de estos meacutetodos es muy grande


Las organizaciones humanitarias no pueden controlar por completo el funcionamiento de las redes sociales ni tampoco coacutemo generan y procesan datos pero siacute pueden ndashy deberiacuteanndash realizar evaluaciones de riesgos para comprender las consecuencias de utilizar lasredessocialespara interactuarcon losbeneficiariosantesdedecidirsiutilizarestasplataformasonocoacutemoyparaqueacutefin

291 FacebookldquoSolicitudesgubernamentalesdedatosdeusuariosrdquo2018 httpstransparencyfacebookcomgovernment-data-requests Twitter ldquoTwitter TransparencyReportrdquo2018httpstransparencytwittercomenhtml

292 PrivacyInternationalldquoSocialMediaIntelligencerdquohttpsprivacyinternationalorgexplainer55social-media-intelligence

293 VporejemploPrivacyInternationalldquoPushThisButtonForEvidenceDigitalForensicsrdquohttpsprivacyinternationalorgexplainer3022push-button-evidence-digital-forensics y Privacy International ldquoCan the police limit what they extract from your phonerdquo14denoviembrede2019httpsprivacyinternationalorgnode328

294 PrivacyInternationalldquoCloudextractiontechnologythesecrettechthatletsgovernmentagenciescollectmassesofdatafromyourappsrdquo7deenerode2020httpsprivacyinternationalorglong-read3300cloud-extraction-technology-secret-tech-lets-government-agencies-collect-masses-data


Las organizaciones humanitarias usan a las redes sociales con la expectativa de que losbeneficiariosyasehayanunidoaellasodealguacutenotromodohayanaceptadolosteacuterminos y condiciones de las plataformas Esta expectativa no las exime de su deber de realizar una Evaluacioacuten de impacto relativa a la proteccioacuten de datos (EIPD)295 Una EIPDtieneporobjetoidentificardequeacutemaneraelusoderedessocialesafectaraacutealosbeneficiariosasiacutecomolasmedidasquelaorganizacioacutenpuedeadoptarparamitigarlosposibles riesgos En particular la EIPD no solo deberiacutea evaluar los riesgos de proteccioacuten de datos sino tambieacuten si el uso de las redes sociales en un contexto en particular podriacutea traducirse en violaciones de los derechos humanos o perjudicar de alguacuten otro modo a las personas en cuestioacuten Estos riesgos deberiacutean luego sopesarse con los posibles beneficios

Cabe destacar una vez maacutes que ademaacutes del contenido que los usuarios generan y brindan al abrir su(s) cuenta(s) el uso de redes sociales genera ademaacutes una gran cantidad de datos y metadatos que las plataformas no declaran en forma proactiva En consecuencia es posible que los usuarios ni siquiera sepan acerca de la generacioacuten y el tratamiento de estos datos296 Por ejemplo el mero hecho de hacer clic en los botones ldquome gustardquo o en enlaces que redireccionan al usuario a otros sitios web genera metadatos

En los uacuteltimos antildeos muchos gobiernos han accedido a grandes cantidades de datos y metadatos de redes sociales ademaacutes de a poderosas herramientas de anaacutelisis que los ayudanaidentificarpatronesenesosdatosyperfilaralaspersonasyalosgruposylashan utilizado297 En consecuencia la EIPD no debe circunscribirse a un mero anaacutelisis del cumplimiento de los requisitos de proteccioacuten de datos sino que tambieacuten deberiacutea evaluar el impacto positivo o negativo que el uso de una determinada aplicacioacuten o plataforma puede tener en distintos derechos fundamentales asiacute como las consecuencias eacuteticas y sociales del tratamiento a cargo de las organizaciones humanitarias298

EltratamientodemetadatospuedetraeraparejadosriesgossignificativosEn2014porejemplo un exdirector de la Agencia de Seguridad Nacional de Estados Unidos manifestoacute que tomariacutea la decisioacuten de matar personas a partir de informacioacuten adquirida a traveacutes de metadatos299 Las empresas fintech y de publicidad emplean ademaacutes numerosas teacutecnicas para usar esos datos300 Por eso es importante que al realizar una EIPD y desarrollar su estrategia de uso de redes sociales las organizaciones humanitarias tengan en cuenta los fines y las consecuencias no humanitarios del uso de las redes sociales

295 V Capiacutetulo 5 ldquoEvaluacioacuten de impacto relativa a la proteccioacuten de datos (EIPD)rdquo296 CICR y Privacy International 2018 paacuteg 17297 CICR y Privacy International 2018 paacuteg 29298 AManteleroldquoAIandBigDataAblueprintforahumanrightssocialandethicalimpact

assessmentrdquo Computer Law amp Security Reviewvol34nuacutemero42018paacutegs754-772httpsdoiorg101016jclsr201805017

299 CICR y Privacy International 2018 paacuteg 22300 CICR y Privacy International 2018 paacutegs 23-24


De igual modo la EIPD deberiacutea tener en cuenta que los modelos de negocio de los proveedores de redes sociales dependen de monetizar los datos de los usuarios (porejemploparadirigirlapublicidad)Estosignificaquelosdatosrecopiladosparafineshumanitariosatraveacutesdeestasplataformaspodriacuteanservulnerablesalavigilanciay la explotacioacuten comercial

Ademaacutes las organizaciones humanitarias deberiacutean evaluar si las plataformas de redes socialesconstituyenlaformamaacutessegurayconfiabledecomunicarseconlosbeneficiariosEn las emergencias por ejemplo los gobiernos podriacutean cerrar las redes sociales para evitar que el temor se propague o que se difunda informacioacuten falsa301 en cuyo caso las organizaciones humanitarias deberaacuten considerar medios de comunicacioacuten alternativos

133 CUESTIONES EacuteTICAS Y OTRAS DIFICULTADESEn el caso de las organizaciones humanitarias el hecho de recurrir a las plataformas de redes sociales para su labor inevitablemente plantea dilemas eacuteticos ya que la organizacioacuten no controla la privacidad ni las poliacuteticas de proteccioacuten de datos de terceros Muchas de estas plataformas explotan y monetizan los datos de los usuarios302 tanto datos declarados como inferidos que pueden revelar informacioacuten sensible acerca de una persona por ejemplo su orientacioacuten sexual religioacuten opinioacuten poliacutetica y pertenencia a una etnia303Alinteractuarconlosbeneficiariosenlasredessocialeslasorganizacioneshumanitarias contribuyen a generar datos y metadatos a partir de los cuales se realizan estas inferencias304

De igualmodo las plataformas de redes socialesmodifican constantemente susteacuterminos y condiciones sus poliacuteticas de privacidad y sus actividades de tratamiento pero no siempre solicitan el consentimiento de los usuarios Ademaacutes y si bien estos quizaacutes comprendan que la plataforma procesa datos declarados es posible que las plataformas no actuacuteen con transparencia respecto de queacute infieren de esos datosy auacuten maacutes importante de informacioacuten obtenida de otras fuentes (por ejemplo la actividad en liacutenea otros usuarios y terceros) asiacute como de datos generados desde el disentildeo y por defecto a partir del disentildeo y el funcionamiento de la plataforma305

301 VporejemploJWakefieldldquoSriLankaattacksThebanonsocialmediardquoBBC 23 de abrilde2019httpswwwbbccomnewstechnology-48022530

302 V por ejemplo Privacy International ldquoGuess what Facebook still tracks you on Android apps(evenifyoudonrsquothaveaFacebookaccount)rdquo5demarzode2019 httpsprivacyinternationalorgblog2758appdata-update y Privacy International How Apps on Android Share Data with Facebook ndash ReportPrivacyInternational2018 httpsprivacyinternationalorgreport2647how-apps-android-share-data-facebook-report

303 CICRyPrivacyInternational2018paacutegs89-90httpsprivacyinternationalorgreport2647how-apps-android-share-data-facebook-report



Comolodemuestraelejemploacontinuacioacutenlainformacioacutenobtenidayendefinitivalas decisiones que se toman a partir de estos datos podriacutean afectar de manera grave y maneranegativalavidadelusuarioCada vez maacutes los datos de las redes sociales se utilizan para evaluar la credibilidad de los usuarios que solicitan preacutestamos y para controlar a aquellos a los que ya se les ha otorgadounoEstasevaluacionessebasanenunconjuntodeindicadoresqueclasificanalaspersonasenldquoprestatariosconfiablesyfiablesrdquooldquoprestatariospococonfiablesyde riesgordquo306

Ademaacutesdelosriesgosasociadosalhechodequelosbeneficiarioscompartandatosen las plataformas de las redes sociales las organizaciones humanitarias deben tener en cuenta tambieacuten los contenidos que ellas mismas comparten Algunos de ellos comofotografiacuteasovideospuacuteblicosque incluyena losbeneficiariospodriacuteantenerconsecuenciasnegativasparaellosdesdeelperfiladooeldireccionamientoporpartede las empresas hasta la persecucioacuten la intimidacioacuten y el chantaje la discriminacioacuten el robo de identidad y la peacuterdida del control respecto de sus datos

Las organizaciones deberiacutean recordar ademaacutes que las redes sociales pueden no ser siempre la forma maacutes uacutetil o efectiva de llegar a un puacuteblico determinado El uso de redes sociales con frecuencia es limitado en zonas rurales y remotas y probablemente no todos los miembros de una poblacioacuten objetivo tengan el mismo acceso a la tecnologiacutea De igual modo en algunos contextos la mayoriacutea de los usuarios de redes sociales seraacuten hombres por lo que probablemente el uso de plataformas para iniciativas relacionadas conlasaluddelasmujeresnoresulteeficaz


Cuando las organizaciones humanitarias utilizan las redes sociales para fines decomunicacioacuten con frecuencia no queda del todo clara cuaacutel es su funcioacuten en relacioacuten conel tratamientode losdatospersonalesde losbeneficiariosCuandocreanunapaacutegina o perfil institucional en la plataformade una red social por ejemplo losteacuterminos y condiciones de la plataforma podriacutean autorizar al proveedor a tratar maacutes datosatraveacutesdeesapaacuteginaobienaperfilaralosusuariosconfinespublicitariosEnestasituacioacutenpodriacuteaconsiderarsejustificadamentequelaorganizacioacutenejerceel control junto con la plataforma y por ende asume parte de la responsabilidad por el tratamiento Por el contrario cuando sencillamente utiliza la plataforma para interactuarconlosbeneficiariosatraveacutesdeunapaacuteginadeunperfilodeungrupogeneradoporlosbeneficiariosmismosresultamaacutesdifiacutecildeterminarcuaacuteleslafuncioacutende la organizacioacuten y el alcance de su responsabilidad

306 CICRyPrivacyInternational2018paacuteg106VtambieacutenPrivacyInternationalldquoFintechrdquohttpsprivacyinternationalorgtopicsfintech


Ejemplo de control conjunto

En 2018 el Tribunal de Justicia de la Unioacuten Europea (TJUE) falloacute en el asunto C-21016 que los administradores de paacuteginas de Facebook son controladores de datos en relacioacuten con los datos personales recopilados y tratados por Facebook a traveacutes de sus paacuteginas de fans (una paacutegina de fan es una paacutegina institucional creada por una empresa o una organizacioacuten en la plataforma de Facebook para comunicarse con usuarios de esta red y compartir contenidos sobre su trabajo)307 Como las paacuteginas de fans estaacuten alojadas en la plataforma de Facebook esta recopila informacioacuten sobre las personas que acceden a ella o interactuacutean con la plataforma independientemente de que tengan una cuenta en Facebook o no Facebook utiliza esta informacioacuten para generar estadiacutesticas sobre los visitantes de la paacutegina de fans que comparte con el administrador de la paacutegina

Seguacuten el tribunal los administradores de estas paacuteginas (es decir las organizaciones que las crean y las administran) son controladores de datos porque el hecho de crear la paacutegina de fans ldquoofrece a Facebook la posibilidad de colocar cookies en los ordenadores o en cualquier otro aparato de la persona que haya visitado su paacutegina de fans disponga o no esta persona de una cuenta de Facebookrdquo (paacuterr 35) Asimismo cuandolosadministradoresdefinenparaacutemetrosespeciacuteficosqueFacebookrecopilaraacutepara aprovechar las estadiacutesticas referidas a los visitantes de la paacutegina se considera que participan en la determinacioacuten de los medios y los propoacutesitos del tratamiento

SibienestasentenciaserefierealcontextoregulatoriodelaUnioacutenEuropeayconciernesoloaFacebook la influenciade la legislacioacutensobreproteccioacutendedatosde laUEimplicaqueestadefinicioacutenamplia(aunquecontrovertida)deldquocontrolrdquopodriacuteatambieacutenadoptarse en otras regiones De ser ese el caso las organizaciones humanitarias podriacutean considerarse controladores de datos respecto del tratamiento de datos personales por parte de las plataformas de redes sociales que utilizan en relacioacuten con su paacutegina En la praacutecticaestosignificaquecuandolaplataformaprocesadatospersonalesrecopiladosatraveacutesdelapaacuteginadelaorganizacioacutenparafinesnohumanitarioslaorganizacioacutenpodriacutea ser responsable por ese tratamiento

En consecuencia las organizaciones humanitarias deben hacer todo lo posible para comprender cabalmente los modelos de negocio las poliacuteticas de privacidad y los protocolos de seguridad de las plataformas de redes sociales que utilizan dado que se las podriacutea responsabilizar por los usos indebidos que la plataforma y otros terceros hagan de esos datos Si existen dudas respecto del cumplimiento de los principios humanitarios de derechos humanos y de proteccioacuten de datos las organizaciones deberiacutean siempre optar por una opcioacuten de comunicacioacuten maacutes segura

307 Tribunal de Justicia de la Unioacuten Europea (TJUE) asunto 21016 Unabhaumlngiges Landeszentrum fuumlr Datenschutz Schleswig-Holstein v Wirtschaftsakademie Schleswig-HolsteinGmbHJudgementECLIEUC20183885dejuniode2018


135 PRINCIPIOS BAacuteSICOS DE LA PROTECCIOacuteN DE DATOS1351 BASES LEGIacuteTIMAS PARA EL TRATAMIENTO

DE DATOS PERSONALESSi bien las organizaciones humanitarias no pueden controlar coacutemo funcionan y procesan datos las plataformas de redes sociales deberiacutean determinar de todos modos la base legiacutetima para tratar datos que pueden solicitar o recibir a traveacutes de las redes socialesEnocasionesporejemplopuedenutilizarimaacutegenesdebeneficiariosparacampantildeas de relaciones puacuteblicas Cuando se utiliza el consentimiento la persona debe poder retirarlo Sin embargo una vez que se publicoacute una imagen o un video en liacutenea es posible que la organizacioacuten deje de tener control de las copias y reproducciones que de ellossehaganysielbeneficiarioretirasuconsentimientolaorganizacioacutenquizaacutesnopueda retirar por completo el contenido

Las organizaciones humanitarias deben identificar una base legiacutetima para cadaactividad de tratamiento308 Con frecuencia las organizaciones usan la misma paacutegina oelmismoperfilenredessocialestantoparasulaborhumanitariacomoparahacercampantildeasyobtenerfondosloquedificultariacuteaenlapraacutecticaladiferenciacioacutenentrelosdistintos propoacutesitos En estos casos es importante tener en cuenta el propoacutesito de cada elemento de una actividad de tratamiento y documentarlo en consecuencia309

1352 INFORMACIOacuteNEl controlador de los datos deberiacutea brindar a las personas informacioacuten clara y oportuna sobre el tratamiento de sus datos310 ademaacutes de explicarles queacute datos se recopilan (para brindar un servicio por ejemplo) queacute datos se generan a traveacutes del uso del serviciocuaacutelessonlosfinesdelarecopilacioacutendelosdatosyquieacutenpuedeaccederalos datos personales de esa persona compartirlos o utilizarlos Esta informacioacuten permite que los titulares de los datos tomen decisiones informadas sobre si utilizar onounservicioespeciacuteficoycomprendancoacutemoejercersusderechosNoobstantecuandolasorganizacioneshumanitariasinteractuacuteanconlosbeneficiariosatraveacutesdelas redes sociales los datos se generan y procesan fundamentalmente por medio de las plataformas mismas por lo que las organizaciones no tienen demasiado control respecto de las acciones mencionadas de todos modos deberiacutean hacerse responsables de brindar informacioacuten pertinente en la medida de lo posible

Cabeenfatizarunavezmaacutesquelasplataformasconfrecuenciamodificanyactualizansus poliacuteticas de privacidad y de proteccioacuten de datos lo que puede provocar que a los usuarios les resulte muy difiacutecil comprender queacute datos se generan y procesan (es decir coacutemo se los utiliza y con quieacuten se los comparte)311 Por ello a las organizaciones

308 V Capiacutetulo 3 ldquoBases legiacutetimas para el tratamiento de datos personalesrdquo309 V Capiacutetulo 3 ldquoBases legiacutetimas para el tratamiento de datos personalesrdquo310 V Seccioacuten 210 Informacioacuten311 CICR y Privacy International 2018 paacuteg 17


humanitarias les resulta difiacutecil comprender los riesgos derivados del uso de plataformas de redes sociales y no queda claro queacute informacioacuten deberiacutean suministrar a los titulares de los datos Se aconseja a las organizaciones humanitarias que como miacutenimoinformenalosbeneficiariossobrelasactividadesdetratamientodelasqueson responsables para lo cual podriacutean por ejemplo explicar por queacute se comunican a traveacutesdelasredessocialesycoacutemoyparaqueacutefinesseutilizaraacutelainformacioacutenquelosbeneficiariostransmitenalaorganizacioacuten

Si bien las organizaciones humanitarias no controlan queacute hacen las plataformas de redes sociales con los datos que recopilan algunas de ellas han realizado campantildeas de sensibilizacioacuten en liacutenea para explicar los riesgos asociados a las redes sociales y queacutemedidasdeberiacuteanadoptarlosbeneficiariosparaprotegersusdatosEnMeacutexicopor ejemplo para comunicarse con los beneficiarios ACNUR utiliza la paacutegina ElJaguar La organizacioacuten produjo un video que compartioacute a traveacutes de la paacutegina en el que les advierte acerca de los riesgos asociados relacionados con el uso de Facebook y coacutemo minimizarlos312

Campantildeascomoestaayudanalosbeneficiariosacomprenderlacadenadepartesyde organizaciones que pueden acceder a los datos que producen en las redes sociales asiacute como el riesgo de dantildeo que podriacutea provenir de estas plataformas No obstante informaralosbeneficiariosacercadelaspoliacuteticasdeprivacidadydedatosdelasredessociales quizaacutes no resulte uacutetil si no se puede encontrar una alternativa a la plataforma que utilizan actualmente Por el contrario las organizaciones humanitarias deberiacutean concentrarseeninformaralosbeneficiariosacercadelosriesgosposiblesyprobablesque deban enfrentar si por ejemplo se unen a sus grupos o siguen sus paacuteginas en las redes sociales ademaacutes de explicar si la pertenencia a estas comunidades puede ser visible para otros o si se la puede utilizar en su contra de alguacuten modo Esto es de suma importancia ya que incluso si se dejan de lado las inquietudes respecto de la proteccioacuten de datos el uso de las redes sociales plantea otros riesgos como la vigilancia y laconsiguiente identificacioacuten(yposiblementeubicacioacuten)depersonasygruposvulnerables por partes mal intencionadas

1353 CONSERVACIOacuteN DE LOS DATOSSeguacuten el principio de conservacioacuten de los datos estos se deberiacutean conservar por un plazodeterminadoqueseanecesarioparalosfinesparalosqueselosprocesoacuteEsteperiacuteodo puede ser de tres meses de un antildeo mientras dure una crisis o alguacuten otro plazo que se establezca313 Cuando al momento de recopilar los datos no es posible determinar durantecuaacutentotiemposelosconservaraacutealfinalizarunperiacuteodoinicialsedeberiacuteallevara cabo una revisioacuten

312 VelvideodelacampantildeaenhttpswwwfacebookcomConfiaEnElJaguarvideos874221649451680



Cuandolasorganizacioneshumanitariasinteractuacuteanconlosbeneficiariosatraveacutesdelas redes sociales son las plataformas mismas las que recopilan y conservan sus datos En consecuencia el periacuteodo de conservacioacuten variaraacute de una plataforma a otra

Ejemplos de la poliacutetica de conservacioacuten de datos de FacebookLa poliacutetica de datos de Facebook establece que la plataforma almacena los datos hasta que dejan de ser necesarios para proporcionar los servicios o hasta que se elimina la cuenta si bien existen pruebas de que retiene algunos datos incluso luego de concretarse dicha eliminacioacuten314AsimismoenellaseexplicaqueLa necesidad de los datos se determina en funcioacuten de cada caso y obedece a factores como la naturaleza de los datos el motivo de la recopilacioacuten y el tratamiento y las necesidades de retencioacuten operativas o legales aplicables Por ejemplo si realizas una buacutesqueda en Facebook puedes acceder a esa consulta y eliminarla del historial de buacutesqueda en cualquier momento pero el registro de dicha buacutesqueda se elimina transcurridos seis meses Si enviacuteas una copia de tu documento de identidad para que se verifiqueunacuentalaeliminaremos30diacuteasdespueacutesderecibirla315

Es posible que algunas plataformas de redes sociales compartan datos o informacioacuten con terceros que quizaacutes apliquen normas sobre conservacioacuten de datos diferentes El hecho de que los usuarios de redes sociales tengan que aceptar sus teacuterminos y condiciones para utilizar estos servicios plantea dudas respecto de aceptar las poliacuteticas de conservacioacuten de terceros En consecuencia las organizaciones humanitarias deberiacuteananalizarestaspoliacuteticasevaluarsiplanteanriesgosparalosbeneficiariosopara la organizacioacuten y tomar una decisioacuten informada respecto de si es apropiado o no que use la plataforma para el objetivo previsto

Lasorganizacioneshumanitariassonresponsablesademaacutesdefijarlosperiacuteodosolaspoliacuteticasdeconservacioacutendelosdatosqueobtienendelosbeneficiariosatraveacutesdegrupos paacuteginas e interacciones con redes sociales y deberiacutean explicarlos tanto a su personalcomoalosbeneficiarios

1354 SEGURIDAD DE LOS DATOSLas organizaciones humanitarias deberiacutean llevar a cabo una EIPD (v la seccioacuten 2) considerando el modelo de negocio las poliacuteticas y los teacuterminos y condiciones de la plataforma el ecosistema en general y queacute medidas de seguridad adopta para proteger los datos que procesa Si bien es posible que la plataforma no comparta esta informacioacuten abiertamente el hecho de analizar violaciones de datos previas la respuesta de la

314 A Picchi ldquoOK yoursquove deleted Facebook but is your data still out thererdquo CBS News23demarzode2018httpswwwcbsnewscomnewsok-youve-deleted-facebook-but-is-your-data-still-out-there

315 Poliacutetica de datos de Facebook


plataforma y otras vulnerabilidades conocidas podriacutea resultar un punto de partida uacutetil Asimismo es importante comprender coacutemo la plataforma procesa los datos de los usuarios y con queacute medidas cuenta para garantizar su seguridad

Internamente se aconseja a las organizaciones humanitarias que adopten medidas apropiadasparaproteger losdatosqueobtienendelosbeneficiariosporejemploprotegerlos mediante un inicio de sesioacuten y una contrasentildea segura otorgar el acceso en funcioacuten de la necesidad y capacitar a su personal para que maneje los datos correctamente

136 INTERCAMBIO INTERNACIONAL DE DATOSLos datos personales que se procesan a traveacutes de las plataformas de redes sociales por lo general traspasan las fronteras nacionales y el acceso a ellos tambieacuten es transfronterizo lo que genera inquietudes respecto de su proteccioacuten Si bien existen mecanismos contractuales reconocidos es posible que a las organizaciones humanitarias les resultedifiacutecilaplicarlosdemaneraeficazenespecialporquelasplataformasdelasredes sociales suelen escapar a su control En todo caso deben hacer todo lo posible para garantizar que el proveedor haya implementado los acuerdos de transferencia de datos necesarios316 La determinacioacuten de la jurisdiccioacuten y la legislacioacuten aplicable puede tambieacutenplanteardificultadesyaqueesimposiblerealizarunanaacutelisisderiesgodirigidoy apropiado a menos que la legislacioacuten y jurisdiccioacuten aplicables esteacuten claramente incorporadas en la gestioacuten de las redes sociales


APROBAR

CADENAS DE BLOQUES

PRIVADAS Y CON PERMISOS

PUacuteBLICAS Y SIN PERMISOS

USO POSIBLE

CAPACIDAD DE AUDITORIacuteA

RESPONSABILIDAD DEMOSTRADA

POSIBILIDAD DE LOCALIZACIOacuteN


SISTEMAS DE IDENTIDAD DIGITAL GESTIOacuteN DE LA

CADENA DE SUMINISTRO

DIFICULTADES

FALTA DE RENDICIOacuteN DE CUENTAS

MINIMIZACIOacuteN DE DATOS

DERECHOS DE RECTIFICACIOacuteN Y ELIMINACIOacuteN DE LAS PERSONAS

APROBAR

APROBAR

APROBAR

ACCIOacuteNHUMANITARIA

DATOS

TEXTO TEXTO

TEXTO

CAPIacuteTULO 14

CADENAS DE BLOQUES

317

317 Los editores desean expresar su agradecimiento a Robert Riemann (Supervisor Europeo de Proteccioacuten de Datos) Giulio Coppi (Consejo Noruego para los Refugiados) y Bryan Ford (Instituto Federal Suizo de Tecnologiacutea de Lausanne) por sus aportes para la redaccioacuten de este capiacutetulo


141 INTRODUCCIOacuteNEn los uacuteltimos antildeos ha cobrado notoriedad el teacutermino ldquocadenas de bloquesrdquo y varias organizaciones entre ellas las del sector humanitario tratan de encontrarle un uso a estatecnologiacuteaSehasostenidoquelascadenasdebloquespodriacuteanmejorarlaeficienciadelosprogramashumanitariosqueporejemploimplicantransaccionesfinancierasy el rastreo de los suministros318 Tambieacuten se ha sugerido que podriacutean mejorar la transparenciaylaconfianzaenlaintegridaddelainformacioacuten319 Sin embargo estas mejoraspodriacuteanverseanuladaspordistintasdificultadesdeiacutendolepraacutecticayreferidasa la proteccioacuten de datos las cuales se tratan a continuacioacuten (junto con los riesgos y beneficiosprevistos)

Enestecapiacutetulosepresentaunaexplicacioacutensimplificadayfaacutecildecomprenderdela tecnologiacutea de cadenas de bloques las principales partes que la componen y sus diversas arquitecturas (secciones 11 a 13) Se trata de una tecnologiacutea compleja por lo que este debate no pretende ser exhaustivo sino meramente dar sustento al anaacutelisis de la proteccioacuten de datos que se presenta en las secciones 2 a 7320

1411 iquestQUEacute ES UNA CADENA DE BLOQUES (BLOCKCHAIN)Una cadena de bloques es ldquoen esencia una base de datos descentralizada de solo adicioacutenrdquo mantenida mediante un algoritmo de consenso y almacenada en muacuteltiples nodos (computadoras)rdquo321Estadefinicioacuten incluyeunaseriedeelementosteacutecnicoscomplejos que se tratan en forma maacutes detallada a continuacioacuten En esencia la tecnologiacutea de cadenas de bloques es una manera especial de almacenar datos en una base de datos Es posible almacenar toda clase de datos incluidos los de caraacutecter personal En una cadena de bloques cada dato se almacena uno tras otro en una cadena (por eso se la denomina ldquode solo adicioacutenrdquo)322 Ello se logra agrupando los datos en un bloque y medianteelagregadoacadanuevobloquedeunpunterocriptograacutefico(unareferenciao un enlace) al bloque anterior

318 V Ko y A Verity Blockchain for the Humanitarian Sector Future OpportunitiesOficinadeCoordinacioacutendeAsuntosHumanitarios(OCHA)delasNacionesUnidas2016paacutegs12-14httpsreliefwebintsitesreliefwebintfilesresourcesBlockChain20for20the20Humanitarian20Sector20-20Future20Opportunities20-20November202016pdf

319 Ko y Verity 2016 paacuteg 8320 ParadefinicionesyexplicacionesmaacutesdetalladasdelatecnologiacuteadecadenasdebloquesvJBaconyotrosldquoBlockchainDemystifiedATechnicalandLegalIntroductiontoDistributed and Centralised Ledgersrdquo 25 Rich J L amp Tech no12018 httpsjoltrichmondeduBlockchain-demystified-a-technical-and-legal-introduction-to-distributed-and-centralised-ledgers

321 M Finck Blockchains and Data Protection in the European Union European Data Protection Law Reviewvol4nuacutemero12018paacuteg17 httpsdoiorg1021552edpl201816

322 Esta propiedad es el motivo por el cual tambieacuten reciben la denominacioacuten de ldquolibros mayoresrdquo Un ledger es aquel en el que se registran transacciones (tradicionalmente monetarias) en modo de solo adicioacuten

14 CADENAS DE BLOQUES 255

El disentildeo de las cadenas de bloques responde al deseo de incrementar la seguridad (en el sentido amplio del teacutermino) En particular y como se mencionoacute anteriormente la tecnologiacuteadecadenasdebloquesprocuramejorarlatransparenciaylaconfianzaenla integridad de la base de datos Las cadenas de bloques son ldquodistribuidasrdquo y con frecuencia ldquodescentralizadasrdquo Si bien se trata de dos conceptos diferentes tienen unacaracteriacutesticaencomuacutenindicanquelosdatosqueseprocesannosegestionannialmacenanenformacentralizadaEnestecasoldquodistribuidasrdquosignificaquehaymuacuteltiples copias de la base de datos almacenadas en diferentes computadoras en tanto ldquodescentralizadasrdquo implica que la facultad y la potestad para decidir queacute datos se agregan al ledger no estaacute en manos de una uacutenica persona o entidad sino que se comparte entre muchas personas o entidades que tienen que trabajar juntas En el presente capiacutetulo se hace referencia a estas entidades o personas como ldquovalidadoresrdquo (dado que juntos validan los datos que se almacenaraacuten en la cadena de bloques) Por lo general a mayor nuacutemero de validadores maacutes complejas son las normas que deben cumplirparallegaraunacuerdoEstassereflejanenunldquoprotocolodeconsensordquo (v seccioacuten 12 para maacutes detalles)

Las computadoras que tienen una copia de la cadena de bloques se denominan ldquonodosrdquo (dado que representan nodos de una amplia red) Los nodos pueden ser pasivos (almacenan solamente una copia actualizada de la cadena de bloques) o activos Estos uacuteltimos son ademaacutes validadores y se dice que ldquominanrdquo los datos (es decir participan en el protocolo de consenso para validar los nuevos datos que se agregan) En ocasiones y por analogiacutea se hace referencia a los validadores como ldquominerosrdquo

Los ldquousuariosrdquo son las partes que desean agregar informacioacuten a la cadena de bloques (y crean asiacute datos que necesitan ser validados y registrados en dicha cadena)

Solo se insertaraacute informacioacuten en la cadena una vez validada Asiacute a una persona que actuacutee con mala intencioacuten le resultaraacute sumamente difiacutecil agregar datos a la cadena dado que cualquier incorporacioacuten debe ser aceptada primero por los validadores

Asimismo los bloques de informacioacuten en la cadena de bloques incluyen la indicacioacuten delafechayhoraycomoyasemencionoacutecontienenunenlacecriptograacutefico(punterooreferencia)albloqueanteriorEstosignificaqueinclusosilapartequeactuacuteaconmala intencioacuten prospera en su intento demodificar los datos contenidos en unbloqueenparticulartambieacutendebemodificarelbloquesiguiente(yaqueelpunterocriptograacuteficoquecontienehabraacutecambiado)ytodoslosquelesiguenhastaelfinalde la cadena Dado el disentildeo descentralizado de la cadena es poco probable que estos cambios pasen inadvertidos ya que cada validador deberiacutea aprobarlos Como resulta enlapraacutecticamuydifiacutecil(aunquenodeltodoimposible)modificarlainformacioacutencontenida en las cadenas de bloques con frecuencia se las suele denominar libros mayores inmutables323

323 Finck 2018 paacuteg 19


Lainformacioacutenqueseagregaaunacadenadebloquessefirmamediantelaclavepuacuteblicadeunusuario(unafirmadigitalbajoseudoacutenimodelafuentedelosdatoscomo un nombre de usuario)324 Si bien por siacute solas las claves puacuteblicas no pueden revelar la identidad de la persona a la que hacen referencia se las considera datos personales seudonimizados ya que estaacuten vinculados a un individuo en particular (el usuario que agregoacute la informacioacuten) Se las podriacutea rastrear hasta llegar a la direccioacuten IP delapersonaporejemploloquepermitiriacuteasuidentificacioacuten325 Como las cadenas de bloques son praacutecticamente inmutables las claves puacuteblicas podriacutean permanecer en ellas mientras exista el ledger

Algunas de las caracteriacutesticas de la tecnologiacutea de cadenas de bloques mencionadas pueden ofrecer ventajas a las organizaciones humanitarias Por ejemplo la arquitectura descentralizada podriacutea aumentar la seguridad ya que no hay un uacutenico punto de fallo odecompromisoenestossistemasEstosignificaquelosposiblesatacantestienenque comprometer varios enlaces para que la cadena de bloques en su conjunto se vea comprometidaEstaconfiguracioacuten incrementa la integridaddelsistemayaquesesostiene que garantiza la inmutabilidad de los datos en praacutecticamente todos los casos

Dado que la informacioacuten incluye un sello de fecha y hora y es praacutecticamente inmutable ademaacutes de que la responsabilidad es compartida se ha sostenido326 que las cadenas de bloquesresultanmaacutesuacutetilescuando

bull se las usa para rastrear la titularidad de asuntos complejos a lo largo del tiempo

bull hay muacuteltiples grupos o partes involucrados

bull nohayunaautoridadcentraleficazobienconsolidada(conocidatambieacutencomoldquotercerodeconfianzardquo)

bull los grupos o partes involucrados tienen que trabajar en forma colaborativa

bull se requiere un registro o comprobante de las transacciones

Estosejemplosdemuestranqueunodelosbeneficiosprincipalesdelatecnologiacuteadecadenas de bloques es su resistencia a un uacutenico punto de fallo o de compromiso Ello se debe al disentildeo distribuido del ledger que garantiza que muacuteltiples nodos deban trabajar juntos para agregar datos nuevos a la cadena Ademaacutes y como todo el ledger se copia enmuacuteltiplesnodosesdifiacutecilmodificarinformacioacutenendicholibroylosdatosquedana disposicioacuten aun cuando un nodo esteacute comprometido lo que aumenta su integridad

Cabe destacar que es muy probable que esta tecnologiacutea no se necesite en los casos en losqueelniveldeintegridadnoesunproblema(esdecirlaconfianzaentrelaspartesenunprogramaenparticularessuficienteytambieacutenlosonlosnivelesdecapacidaddeauditoriacutea) o simplemente si basta con el grado de integridad y disponibilidad que otra tecnologiacutea vigente ofrece En estos casos es probable que la implementacioacuten de una

324 Finck 2018 paacuteg 19325 Finck 2018 paacutegs 24-25326 Ko y Verity 2016 paacuteg 9


solucioacutenmaacutestradicionalconunabasededatoscentralresultemaacuteseficienteraacutepidayeconoacutemica y en teacuterminos generales maacutes proporcionada desde el punto de vista de la proteccioacuten de los datos

1412 CLASES DE CADENAS DE BLOQUESEs posible construir las cadenas de bloques de diferentes maneras en funcioacuten del disentildeo del sistema que se elija Una decisioacuten clave por ejemplo es si la cadena seraacute puacuteblicaonoSibiennoexisteunadefinicioacutenuniversalmenteaceptadadecadaclasedecadenasdebloqueslassiguientessonlasqueseusanmaacutescomuacutenmente

Cadenas de bloques

Sin permisoscualquiera puede transformarse en un validador (nodo o minero)

Con permisoslos validadores (nodos o mineros) son predefinidos y autorizados por un oacutergano de gobierno

Puacuteblicastodos pueden acceder (ldquoverrdquo o ldquoleerrdquo) los datos almacenados en la cadena de bloques y agregar transacciones

Todos pueden leer las transacciones en la cadena de bloques (que es puacuteblica) y participar en el protocolo de consenso como validador de nuevas transacciones Cabe destacar no obstante que es posible que los datos agregados al ledger esteacuten cifrados y en consecuencia quienes no tienen la clave de descifrado no podraacuten descifrar ni leer sus contenidos Sin embargo las claves puacuteblicas y los sellos de fecha y hora permanecen visibles para todos

Esta clase de cadena (puacuteblica y sin permisos) es la que utiliza Bitcoin

Todos pueden leer las transacciones en la cadena (que es puacuteblica) pero solo partes predefinidas pueden transformarse en validadores y participar en el protocolo de consenso para validar las nuevas inserciones

Estas cadenas de bloques por ejemplo podriacutean contribuir a mejorar la transparencia de la cadena de suministro dado que solo las partes involucradas en el manejo de bienes estariacutean autorizadas a modificar el ledger (en calidad de validadores) en tanto un miembro del puacuteblico podriacutea verificar las transacciones

Privadassolo los usuarios autorizados pueden acceder a los datos en las cadenas de bloques

En teoriacutea esta clase de cadenas de bloques permite que solo las partes predefinidas accedan a los datos almacenados en la cadena de bloques pero cualquiera puede participar en la validacioacuten de nuevos agregados Sin embargo esto resultariacutea difiacutecil de implementar en la praacutectica dado que los validadores pueden almacenar una copia completa del ledger En consecuencia seriacutea difiacutecil concebir una plataforma en la que los validadores no tengan acceso a la informacioacuten que figura en dicho libro

Solo los usuarios predefinidos pueden acceder a los datos almacenados en las cadenas de bloques (ldquoleerlosrdquo) y solo los validadores predefinidos (no necesariamente los mismos usuarios) pueden participar de la validacioacuten de nuevos agregados

Ademaacutes de elegir quieacuten puede ldquoleerrdquo o ldquoescribirrdquo en la cadena quienes disentildean el sistema deben decidir coacutemo se realizaraacute la validacioacuten Los procesos de validacioacuten de cadenas de bloques estaacuten regulados mediante mecanismos (o protocolos) de consenso que consisten


enunconjuntodenormaspredefinidasquedividenlaconfianzaentrelaspartesEstasnormas les permiten almacenar datos en forma inmutable sin una autoridad central (o tercerodeconfianza)loquepreservalaintegridaddelledger327 En otras palabras los mecanismosdeconsensodefinendequeacuteformalaspartesvalidanlanuevainformacioacutenen la cadena de bloques y de considerarla vaacutelida coacutemo la agregan al ledger

Existen diferentes clases de protocolos de consenso Por ejemplo en las cadenas de bloques que utilicen protocolos de prueba de trabajo los validadores necesitan ganarse el derecho a validar una transaccioacuten mediante la resolucioacuten de problemas matemaacuteticos complejos a traveacutes de ataques de fuerza bruta que requieren un suministro eleacutectrico y capacidad de tratamiento considerables328 En los protocolos de prueba de participacioacuten mientras tanto las partes gozan de derechos de voto simples y la ponderacioacuten de ese voto puede variar en funcioacuten de su participacioacuten en las cadenas de bloques

Afindeilustraralgunasdelasdistintaseleccionesquesedebenhaceraldesarrollaruna cadena de bloques resulta uacutetil pensar en el sistema como si se tratase de una empresa Estas suelen tener reuniones de directorio Tiene que haber normas que rijan la eleccioacuten de los directores y quieacuten tiene derecho a votar y tomar decisiones Una opcioacuten consiste en que un grupo cerrado decida quieacuten ingresa al directorio y quieacuten sale (semejante a una cadena de bloques con permisos) Otra posibilidad consiste en permitirquecualquierpersonaparticipedeldirectorioentantoadquierasuficientesldquoparticipacionesrdquo en la compantildeiacutea que le otorguen acciones con derecho de voto (una cadena de bloques con prueba de participacioacuten) Una tercera opcioacuten es decidir que cualquiera tenga la posibilidad de participar del directorio en tanto pueda demostrar quehadedicadoenergiacuteasuficienteaunatareaenlosuacuteltimosdiezminutosunabarreraartificialalingreso(unacadenadebloquesconpruebadetrabajo)

1413 LAS CADENAS DE BLOQUES EN LA PRAacuteCTICATanto los acadeacutemicos como los profesionales sugieren las siguientes ventajas y dificultades en el uso de la tecnologiacutea de cadenas de bloques que se enuncian acontinuacioacuten329

Ventajas

bull Nosenecesitauntercerodeconfianza(unaautoridadcentral)paramantenerlaintegridaddeunregistrocompartidolosparticipantesverificanlastransaccionesagregadas en una cadena de bloques mediante un mecanismo de consenso El alcancedeestebeneficiovariacuteanoobstanteenfuncioacutendecoacutemoseutilicelacadena

327 WAl-SaqafyNSeidlerldquoBlockchaintechnologyforsocialimpactopportunitiesandchallenges aheadrdquo Journal of Cyber Policyvol2nuacutemero32017paacuteg2 httpswwwtandfonlinecomdoifull1010802373887120171400084


329 ParamaacutesdetallesvFinck2018yBaconyotros2017


bull AleliminaraltercerodeconfianzasereducencostosPorejemplolacadenapodriacutea respaldar las transferencias de dinero en efectivo internacionales entre las partes de una transaccioacuten lo que elimina la necesidad de recurrir a un banco o a otrainstitucioacutenfinancieraquesuelenpercibiruncargoporsutarea

bull Una cadena de bloques actuacutea como un rastro de auditoriacutea dado que por la forma en que los datos se almacenan y estaacuten conectados resulta maacutes sencillo rastrear el origen y el movimiento de los activos fiacutesicos vinculados a un token digital330

bull La transparencia es mayor en especial en las cadenas de bloques puacuteblicas porque es mayor el nuacutemero de las partes que pueden acceder al ledger Por el contrario enlascadenasdebloquesprivadasestebeneficioprobablementesereduzcaoseaincluso inexistente

bull Las cadenas de bloques mejoran la integridad y la disponibilidad ya que ofrecen resiliencia operacional y no implican un uacutenico punto de fallo o de compromiso331

Dificultades

bull Es necesario determinar una estructura de gestioacuten apropiada para cada solucioacuten de cadenas de bloques

bull SibienseconsideraquelascadenasdebloquessonldquodenofiarrdquohaypartesdelsistemaenlasquedetodosmodossedebeconfiarEntreellasseincluyenlosdesarrolladores que estaacuten detraacutes del coacutedigo asiacute como los disentildeadores que crean aplicaciones que interactuacutean con las cadenas de bloques o con los servicios en la nube en los que es probable que los datos esteacuten almacenados

bull La cadena de bloques incrementa el nuacutemero de puntos de acceso para posibles ataques de partes mal intencionadas lo que plantea riesgos de seguridad Ademaacutes algunos mecanismos de consenso ndashmaacutes allaacute de que no se los usa con frecuenciandash aceptan como vaacutelidas transacciones que cuenten con la aprobacioacuten del 51 de los validadores Asiacute si un consorcio de validadores adquiere el control del 51 de los nodos podriacutean en conjunto asumir el control del ledger

bull La tecnologiacutea depende de la conectividad a internet

bull Algunas cadenas de bloques por ejemplo las que usan protocolos de prueba de trabajo consumen mucha maacutes electricidad que las tecnologiacuteas alternativas332

bull Las personas deben ser informadas acerca del tratamiento de datos personales a traveacutes de notas informativas y deben tener la posibilidad de ejercer los derechos de los que gozan en relacioacuten con esos datos (por ejemplo los derechos de eliminacioacutenderectificacioacutenyderetirodelconsentimiento)

bull Las cadenas de bloques privadas con permisos quizaacutes resultan maacutes apropiadas para ciertas clases de programas humanitarios (como los programas de transferencias de dinero en efectivo) dado que estas arquitecturas implican un nuacutemero limitado de participantes Sin embargo en algunos casos

330 Pisa y Juden 2017 paacuteg 9331 Otras caracteriacutesticas de la tecnologiacutea no obstante la hacen maacutes vulnerable a los ataques (vlasdificultadesacontinuacioacutenasiacutecomolaseccioacuten54sobreseguridaddelosdatos)

332 Bacon y otros 2018 paacuteg 15


estopodriacuteatraducirseenlareincorporacioacutendepartesdeconfianzayenunamenortransparencia

bull La compatibilidad con los requisitos en materia de proteccioacuten de datos en distintas jurisdicciones son una fuente de preocupacioacuten (v a continuacioacuten)

bull En tanto la tecnologiacutea de cadenas de bloques contribuye a mejorar la transparencia en muchas situaciones no soluciona los problemas subyacentes que dan origen a los denominados ldquodatos incorrectosrdquo En otras palabras si alguien almacena registrospococonfiablesenunacadenadebloquesesosregistrosseguiraacutensiendopococonfiablesyelsistemanopodraacuteaprovecharsusposiblesbeneficios333

Estas ventajas y dificultades de las cadenas de bloques han influido demanerasignificativaensuusoSelassueleutilizarparagestionarelhistorialdetransaccionesregistrar la titularidad o custodia de activos tales como criptomonedas o la responsabilidad por estos activos Asimismo se las utiliza para protocolizar o establecer la fecha y hora en documentos relacionados con la cadena de suministro las credenciales digitales y otros asiacute como para exigir el cumplimiento de condiciones contractuales (mediante el uso de contratos inteligentes)334

1414 CASOS DE USO HUMANITARIOLas organizaciones humanitarias han comenzado a evaluar posibles aplicaciones de las cadenas de bloques y han llevado a cabo proyectos piloto en los que se utiliza esta tecnologiacutea335 Si bien en estos casos no se cuenta con demasiada informacioacuten acercadelosriesgosylosbeneficiosqueestastecnologiacuteastraenaparejadosentrelasorganizaciones humanitarias se han propuesto algunos de los usos que se enumeran a continuacioacuten336

bull Programas de transferencia de efectivo337 la cadena de bloques podriacutea mejorar la eficienciadeestosprogramasmedianteunsistemaderegistrodetransaccionesseguro y bien estructurado que a su vez mejore la transparencia y brinde la tranquilidad adicional de que los datos almacenados en el sistema no fueron manipulados La aplicacioacuten de la tecnologiacutea de cadenas de bloques a estos

333 Pisa y Juden 2017 paacuteg 49334 Los contratos inteligentes son una funcioacuten de las cadenas de bloques que no se trataraacuten en estecapiacutetuloParamaacutesinformacioacutensobreloscontratosinteligentesvMFinckldquoSmartContracts as a Form of Solely Automated Processing Under the GDPRrdquo Max Planck Institute for Innovation amp Competition trabajo de investigacioacuten no19-012019 httpsssrncomabstract=3311370 o httpdxdoiorg102139ssrn3311370

335 ParamaacutesinformacioacutensobreelusodecadenasdebloquesenelsectorhumanitariovG Coppi y L Fast Blockchain and distributed ledger technologies in the humanitarian sector informeencomendadoporelHumanitarianPolicyGroup(HPG)2019 httpswwwodiorgsitesodiorgukfilesresource-documents12605pdf

336 Ejemplos tomados de Ko y Verity 2016337 V por ejemplo Federacioacuten Internacional de Sociedades de la Cruz Roja y de la Media

Luna Roja Learning Review Blockchain Open Loop Cash Transfer Pilot ProjectFICR2018 httpswwwalnaporghelp-libraryblockchain-open-loop-cash-transfer-pilot-project


bull programas permitiriacutea que las organizaciones humanitarias realicen pagos digitales enformamaacuteseconoacutemicayeficienteyconmayorcapacidadderastreoademaacutesde ofrecer interoperabilidad entre muacuteltiples organizaciones Asimismo dado que se argumenta que esta tecnologiacutea brinda resiliencia operacional y no implica un uacutenico punto de fallo o de compromiso su uso permitiriacutea que las transacciones sean maacutes seguras (v la seccioacuten 54 para maacutes informacioacuten sobre cadenas de bloques y seguridad)

bull Optimizacioacuten y trazabilidad de la logiacutestica las cadenas de suministro humanitarias son extremadamente complejas y dinaacutemicas por lo que es extremadamente difiacutecil controlarlas La tecnologiacutea de cadenas de bloques ofreceriacutea una forma de incorporar transparencia en estas operaciones En el caso de la provisioacuten de suministros meacutedicos por ejemplo una cadena de bloques podriacutea contener un registro praacutecticamente inmutable con indicacioacuten de fecha y hora de cuaacutendo salieron del depoacutesito cuaacutendo se los transportoacute fuera del paiacutes de origen en queacute momento llegaron al paiacutes de destino en queacute fecha se los recibioacute en la sede local de la organizacioacuten humanitaria y cuaacutendo llegaron al hospital de destino Dado que una cadena de bloques puacuteblica brinda un ledger visible para el puacuteblico puede servir como plataforma de datos transparente para la trazabilidad de los oriacutegenes el uso y el destino de los suministros humanitarios

bull Trazabilidad de los fondos de donantes la trazabilidad entre pares y el control dedonacionespermitiriacuteaincrementarelusodemodelosdefinanciamientoque eliminen al ldquointermediariordquo338tradicional(otercerodeconfianza)339 Estos modelospodriacuteanreducirloscostostransaccionalesasociadosalfinanciamientohumanitario internacional y mejorariacutean la trazabilidad de las donaciones incluso las recibidas del puacuteblico en general No obstante la tecnologiacutea de cadenas de bloques podriacutea utilizarse para realizar donaciones anoacutenimas Esto podriacutea plantear un desafiacuteo para las organizaciones humanitarias que tienen poliacuteticas de financiamientomaacutesestrictasqueexigenlaidentificacioacutendeldonante

bull Mejorar el conocimiento de la situacioacuten compartido en caso de conflicto elProtocoloWhiteflag340 (en el que el CICR colabora actualmente) procura brindar un medio de comunicacioacuten neutral para todas las partes que participan enunconflictoEsteprotocolosehadisentildeadoparaofrecerunsistemademensajeriacutea en el que en tiempo real se pueda intercambiar informacioacuten sobre emergencias peligros locales minas antipersonal desplazamientos poblacionales yotrascuestionesasabiendasdequenohasidomodificadaporunapartemalintencionadaEnestecasoningunodelosparticipantesnecesitaconfiarenelotro Si bien el hecho de poner esta informacioacuten a disposicioacuten del puacuteblico podriacutea contribuir a ubicar civiles y evaluar la distincioacuten y la proporcionalidad en los ataquestambieacutensepodriacuteautilizarparaatacaragruposidentificados

338 Ko y Verity 2016 paacuteg 13339 Finck 2018 paacuteg 18340 Sitiowebdelproyectohttpswwwwhiteflagprotocolnet


EJEMPLOEn el Blockchain Open Loop Cash Transfer Pilot Project341 la Federacioacuten Internacional de Sociedades de la Cruz Roja y de la Media Luna Roja y la Sociedad de la Cruz Roja de Kenia utilizaron las cadenas de bloques para registrar transferencias de dinero en efectivoabeneficiariosprovenientesdehogaresafectadosporlasequiacuteaLaideadeeste proyecto piloto era indagar en el uso y el valor agregado de las cadenas de bloques en los programas de transferencia de efectivo Las transferencias en siacute se hicieron en forma independiente de las cadenas de bloques a traveacutes de una alianza convencional con un proveedor (de telefoniacutea) moacutevil local y una empresa de gestioacuten de la informacioacuten Sin embargo el uso de una cadena de bloques privada con permisos permitioacute registrar las transacciones de manera praacutecticamente inmutable con la consiguiente mejora en la transparencia entre las partes (las uacutenicas que podiacutean acceder a la cadena de bloques) la creacioacuten de un rastro de auditoriacutea (ya que los registros no se podiacutean manipular) y una mayor seguridad de los registros (no habiacutea un uacutenico punto de fallo o compromiso)

De este proyecto surgieron fundamentalmente dos dificultades En primer lugarresultoacutedifiacutecilmodificarlosregistroscuandoporejemplosesolicitoacuteundesembolsoporerroryhuboquecorregirlatransaccioacutenEnsegundolugarcomolosbeneficiariosno podiacutean recibir la asistencia a menos que hubieran dado su consentimiento resultoacute cuestionable si el consentimiento se habiacutea dado en forma libre e informada342


El uso de las cadenas de bloques en los programas humanitarios puede plantear muchos problemas de proteccioacuten de datos que no siempre estaacuten presentes en otros contextos Este es uno de los muchos motivos por los que es importante llevar a cabo una Evaluacioacuten de impacto relativa a la proteccioacuten de datos (EIPD) antes de tomar la decisioacuten de implementar sistemas de cadenas de bloques Una EIPD puede contribuir aidentificarsiesnecesarioyproporcionadoonoponerenpraacutecticaunsistemadeestanaturaleza Si la organizacioacuten efectivamente decide avanzar con su implementacioacuten laEIPDpermitiriacuteatambieacutenidentificarabordarymitigarlosriesgosylasdificultadesasociados al uso de estas cadenas Existen numerosas plantillas y materiales para realizar esta evaluacioacuten343perohastaahoraningunadeellassehadisentildeadoespeciacuteficamentepara el uso de cadenas de bloques en contextos humanitarios En consecuencia

341 Federacioacuten Internacional de Sociedades de la Cruz Roja y de la Media Luna Roja (FICR) Learning Review Blockchain Open Loop Cash Transfer Pilot Project FICR2018httpswwwalnaporghelp-libraryblockchain-open-loop-cash-transfer-pilot-project

342 V Seccioacuten 32 Consentimiento343 V por ejemplo Autoridad nacional encargada de la proteccioacuten de datos en Francia (CNIL) ldquoGuidelinesonDPIArdquo18deoctubrede2017httpswwwcnilfrenguidelines-dpiaOficinadel Comisionado de Informacioacuten del Reino Unido (ICO por sus siglas en ingleacutes) Sample DPIA template2018httpsicoorgukmediafor-organisationsdocuments2553993dpia-templatedocxmc_phishing_protection_id=28047-br1tehqdu81eaoar3q10


las organizaciones deben adaptar los modelos de EIPD existentes o bien disentildear otros queseanespeciacuteficosparalascadenasdebloques344

Una EIPD es un proceso sistemaacutetico y adaptativo que abarca tanto las cuestiones generales referidas al tratamiento de datos personales como las que tienen que ver con el uso de un tipodetecnologiacuteaespeciacutefico(enestecasolascadenasdebloques)Comoyasemencionoacuteen este mismo capiacutetulo las cadenas de bloques ofrecen tanto ventajas como desventajas paralasorganizacioneshumanitariasApesardelosposiblesbeneficiosenlamayoriacuteade los casos no se han registrado verdaderas mejoras Durante la realizacioacuten de una EIPDlasorganizacioneshumanitariasdeberiacuteanidentificarclaramentelosbeneficioslasdificultadesylosriesgosasociadosalusodelascadenasdebloquesencomparacioacutencon otras tecnologiacuteas No se trata de un enfoque nuevo pero resulta especialmente importante para una tecnologiacutea emergente como esta

Dado que las cadenas de bloques pueden adoptar muchas formas diferentes la EIPD debe incluir ademaacutes la gestioacuten y el disentildeo de cada aplicacioacuten en particular A raiacutez de la diversidad de aplicaciones probables y de la complejidad teacutecnica de esta tecnologiacutea las organizaciones humanitarias deberiacutean elaborar tambieacuten un marco para la toma de decisiones que las ayude a determinar si implementar o no tecnologiacuteas de cadenas de bloques y en tal caso queacute protecciones deberiacutean poner en praacutectica Algunos autores han sugerido marcos generales para la toma de decisiones referidos a la implementacioacuten de las cadenas de bloques345 Sin embargo estas plantillas geneacutericas no tienen en cuenta lascuestionesespeciacuteficasrelacionadasconlaproteccioacutendedatosqueelusodeestatecnologiacutea plantea en el sector humanitario Por ello en el anexo adjunto a este capiacutetulo seofreceunmarcoalternativoparalatomadedecisionespensadoespeciacuteficamentepara las cadenas de bloques

LarealizacioacutendeunaEIPDpodriacutearesultartambieacutenfundamentalparaidentificarunabase legiacutetima apropiada para el uso de esta tecnologiacutea El proceso de la EIPD deberiacutea considerarelimpactoqueuntipodecadenadebloquesespeciacutefico(esdecirlaquese preveacute en una situacioacuten dada) podriacutea tener en los derechos de los titulares de los datos y en la aplicacioacuten de los principios relativos a la proteccioacuten de datos A partir de esta evaluacioacuten las organizaciones humanitarias podraacuten elegir la mejor solucioacuten para minimizar los riesgos potenciales

La EIPD deberiacutea brindarles un cuadro de situacioacuten claro respecto del impacto de las cadenas de bloques en cuanto a la proporcionalidad del tratamiento de los datos Sobre la base de esta evaluacioacuten una organizacioacuten estaraacute en condiciones de juzgar si existe o no alguacuten medio menos intrusivo como las bases de datos tradicionales que pueda satisfacersusnecesidadesconunriesgomenorparalosbeneficiarios

344 Para maacutes informacioacuten sobre modelos de EIPD y su disentildeo v el capiacutetulo 5345 K Wuumlst y A Gervais Do you need a Blockchain trabajo presentado en la Conferencia Crypto Valleyde2018sobrelaTecnologiacuteaBlockchain(CVCBT)httpseprintiacrorg2017375pdf


Ademaacutes de evaluar el disentildeo teacutecnico del sistema el proceso de EIPD deberiacutea tambieacuten tener en cuenta las cuestiones y los principios que se detallan en las secciones 3 a 7


La proteccioacuten de datos desde el disentildeo y por defecto implica disentildear una operacioacuten un programa o una solucioacuten de tratamiento que implemente principios de proteccioacuten de datos clave desde un comienzo y que brinde al titular de los datos la mayor proteccioacuten posibleEnestesentidolosprincipiosdeproteccioacutendedatosclaveson




bull precisioacuten



bull apoyo a los derechos de los titulares de los datos desde el disentildeo

Para una descripcioacuten general de estos principios algunos de los cuales se ponen en contexto en las secciones siguientes v el capiacutetulo 2

En esta instancia es importante tener en cuenta las diferentes clases de cadenas de bloques ya que al disentildear un modelo que cumpla con los principios de proteccioacuten de datos se deben considerar todas las opciones

Lascadenasdebloquesprivadasconpermisos(vlaseccioacuten12paralasdefiniciones)son lasmaacutes restrictivas ya que una parte omaacutes definen quieacuten tiene derecho avalidar la informacioacuten en la cadena y quieacuten puede acceder a los datos en el ledger En consecuencia probablemente resulte maacutes sencillo disentildear cadenas de bloques privadas con permisos de tal manera que resulten compatibles con los principios relativos a la proteccioacuten de datos346 No obstante en algunos casos el hecho de restringir los derechos de los participantes podriacutea contradecir el propoacutesito mismo de esta tecnologiacutea yaquevolveriacuteaaintroducirlafiguradeunapartedeconfianzayposiblementeunuacutenico punto de fallo o de compromiso

A la vez las cadenas de bloques puacuteblicas siempre se deberiacutean disentildear de modo tal que no se almacenen en ellas datos personales (esta es siempre la opcioacuten de preferencia

346 M Finck Blockchain and the General Data Protection Regulation Can distributed ledgers be squared with European data protection lawESTUDIOPanelfortheFutureofScienceandTechnologyEuropeanParliamentaryResearchService(EPRS)2019paacuteg1httpswwweuroparleuropaeuRegDataetudesSTUD2019634445EPRS_STU(2019)634445_ENpdf


incluso para libros mayores privados) Estos podriacutean en cambio almacenarse ldquofuera de la cadenardquo (es decir fuera del ledger) En este caso el ledger solo contiene un puntero criptograacuteficoqueconfirmaqueundocumentoounainformacioacutenespeciacuteficossehanalmacenado en un lugar diferente (por ejemplo en el servidor de una organizacioacuten humanitaria347) Los datos en siacute no se guardan en la cadena de bloques Sin embargo e incluso con este disentildeo cabe recordar que las claves puacuteblicas pertenecientes a las personas incluidas en la cadena de bloques continuaraacuten siendo datos personales Si los punteroscriptograacuteficossondatospersonalesonoesuntemadedebate348


En su calidad de libros mayores distribuidos las cadenas de bloques pueden implicar la participacioacuten de una amplia variedad de organismos y entidades por lo que posiblemente resulte difiacutecil determinar queacute partes deberiacutean ser tratadas como controladordedatosyqueacutepartesseriacuteanprocesadoresdedatosAfindeaportarmayorclaridad a continuacioacuten se detallan las funciones respectivas de cada uno

bull Los controladores de datosdeterminanlosmediosylosfinesdeltratamientoSon responsables por el tratamiento de datos personales y tienen a su cargo la implementacioacuten de los derechos de los titulares de los datos Deben cumplir con los principios de proteccioacuten de datos y responder a los pedidos de los individuos deejercersusderechosdeaccesorectificacioacutenyeliminacioacutenSihaymuacuteltiplescontroladores de datos en la cadena de bloques o si nuevos usuarios considerados controladores de datos se unen a la cadena sus responsabilidades respectivas por el tratamiento se deberiacutean consignar en un acuerdo por escrito

bull Los procesadores de datos cumplen con las instrucciones de los controladores de datos y tienen la responsabilidad de garantizar la seguridad de los datos Asimismo deben informar a los controladores acerca de queacute medios se utilizan para tratar datos asiacute como sobre los problemas y quejas que puedan surgir en relacioacutenconsuintegridadconfidencialidadydisponibilidad

Cada arquitectura de cadenas de bloques (conforme se presenta en la seccioacuten 12) puede tener consecuencias diferentes al momento de determinar cuaacuteles son las funciones de las distintas partes que operan en el ledger Es importante mencionar que

347 Unpunterocriptograacutefico(conocidotambieacutencomopunterohash)eslatransformacioacutenmatemaacutetica unidireccional de cualquier dato de entrada (un mensaje o un documento) en una combinacioacutendeletrasynuacutemerosdelongitudfija(salida)Cadavezqueunelementoespeciacuteficose incluye en un hash la salida es la misma pero cualquier ligero cambio en el elemento (por ejemplo el hecho de eliminar o agregar una coma) generaraacute un hash totalmente diferente (Pisa y Juden 2017) En consecuencia agregar un puntero hash a la cadena de bloques permite quelapersonaverifiquequesehaguardadoundocumentodadoqueencasodeincorporarloen la tabla hash nuevamente generariacutea el mismo puntero que el contenido en el ledger



alidentificaralcontroladordedatosladeterminacioacutendelosfinesdeltratamientoes maacutes importante que elegir los medios para realizarlo Si analizamos entonces cuaacuteles son las partes principales en las cadenas de bloques se podriacutean considerar las siguientesopciones

bull Enunacadenadebloquesconpermisosesposibleidentificaraunapartecentral(ointermediario)quecalificacomocontroladordedatos(porejemplolosoperadores del sistema que otorgan derechos de ldquoescriturardquo) en tanto los nodos seriacutean los procesadores de datos

bull En una cadena de bloques sin permisos no habraacute un intermediario central ya que todos los nodos operan la red en forma descentralizada En este caso cada nodotendriacuteaelpotencialdecalificarcomocontroladordedatosyaquedecide en forma autoacutenoma si unirse a la red y llevar adelante sus objetivos o no349 Sin embargo esta conclusioacuten no es unaacutenime

bull Hay quienes sostienen que los nodos son controladores de datos porque el hecho de que se unan a una cadena de bloques se considera equivalente a determinar losfinesdeltratamiento350 Otros opinan que los nodos no son controladores de datos351 Asimismo cabe destacar que en ocasiones los nodos solo ven la versioacuten cifrada de los datos y corren un programa de software que no les permite modificarelledger En consecuencia no podraacuten ldquoverrdquo queacute datos incluyendo losdatospersonalesseestaacutenprocesandonitampocomodificarlosyporendetampoco podraacuten cumplir con las obligaciones de proteccioacuten de datos que se les atribuyen a los controladores de datos

bull A la vez es posible que en algunas situaciones los usuarios (organizaciones o individuosparticularesquedecidenusarlacadenadebloques)califiquencomocontroladoresdedatosyaquedeterminanconclaridadlosfinesdeltratamiento(esdecirelregistrodeinformacioacutenespeciacuteficaenlacadenadebloques)352 Ademaacutesalseleccionarunaversioacutendecadenadebloquesespeciacuteficalosusuarioseligen el medio de tratamiento No obstante esta interpretacioacuten no se aplicaraacute a todas las clases de cadenas de bloques Eso podriacutea ocurrir con una cadena de bloques puacuteblica sin permisos en el caso de las cadenas de bloques privadas con permisos es maacutes probable que quienes las constituyen sean un consorcio de organizaciones en este ejemplo el consorcio seraacute considerado corresponsable del tratamiento

349 Finck 2018 paacutegs 26-27350 Finck 2018 paacuteg 26351 JBaconyotrosldquoBlockchainDemystifiedrdquoQueenMarySchoolofLawLegalStudiestrabajodeinvestigacioacutenno26820172017paacutegs64-65httpspapersssrncomsol3paperscfmabstract_id=3091218



Las Autoridades encargadas de la proteccioacuten de datos de Francia (CNIL) han intentado brindar algo de orientacioacuten en la materia Seguacuten indican353

bull A quienes participan en la cadena de bloques con derechos de ldquoescriturardquo se los consideraraacute controladores de datos cuando los datos que ingresen esteacuten vinculados a una actividad profesional

bull Las personas juriacutedicas que ldquoescribenrdquo datos en una cadena de datos se consideran controladores de datos

bull Los mineros (o nodos) que no agregan datos a la cadena pero que (al participar enelprotocolodeconsenso)soloverificanlaautenticidaddelosdatosnosoncontroladoresdedatosporquenodefinenlosmediosylosfinesdeltratamientoEn cambio se los puede considerar procesadores de datos que trabajan bajo las instrucciones del controlador de datos

bull Porsupartelosusuariosdecadenasdebloquespuedenclasificarseendosgrupos bull losqueusanlascadenasdebloquesparafinescomercialesoprofesionalescalificaraacutencomocontroladoresdedatos

bull los que usan el ledgerconfinesprivadosnocalificaraacutencomotalesyaqueestaseconsiderariacutea una actividad puramente personal no comprendida en el alcance de la mayoriacutea de las leyes sobre proteccioacuten de datos

Al evaluar las distintas interpretaciones y orientaciones en la materia las organizaciones humanitarias que tienen intencioacuten de usar la tecnologiacutea de cadenas de bloques deben asegurarse de que la gestioacuten de la solucioacuten elegida incorpore los conceptos de controlador de datos y de encargado del tratamiento de datos Deben determinar ademaacutes y de la manera maacutes clara posible cuaacuteles son las responsabilidades de cada parte para una actividad de tratamiento determinada Si queda claro que en una situacioacuten seraacute imposible que los controladores de datos cumplan con sus obligaciones (en especial permitir a los titulares de los datos que ejerzan sus derechos) se deberiacutea buscar una solucioacuten alternativa ya que el uso de la cadena de bloques muy probablemente sea incompatible con los principios relativos a la proteccioacuten de datos

145 PRINCIPIOS BAacuteSICOS DE LA PROTECCIOacuteN DE DATOSComo se explicoacute anteriormente es probable que resulte difiacutecil conciliar el uso de cadenas de bloques con los principios baacutesicos de la proteccioacuten de datos En la praacutectica la compatibilidad entre ambos dependeraacute de la arquitectura y del disentildeo de cada solucioacuten de cadenas de bloques Si bien en esta seccioacuten se ofrece orientacioacuten en general al evaluar su compatibilidad con dichos principios las organizaciones deberaacuten considerar tambieacutenlascaracteriacutesticasespeciacuteficasdecadaaplicacioacuten

353 CNIL BLOCKCHAIN Solutions for a responsible use of the blockchain in the context of personal dataCNIL2018httpswwwcnilfrsitesdefaultfilesatomsfilesblockchain_enpdf


1451 MINIMIZACIOacuteN DE LOS DATOSPor su propia naturaleza los libros mayores distribuidos pareceriacutean contradecir el principio de minimizacioacuten de los datos que establece que para cumplir el objetivo y losfinesdeltratamientolacantidaddedatospersonalesqueseprocesadebelimitarseal miacutenimo posible354 Esto se debe fundamentalmente a que los datos en las cadenas de bloques podriacutean almacenarse a perpetuidad asiacute como a que se guarda una copia del ledger completo en muacuteltiples nodos en numerosos dispositivos Sin embargo esto podriacutea tener solucioacuten Los datos personales podriacutean guardarse fuera de la cadena de bloques en tanto el ledgersoloconservariacuteaelpunterocriptograacuteficoa losdatosalmacenados en un lugar diferente En este caso los datos no quedaraacuten almacenados a perpetuidad en el ledger ni se los compartiraacute con todos los nodos El individuo o la organizacioacuten que almacena datos mantendraacute el pleno control sobre estos y por ende podraacute aplicar el principio de minimizacioacuten de los datos al tratamiento de datos fuera delacadenasinmodificarel ledger ensiacuteSi lospunteroscriptograacuteficossondatospersonales o no continuacutea siendo un tema de debate355

1452 CONSERVACIOacuteN DE LOS DATOSEl hecho de que se sostenga que las cadenas de bloques son libros mayores distribuidos inmutables tambieacuten cuestiona el principio de conservacioacuten de los datos356 Los datos almacenados en una cadena de bloques se conservaraacuten en muacuteltiples computadoras por un tiempo indeterminado En consecuencia la mejor solucioacuten consistiriacutea en no almacenar datos personales en las cadenas de bloques Por ejemplo no se deberiacutean guardar datos personales en libros mayores puacuteblicos ya que cualquiera puede acceder a esta cadena de bloques (o leerla) En particular los datos personales especialmente sensibles ndashcomo los registros sobre la pertenencia a una etnia o la historia cliacutenicandash nunca deberiacutean almacenarse en cadenas de bloques

1453 PROPORCIONALIDADLa proporcionalidad es un principio central de la proteccioacuten de datos Por lo general exige evaluar si una accioacuten o una medida relacionada con el tratamiento de datos personales es apropiada para el objetivo que se intenta alcanzar La proporcionalidad implica establecer las opciones y elegir la que resulte menos intrusiva para los derechos de los titulares de los datos Dada la complejidad de las cadenas de bloques probablemente resulte difiacutecil determinar si una implementacioacuten es proporcionada o no

354 Por ejemplo seguacuten el art 5(1)(C) y (e) del Reglamento general de proteccioacuten de datos (RGPD) los datos personales deben ser ldquoadecuados pertinentes y limitados a lo necesario enrelacioacutenconlosfinesparalosquesontratadosrdquoyldquomantenidosdeformaquesepermitalaidentificacioacutendelosinteresadosdurantenomaacutestiempodelnecesarioparalosfinesdeltratamientodelosdatospersonalesrdquo

355 Finck 2019 paacuteg 30356 V Seccioacuten 27 Conservacioacuten de los datos


Al igual que sucede con los principios de minimizacioacuten de los datos y de conservacioacuten de los datos una manera de abordar el problema de la proporcionalidad en una cadena de bloques puacuteblica sin permisos consistiriacutea en almacenar los datos personales fuera de la cadena Sin embargo agregar una base de datos fuera de ella quizaacutes implique volver aintroducirauntercerodeconfianzaporejemplounproveedordeserviciosenlanube con el que se almacenaraacuten los datos Esto a su vez podriacutea anular los supuestos beneficiosderivadosdeutilizarunacadenadebloquesNoobstanteelprincipiodeproporcionalidad podriacutea cumplirse si las caracteriacutesticas de la cadena de bloques son esenciales para cumplir el objetivo previsto (por ejemplo cuando hay una gran necesidad de mejorar la integridad la transparencia y la disponibilidad de una solucioacuten existente) y si dicho objetivo no podriacutea alcanzarse con un modelo de base de datos centralizado (por ejemploporquenohay confianzamutuaentre laspartes) Sin embargo losriesgos para los titulares de los datos no pueden ser desproporcionadamente altos en comparacioacuten con el objetivo que se persigue

1454 SEGURIDAD DE LOS DATOSLaseguridaddelosdatosesunaspectoclavedeunsistemaeficazdeproteccioacutendedatos357Laseguridadsuelerelacionarsecontresprincipiosbaacutesicos

bull confidencialidad solo las partes autorizadas pueden acceder a los datos

bull integridadlaspartesautorizadasnodebentenerlaposibilidaddemodificarlosdatos y estos no deben ser objeto de peacuterdida destruccioacuten o dantildeo

bull disponibilidad los datos deben estar a disposicioacuten (de las partes autorizadas) cuando sea necesario

Cuando se trata de la seguridad en estos tres aspectos las cadenas de bloques tienen tanto fortalezas como debilidades que se detallan a continuacioacuten

Respectodelaconfidencialidadlanaturalezadistribuidadelascadenasdebloquesimplicaque los mismos datos tienen el potencial de replicarse y distribuirse ampliamente lo que se traduce en un mayor nuacutemero de puntos de acceso y vulnerabilidades Ademaacutes incluso si un sistema de cadenas de bloques utiliza teacutecnicas de cifrado y hashing complejas los avances en la computacioacuten cuaacutentica permitiriacutean incluso que la informacioacuten sea descifrada sin contar con la clave para ello Si en el futuro el cifrado ya no garantiza la seguridad ni la anonimidad de los datos todos los datos personales almacenados en una cadena de bloques puacuteblica podriacutean estar expuestos Ademaacutes como en la mayoriacutea de las situaciones los datos almacenados en una cadena de bloques no se pueden eliminar el dantildeo seriacutea irreversible Esta es otra razoacuten por la que no se recomienda almacenar datos personales en la cadena de bloques en siacute

Respecto de la integridad el caraacutecter inmutable de la tecnologiacutea de cadenas de bloquesyelusodeprotocolosdeconsensoresultanbeneficiososparalaseguridad



en comparacioacuten con las bases de datos centralizadas y un motivo no menor es que ldquoel almacenamiento de datos sensibles en servidores centralizados genera un honeypot para los potenciales hackers asiacute como un uacutenico punto de fallordquo358 Por el contrario en las cadenas de bloques no hay un uacutenico punto de fallo o de compromiso yamenosqueelatacantepuedacontrolarunacantidadsuficientedenodoscomopara controlar el protocolo de consenso es altamente probable que el sistema no se vea comprometido

Respectodelacuestioacutendeladisponibilidadlacadenadebloquesresultabeneficiosauna vez maacutes ya que consiste en un ledger distribuido almacenado simultaacuteneamente en muacuteltiples computadoras

Con frecuencia se dice que la resistencia a un uacutenico punto de fallo o de compromiso es el principal valor agregado de las cadenas de bloques en lo que respecta a la seguridad Si esto no es un imperativo para la organizacioacuten en tal caso es probable que la tecnologiacuteatradicionalquenoutilizalascadenasdebloquesresultemaacuteseficienteraacutepida y econoacutemica Las teacutecnicas para compartir secretos se supone que mejoran la proteccioacuten de los datos cifrados en libros mayores distribuidos por ejemplo tambieacuten pueden utilizarse en bases de datos tradicionales es decir que no son exclusivas de las cadenas de bloques La tecnologiacutea agrega valor cuando la integridad y la disponibilidad sonimportantesycuandonohayconfianzamutuaentrelosparticipantes

146 DERECHOS DE LOS TITULARES DE LOS DATOSLos titulares de los datos gozan de ciertos derechos que les permiten controlar sus propios datos personales Tal como se explica a continuacioacuten teacutecnicamente quizaacutes resulte muy difiacutecil o incluso imposible implementar estos derechos en las cadenas de bloques

1461 DERECHO DE ACCESOLas personas tienen derecho a saber si un controlador de datos estaacute procesando sus datos personales y a obtener una copia de esos datos359 En consecuencia cuando en el sector humanitario los datos personales se almacenan en cadenas de bloques las organizaciones humanitarias deberiacutean participar siempre como nodos que conservan una copia completa del ledger Esto les permite asegurarse de que la totalidad de la base dedatosesteacutedisponibleentodomomentoycomunicaralosbeneficiariosqueacutedatosestaacuten almacenados en la cadena

358 Pisa y Juden 2017 paacuteg 6359 V Seccioacuten 211 Derechos de los titulares de los datos


Cuando los datos se almacenan fuera de la cadena en cambio el ledger solo contiene un puntero que sentildeala a esos datos En esos casos es maacutes probable que las organizaciones humanitarias mismas almacenen los datos y esteacuten en condiciones de responder a los pedidos de los titulares de los datos en consonancia con los requisitos juriacutedicos

1462 DERECHO DE RECTIFICACIOacuteNLos titulares de los datos tienen derecho a que los datos incorrectos sobre ellos se rectifiquen360 Sin embargo en una cadena de bloques esto probablemente resulte problemaacutetico ya que desde el punto de vista teacutecnico es muy difiacutecil sino imposible modificar los datos una vez agregados al ledger361 (de aquiacute la clasificacioacuten deldquoinmutablerdquo)

Si se almacenan datos personales en la cadena una forma de hacer valer este derecho consisteenagregaraestalosdatosnuevosyrectificadosmedianteunadeclaracioacutensuplementaria y hacer que los datos previos sean inaccesibles (para lo cual por ejemplo se puede eliminar la clave de descifrado necesaria para acceder a los datos incorrectos) Sin embargo no hay consenso entre los profesionales y los acadeacutemicos sobre esta solucioacuten En algunos casos tambieacuten es posible insertar una nueva transaccioacuten que indique que es necesario corregir los datos antiguos El problema con estas opciones radica no obstante en que en lugar de corregir los datos originales simplemente agreganmaacutesdatosalacadenaNoquedaclarosiestoseaceptariacuteacomorectificacioacuten

Ante estas limitaciones la mejor forma de hacer frente a estos retos consiste en almacenarlosdatospersonalesfueradelascadenasdondeselospuedarectificarsinmodificarelledger en siacute Cabe aclarar que esta opcioacuten reduciriacutea en gran medida las ventajas de integridad y disponibilidad de las cadenas de bloques que describimos previamente En otras palabras si la integridad y la disponibilidad tambieacuten son dos elementos importantes para los datos personales en ese caso no se recomienda una solucioacuten basada en esta tecnologiacutea

1463 DERECHO A LA ELIMINACIOacuteNConceptualmente la naturaleza praacutecticamente inmutable de las cadenas de bloques se contradice con el derecho a la eliminacioacuten362 Se han sugerido varias opciones para abordar esta cuestioacuten Como ya se mencionoacute una de ellas consiste en hacer que los datos en la cadena sean inaccesibles aun cuando esteacuten presentes en ella

360 V Seccioacuten 211 Derechos de los titulares de los datos361 DContedeLeonyotrosldquoBlockchainpropertiesandmisconceptionsrdquoAsia Pacific Journal

of Innovation and Entrepreneurshipvol11ndeg32017httpswwwresearchgatenetpublication321811785_Blockchain_properties_and_misconceptions Y el ejemplo del usodeltenedordurodeEthereumparacorregirelhackeodeDAO httpsblogethereumorg20160720hard-fork-completed



Para lograrlo una posibilidad es eliminar la clave que se necesita para descifrar los datos cifrados Sin embargo algunos acadeacutemicos y profesionales sostienen que este enfoque no es satisfactorio ya que aunque esteacuten cifrados los datos personales no se eliminan (como implica el derecho a la eliminacioacuten) sino que simplemente se los hace inaccesibles Esto podriacutea resultar problemaacutetico a la luz de los avances en la tecnologiacutea de descifrado (v el debate sobre seguridad de los datos maacutes arriba)

Dado que en consonancia con los requisitos de proteccioacuten de los datos es posible rectificarnieliminarlosdatospersonalesalmacenadosfueradelacadenasinmodificarel ledger distribuido esta resulta una vez maacutes la opcioacuten de preferencia

EJEMPLOSi una organizacioacuten humanitaria utiliza las cadenas de bloques para los programas de transferenciadeefectivoesprobablequesolicitealosbeneficiariosquetenganunaldquobilleterardquo en dicha cadena La billetera funciona praacutecticamente de la misma manera que una clave puacuteblica es decir se la puede comparar contra un nombre de usuario que porsiacutesolonoidentificaalbeneficiarioSinembargoesprobablequelaorganizacioacutentengaunabasededatosfueradelacadenaounsistemadegestioacutendebeneficiariosquevinculecadabilleteraconunuacutenicobeneficiario

Cadavezquesetransfiereefectivoaunodeellosseagregaraacuteunatransaccioacutenalacadena de bloques con indicacioacuten de cuaacutento se envioacute a queacute billetera y cuaacutendo Una vez validada la transaccioacuten mediante el protocolo de consenso se la almacena en forma inmutableenlacadenadebloquesSilosbeneficiariossolicitanquesusdatosseaneliminados es teacutecnicamente imposible eliminar de la cadena su billetera (que al igual que una clave puacuteblica constituye datos personales) En este caso una opcioacuten consistiriacutea en eliminar a la persona del sistema de gestioacuten o de la base de datos fuera de la cadena ya que es el uacutenico lugar en el que la billetera estaacute asociada a un individuo Una vez eliminadoelperfilpersonallareidentificacioacuteninmediatayanoseriacuteaposible

1464 LIMITACIOacuteN DE LOS DERECHOS DE LOS TITULARES DE LOS DATOS

Eldebateanteriorsobreelaccesolaeliminacioacutenylarectificacioacutendemuestraladificultadde ejercer los derechos de proteccioacuten de los datos cuando se utiliza la tecnologiacutea de cadenas de bloques Dado que las cadenas de bloques puacuteblicas sin permisos son mayormente incompatibles con los derechos de los titulares de los datos pareceriacutea que la uacutenica solucioacuten consiste en almacenar datos personales fuera de la cadena Sin embargo estos derechos no son absolutos y por ende es posible restringirlos Cuando los titulares de los datos solicitan ejercer sus derechos el controlador de datos estaacute autorizado a tener en cuenta la tecnologiacutea a disposicioacuten y el costo de implementacioacuten Es importante mencionar sin embargo que estas restricciones solo son aceptables en casos excepcionales363Enelcapiacutetulo2deestemanualseexplicanyejemplifican



las situaciones en las que es posible que los derechos de los titulares de los datos se vean restringidos Quedan dudas en cuanto a si es posible tener una cadena de bloques queldquocumplaconlaproteccioacutendedatosrdquoencasosdeusoespeciacuteficosenlosqueeltratamiento legiacutetimamente implica la derogacioacuten de los derechos de los titulares de los datos Aunque se considere legiacutetimo restringir determinados derechos son de aplicacioacuten todos los demaacutes principios relativos a la proteccioacuten de datos (minimizacioacuten de los datos necesidad proporcionalidad seguridad etc)

147 INTERCAMBIO INTERNACIONAL DE DATOSComo praacutectica de rutina los datos tratados en aplicaciones de cadenas de bloques atravesaraacuten fronteras nacionales especialmente en las arquitecturas puacuteblicas y sin permisos a las que cualquier persona en cualquier lugar podriacutea potencialmente unirse Esto plantea interrogantes sobre la proteccioacuten de los datos en las aplicaciones de cadenas de bloques en las que hay un intercambio internacional de datos364 Si bien existen las claacuteusulas contractuales y otros mecanismos reconocidos estas medidas pueden resultar praacutecticamente inviables en una cadena de bloques

La determinacioacuten de la legislacioacuten y la jurisdiccioacuten aplicables tambieacuten puede plantear dificultadesElanaacutelisisderiesgodirigidoyapropiadoquesepreveacuteenelcapiacutetulo4deeste manual resulta imposible a menos que tanto la legislacioacuten como la jurisdiccioacuten aplicables esteacuten claramente incorporados en la gobernanza de las cadenas de bloques (por ejemplo en cadenas de bloques privadas con permisos que limiten la ubicacioacuten geograacuteficadequienespuedenunirsealacadena)

Es posible que las transferencias internacionales resulten problemaacuteticas en determinadas clases de cadenas de bloques por ejemplo las cadenas puacuteblicas ilimitadas y sin permisos como las utilizadas por la criptomoneda Bitcoin En este caso no hay una parte central que controle quieacuten se une al sistema y almacena una copia del ledger Sin embargo las arquitecturas privadas con permisos y otras ofrecen la posibilidad de un mayor control y por ende contribuyen a mitigar estos riesgos En consecuencia es posible tratar de abordar la cuestioacuten de las transferencias a traveacutes de la gobernanza de las cadenas de bloques mediante la incorporacioacuten por ejemplo de garantiacuteas de proteccioacuten de datos (incluidasucodificacioacutenfijaenlaarquitecturadecadenasdebloques)

Ademaacutes los controladores de datos deben informar a los titulares de los datos si sus datos se han compartido con otros o si se los ha transferido a un tercer paiacutes Salvo limitadas excepciones por lo general esto no es posible en las cadenas de bloques puacuteblicas sin permisos ya que cualquier persona de cualquier lugar del mundo podriacutea unirse al sistema y almacenar una copia del ledger En las cadenas de bloques con permisos en cambio los controladores de los datos tienen maacutes control y por ende deberiacutean poder cumplir con este requisito



ANEXO MARCO PARA LA TOMA DE DECISIONES RESPECTO DEL USO DE CADENAS DE BLOQUES EN LA ACCIOacuteN HUMANITARIAEl marco de toma de decisiones que se incluye a continuacioacuten tiene por objeto orientar a las organizaciones humanitarias en el proceso de implementacioacuten de las cadenas de bloques en las acciones humanitarias

Paso 1Es un paso comuacuten a la implementacioacuten de cualquier tecnologiacutea nueva y no se aplica exclusivamente a las cadenas de bloques Consiste en un ejercicio inicial de recopilacioacuten de informacioacuten y de determinacioacuten de alcance que deberiacutea responder a las siguientes preguntas

bull iquestQueacute problema podriacutea resolver una solucioacuten de cadenas de bloques

bull iquestA queacute programa se aplicaraacute y cuaacuteles son las necesidades del programa

bull iquestEs un sistema de cadena de bloques la tecnologiacutea menos invasiva con mayor aversioacuten al riesgo y menos controlable con que se cuenta para responder al problema en cuestioacuten

bull iquestEn queacute contexto funcionaraacuten las cadenas de bloques

bull iquestDoacutende funcionaraacute (en un paiacutes o una regioacuten o en todo el mundo)

bull iquestQuieacutenessonlaspartesinteresadas(beneficiariosautoridadeslocalessociosfinancierosoperadoresdetelefoniacuteamoacutevilotrasorganizacioneshumanitariasetc)

bull iquestCuaacutelessonlosobjetivosdelatecnologiacutea(aumentarlaeficienciainternamejorarel posicionamiento ampliar los programas existentes cumplir con los requisitos de los donantes gestionar los riesgos etc)

bull iquestCuaacuteles son actualmente los acuerdos de gestioacuten y la capacidad de tecnologiacutea de la informacioacuten de su organizacioacuten iquestEs posible implementar la tecnologiacutea y gestionar los riesgos asociados a la capacidad y los acuerdos existentes

bull iquestSe tiene una idea clara del aporte que haraacute la tecnologiacutea al ecosistema de informacioacuten local

Paso 2Determinar si es necesario un sistema basado en cadenas de bloques para lograr el o los objetivos de un programa humanitario o de otra iniciativa para lo cual se deberaacutenconsiderarlasventajasylosretosrelacionadosconlatecnologiacuteaidentificadospreviamente en el contexto particular en el que se la implementaraacute Su organizacioacuten deberaacute tratar de comprender cuaacuteles son sus necesidades si las cadenas de bloques responderaacuten a ellas o no coacutemo seraacute la experiencia de los titulares de los datos con el sistema coacutemo se respetaraacuten sus derechos y si otro sistema que ofrezca una mejor proteccioacutenadichostitularesysusderechospodriacuteasermaacuteseficazpararesponderaesasnecesidadesDeberaacuteformularselassiguientespreguntas

bull iquestImporta el orden de las (trans)acciones

bull iquestExisteunaautoridadcentralenlaquepuedaconfiar


bull iquestNecesita almacenar datos

bull iquestSu equipo de soporte de tecnologiacutea de la informacioacutende gestioacuten estaacute convencido de esta solucioacuten

bull iquestSu organizacioacuten comprende queacute aporte haraacute el sistema al ecosistema de informacioacuten local

Paso 3Si su organizacioacuten decide que solo es posible lograr su objetivo con una solucioacuten de cadenas de bloques deberaacute determinar queacute clase de cadena de bloques es la maacutes apropiadaonecesariaHaacutegaselassiguientespreguntas

bull iquestHay muacuteltiples contribuyentes

bull iquestPuederecurrirauntercerodeconfianzaqueldquoesteacutesiempreenliacuteneardquo bull iquestConoce a todos los contribuyentes

bull iquestConfiacutea en todos los contribuyentes

bull iquestSerequierecapacidaddeverificacioacutenpuacuteblica

Paso 4Consulte con su encargado de proteccioacuten de datos su soporte de tecnologiacutea de la informacioacutenysuspares

bull Solicite orientacioacuten

bull Aproveche la experiencia de otros Por ejemplo consulte a pares que hayan desarrollado un sistema similar o que hayan utilizado una solucioacuten comercial que su organizacioacuten tiene intenciones de usar y solicite asesoramiento a especialistas en cadenas de bloques

Paso 5RealiceunaEIPDpara identificaryevaluar los impactosdel tratamientodedatospersonalesLaEIPDdeberiacuteaincluirporejemplolassiguientespreguntas

bull iquestCuaacutel es la legislacioacuten aplicable iquestSe aplica a todas las partes interesadas

bull iquestQueacute clase de datos personales se procesan iquestCuaacuteles de los datos personales que son necesarios para la transaccioacuten se almacenaraacuten en la cadena de bloques

bull iquestEl tratamiento es leal liacutecito y transparente

bull iquestCuaacuteles son las alternativas al almacenamiento de datos personales en la cadena de bloques en siacute iquestEs posible el almacenamiento fuera de la cadena

bull iquestLos titulares de los datos pueden ejercer plenamente sus derechos Caso contrario iquestlas restricciones son legales y proporcionadas

bull iquestQuieacuten estaacute facultado para determinar la gobernanza de la cadena de bloques

bull iquestCoacutemo funciona la plataforma

bull iquestQuieacutenpuedemodificarlaplataformayenqueacutecircunstanciassepodriacuteanactualizarlos registros en el ledger

bull iquestQueacute riesgos plantea la tecnologiacutea elegida iquestCoacutemo se trataraacute y mitigaraacute cada riesgo

bull iquestCoacutemo pueden los individuos ejercer sus derechos


Paso 6Implementelosprincipiosdeproteccioacutendedatosdesdeeldisentildeoypordefecto

bull Ambos principios requieren la revisioacuten y el control continuos de las medidas teacutecnicas y organizacionales para lo cual se deben tener en cuenta la tecnologiacutea a disposicioacuten el costo de implementacioacuten la naturaleza el alcance el contexto y losfinesdeltratamientoylosriesgos(degravedadyprobabilidadvariables)queeste plantea para los derechos y libertades de las personas fiacutesicas Se deberiacutea llevar a cabo una nueva EIPD siempre que se produzca un cambio de importancia en la tecnologiacutea utilizada o en la clase de datos que se recopilan

bull Laproteccioacutendedatosdesdeeldisentildeoimplicatenerencuentafactorescomo bull el cumplimiento de los principios de proteccioacuten de los datos (licitud lealtad y

transparencia limitacioacuten del propoacutesito minimizacioacuten de los datos exactitud limitacioacutendelalmacenamientointegridadyconfidencialidad)

bull losderechosdeltitulardelosdatos(porejemplonotificacioacutenaccesoeliminacioacutenrectificacioacuten)

bull otras obligaciones de proteccioacuten de datos (por ejemplo responsabilidad demostrada y seguridad)

bull Laproteccioacutendedatospordefectoimplicatenerencuentafactorescomo bull queacute clases y categoriacuteas de datos personales se procesan bull la cantidad de datos personales tratados bull elfinparalosqueseprocesanlosdatos bull el periacuteodo de almacenamiento bull la accesibilidad

Si en la etapa de recopilacioacuten de informacioacuten su organizacioacuten llega a la conclusioacuten de que otros sistemas pueden resultar maacutes apropiados que las cadenas de bloques solo deberiacutea cumplir con el paso 1


USO POSIBLE

DIFICULTADES

MANTENERSE EN CONTACTO CON FAMILIARES

RUTAS SEGURAS

ENCONTRAR REFUGIO

SERVICIOS HUMANITARIOS

CONTROLADOR DE DATOS Y PROCESADORES DE DATOS

PERFILADO Y EXPLOTACIOacuteN COMERCIAL

VIGILANCIA

FALTA DE TRANSPARENCIA

CAPIacuteTULO 15


365

365 Los editores desean expresar su agradecimiento a Robert Riemann (Supervisor Europeo de Proteccioacuten de Datos) John Warnes (ACNUR) Antonella Napolitano y Ed Geraghty (Privacy International) por sus aportes a este capiacutetulo


151 INTRODUCCIOacuteNEnlasemergenciaspermanecerconectadosesunaformadeayudaralosbeneficiariosacomunicarseconfamiliaresdelosquequedaronseparadosplanificarrutassegurasencontrar refugio interactuar con organizaciones humanitarias y acceder a servicios humanitarios y de otra naturaleza Sin embargo luego de un desastre las redes de telecomunicaciones en las que se basa la conectividad366 suelen interrumpirse lo que priva a las personas afectadas de los canales de comunicacioacuten de los que dependen cadavezmaacutesSeguacutensehaobservado losbeneficiariosatribuyenunaimportanciaconsiderable a la conectividad En 2016 por ejemplo el personal humanitario que brindaba asistencia a los migrantes en Grecia informoacute que antes que alimentos y agua estos pediacutean acceso a internet367 Las organizaciones humanitarias han reconocido la importancia de la conectividad y en respuesta han elaborado una serie de programas

Es importante establecer una diferenciacioacuten entre conectividad como asistencia y conectividad para la asistencia Esta uacuteltima hace referencia al hecho de brindar conectividad a los trabajadores humanitarios para que puedan llevar a cabo su labor en tanto la primera implica brindar conectividad a personas afectadas y ofrecerles servicios relacionados como forma de asistencia en situaciones de emergencia o en crisis prolongadas

Este capiacutetulo se centra en los problemas de proteccioacuten de datos resultantes de la conectividad como asistencia tanto al nivel individual como comunitario A nivel comunitariolasorganizacioneshumanitariassuelenconfigurarpuntosdeaccesoobienbrindar conectividad en los centros comunitarios En estos casos las organizaciones por lo general manejan la ldquocantildeeriacuteardquo (es decir la infraestructura fiacutesica como los cables yhacesdefibraquesenecesitanparabrindarconectividad)quesecomparteentrelosusuarios En el plano individual las organizaciones humanitarias pueden brindar apoyo a las personas en sus interacciones con los proveedores de conectividad pero seraacuten ellas las que tendraacuten mayor responsabilidad por su propio acceso a esta368 La diferenciacioacuten entre estos dos niveles tiene ademaacutes implicancias para la responsabilidad de proteccioacuten de los datos que recae en las organizaciones humanitarias

1511 DESCRIPCIOacuteN DE INTERVENCIONES DE CONECTIVIDAD COMO ASISTENCIA

Distintas iniciativas y organizaciones trabajan hoy en diacutea para brindar conectividad en situaciones de emergencia y responder a los agujeros negros de conectividad A continuacioacutenalgunosejemplos

366 Alosfinesdeestecapiacutetuloelteacuterminoldquoconectividadrdquohacereferenciaalaccesoaconexiones de internet y de telefoniacutea moacutevil

367 LTaylorldquoInternetIsAsImportantAsFoodAndWaterToRefugeesInGreeceAidGroupsrdquo HuffPost22dejuliode2016httpswwwhuffpostcomentryinternet-is-as-important- as-food-and-water-to-refugees-in-greece_n_57928a22e4b02d5d5ed1ac5b

368 V por ejemplo UNHCRrsquos Connectivity for Refugees initiative Connections 2019

15 CONECTIvIDAD COMO ASISTENCIA 281

bull NetHope369 brinda soluciones de conectividad en diversas situaciones de emergencia La organizacioacuten que trabaja con USAID lleva internet de banda ancha a zonas rurales de Oriente Medio Aacutefrica (Botsuana Ghana Kenia Liberia Nigeria y Zambia) Asia (Camboya e Indonesia) y el Caribe (Jamaica)

bull Emergency Telecommunications Cluster (ETC) es una red global de organizaciones que trabajan juntas para brindar servicios de comunicaciones compartidos en emergencias humanitarias ETC es uno de los 11 clusters designados por el Inter-Agency Standing Committee (IASC)370

bull La iniciativa Connectivity for Refugees (Conectividad para refugiados) del Alto Comisionado de las Naciones Unidas para los Refugiados (ACNUR) ayuda a las personas desplazadas y a las comunidades de acogida a tener acceso a conectividad con un enfoque basado en los derechos que pone eacutenfasis en la inclusioacuten en los sistemas nacionales

bull Iniciativasdelsectorprivado bull Loon371 es una iniciativa liderada por Google para conectar a las personas

mediante globos que contienen los componentes esenciales de antenas de telefoniacuteamoacutevilafindellevaraccesoainternetazonasquenoestaacutencubiertaspor las redes existentes El proyecto procura en asociacioacuten con operadores de redes moacuteviles ampliar el alcance de la banda ancha inalaacutembrica 4G (o Long Term Evolution LTE)

bull Facebook Connectivity372 tambieacuten participa en una serie de iniciativas entre ellas Free Basics que procura brindar acceso a internet gratuito en todo el mundo y High Altitude Connectivity que implica promover el uso de los sistemas de conectividad de estaciones en plataformas a gran altitud (HAPS por sus siglas en ingleacutes) y tecnologiacutea satelital para llevar conectividad a zonas remotas a menor costo

bull CISCO Tactical Operations (TacOp)373 despliega una serie de tecnologiacuteas y equipos de redes para brindar redes de comunicaciones gratuitas a organizacioneshumanitariasybeneficiariosluegodesituacionesdedesastreTras el terremoto de magnitud 81 que tuvo lugar en Nepal en 2015 por ejemplo Cisco TacOp estuvo en el terreno dentro de las 72 horas siguientes para restablecer las comunicaciones

1512 CONTEXTO OPERACIONALCuando se comienza con un programa de conectividad como asistencia es importante recordar que las crisis son situaciones complejas y que las circunstancias y las personas afectadas variaraacuten de una crisis a otra De igual modo los programas de conectividad variaraacuten seguacuten el contexto Para algunos el eacutenfasis estaraacute puesto en desarrollar la

369 httpsnethopeorg370 httpswwwetclusterorg371 httpslooncom372 httpsconnectivityfbcom373 httpswwwciscocomcmen_usnever-bettercsrhtml


resiliencia de las redes existentes ante los desastres o las emergencias que puedan ocurrir en el futuro Para otros la prioridad seraacute llevar conectividad a zonas en las que nunca existioacute Si bien la implementacioacuten praacutectica inevitablemente diferiraacute las organizaciones deberaacuten tener en cuenta algunos factores comunes maacutes allaacute del tipo de programa que esteacuten implementando El primero de ellos es la situacioacuten regulatoria que determinaraacute lo que puede y lo que no puede hacer la organizacioacuten El segundo son las organizaciones tanto comerciales como no que actualmente brindan conectividad en la zona De hecho las organizaciones humanitarias suelen interactuar con entidades del sector privado a lo largo de la totalidad o parte de la cadena de conectividad y dado que estas asociaciones son cada vez maacutes comunes las organizaciones de ambos sectores han elaborado lineamientos sobre coacutemo cooperar mutuamente374

Al evaluar la posibilidad de aliarse con otras entidades (v la seccioacuten 13) siempre se aconseja que las organizaciones humanitarias evaluacuteen los riesgos que tales alianzas conllevan Una forma de hacerlo al menos en parte es a traveacutes de una Evaluacioacuten de impacto relativa a la proteccioacuten de datos (EIPD) un ejercicio que trasciende las cuestiones de proteccioacuten de los datos (v la seccioacuten 2) y procura garantizar que la alianza no provoque dantildeo a las personas afectadas

1513 MUacuteLTIPLES ALIANZAS Y PARTES INTERESADASEs posible que las organizaciones humanitarias no cuenten con la experiencia y los conocimientos la tecnologiacutea o los equipos necesarios para implementar por siacute solas un programadeconectividadEstosignificaqueparalograrsusobjetivosprobablementedeban aliarse con un proveedor de conectividad o de tecnologiacutea o maacutes Puede tratarsedeorganizacionessinfinesdelucroempresasprivadas(comoproveedoresde telecomunicaciones y empresas de tecnologiacutea) y ONG que brindan soluciones de conectividad en situaciones de emergencia

Ademaacutes de considerar a las otras partes tambieacuten es importante entender que brindar conectividad quizaacutes constituya un proceso en distintos niveles Como ya se mencionoacute existendosnivelesdiferenteselnivelcomunitarioyelindividualEneluacuteltimocasolosbeneficiariosasumenunamayorresponsabilidadporsupropiaconectividadyaquelosoperadoresdeconectividadrecopilandatosdirectamentededichosbeneficiarios

Una vez establecida la conectividad hay servicios adicionales (denominados ldquode libre transmisioacutenrdquo (over-the-top)) como los servicios de redes sociales que se ofrecen en un contrato de telefoniacutea las billeteras moacuteviles o el dinero moacutevil Es probable que algunos proveedoresdeestosserviciosofrezcansusproductosdirectamentealosbeneficiariosquerecibenasistenciaEnestecasoysibienteacutecnicamentelosbeneficiariosactuacutean

374 VporejemploGSMAssociation(GSMA)ldquoHumanitarianConnectivityCharterrdquo httpswwwgsmacommobilefordevelopmentmobile-for-humanitarian-innovationhumanitarian-connectivity-charter


como consumidores son de hecho maacutes vulnerables que el consumidor promedio Tambieacuten hay partes menos visibles que participan en los programas de conectividad como los proveedores de infraestructura y quienes trabajan en el backhaul para llevar conectividad a las organizaciones humanitarias o a los proveedores de servicios (como los proveedores de ancho de banda) Asimismo y como capa de proteccioacuten agregada los proveedores pueden agregar inspeccioacuten profunda de paquetes (deep packet inspection) (DPI por sus siglas en ingleacutes)375alaredLaDPIimplicafiltrarpaquetesnodeseados(unidades de datos enviadas por internet desde un origen a un destino) por ejemplo virus o malwareCabedestacarsinembargoquelaDPIpermiteidentificaralcreadoroaldestinatariodecontenidosquecontienenpaquetesespeciacuteficosloquesignificaquetambieacutenesposibleutilizarlaparafinesdecontrolydevigilancia

Todas estas organizaciones y entidades que trabajan en diversas capas del programa de conectividad ndashbackhaul cantildeo over the top y acceso de uacuteltima millandash pueden recopilar datos de los usuarios o acceder a ellos Esto se debe a que en cada capa de la conectividad se generan y procesan datos y metadatos adicionales Este tratamiento por parte de entidades diferentes es necesario desde el punto de vista teacutecnico ya que el enviacuteo de un mensaje de un lugar a otro por lo general requiere que muacuteltiples entidades conozcan su origen y su destino376 Es probable que estos metadatos (como los puntos de conexioacuten ldquome gustardquo y visitas) sean accesible a algunas o a todas las entidades en la cadena de conectividad que podraacuten extraer conocimiento sobre emergencias humanitariasylaspersonasinvolucradasenformasquetantoalosbeneficiarioscomoa las organizaciones humanitarias les puede resultar difiacutecil de prever377

Ejemplo de operadores de conectividad que recopilan datos directamente de los beneficiariosUnoperadorderedmoacutevillocalsueleaccederalasiguienteinformacioacutenparafinesdefacturacioacutenidentificadoresuacutenicosparalatarjetaSIMyeldispositivo(nuacutemerosIMSIeIMEI) hora y lugar de las transacciones como llamadas y mensajes y datos obtenidos durante el registro de la tarjeta SIM378 Posiblemente los datos obtenidos durante este uacuteltimo variacuteen de manera considerable de un paiacutes a otro y en funcioacuten del tipo de tarjeta que se haya adquirido (prepaga o pospaga) Sin embargo la tendencia general ha sido registrar obligatoriamente todas las clases de tarjetas lo que exige que los usuarios

375 ParamaacutesinformacioacutensobreinspeccioacutenprofundadepaquetesvTechTarget-SearchNetworkingldquoDeeppacketinspection(DPI)rdquohttpssearchnetworkingtechtargetcomdefinitiondeep-packet-inspection-DPI

376 Comiteacute Internacional de la Cruz Roja (CICR) y Privacy International The Humanitarian Metadata Problem Doing no Harm in the Digital Era Privacy International y CICR 2018 paacutegs22-23httpsprivacyinternationalorgsitesdefaultfiles2018-12The20Humanitarian20Metadata20Problem20-20Doing20No20Harm20in20the20Digital20Erapdf



brinden datos personales379 como una copia de su documento de identidad su nuacutemero deidentificacioacutennacionalysufechadenacimientoEnalgunoscasossehaceunaverificacioacutencruzadadelapersonaconlosdatosquefiguranenlabasededatosdedocumentos de identidad nacional (India y Pakistaacuten) o bien se le toman las huellas dactilares y una fotografiacutea (en Nigeria por ejemplo)380 Las investigaciones381 han demostrado que en la mayoriacutea de los casos a los refugiados y otras personas obligadas a desplazarse les resulta difiacutecil obtener las tarjetas SIM a traveacutes de canales legiacutetimos estaacutendar y recurren en consecuencia a soluciones tanto formales como informales que planteanunaseriederetosrelacionadosconlosflujosdedatos

En este contexto las organizaciones humanitarias no podraacuten controlar toda la cadena de conectividad y por ende tampoco garantizar proteccioacuten a los individuos ante el uso indebido de sus datos y sus metadatos Siempre que las organizaciones humanitarias y sus asociados desempentildeen un papel activo en mejorar la conectividad de las comunidades afectadas se deberiacutean evaluar los riesgos que podriacutean surgir de esta falta de control a traveacutes de las Evaluaciones de impacto relativas a la proteccioacuten de datos (v la seccioacuten 2) Para mitigar esta situacioacuten algunas organizaciones humanitarias brindan informacioacuten y orientacioacuten sobre seguridad digital a las personas afectadas382 Sin embargo si el riesgo humanitario es demasiado importante las organizaciones humanitarias tal vez no tengan otra alternativa que no brindar conectividad


El objetivo de una evaluacioacuten de impacto relativa a la proteccioacuten de datos (EIPD)383 es identificarevaluaryabordarlosriesgosqueeltratamientodelosdatospersonalestiene en relacioacuten con un proyecto una poliacutetica un programa u otra iniciativa plantea para los titulares de los datos En uacuteltima instancia una EIPD debe encaminarse hacia medidas que promuevan el hecho de evitar minimizar transferir o compartir los riesgos relacionados con la proteccioacuten de datos Antes de implementar programas de tecnologiacutea

379 KPDonovanyAKMartinldquoTheriseofAfricanSIMregistrationTheemergingdynamicsofregulatory changerdquo First Mondayvol19ndeg22014httpfirstmondayorgojsindexphpfmarticleview4351 v ademaacutes la sentencia del Tribunal Europeo de Derechos Humanos (TEDH) en la causa Breyer vs Germany (application no 5000112) del 30 de enero de 2020

380 GSMA Mandatory registration of prepaid SIM cards Addressing challenges through best practiceGSMAPublicPolicy2016httpswwwgsmacompublicpolicywp-contentuploads201604GSMA2016_Report_MandatoryRegistrationOfPrepaidSIMCardspdf

381 ACNURldquoDisplacedandDisconnectedrdquo2019httpswwwunhcrorginnovationdisplaced-and-disconnected

382 Para maacutes informacioacuten sobre seguridad de los datos v Seccioacuten 28 Seguridad de los datos y seguridad del tratamiento



que impliquen el tratamiento de datos personales las organizaciones humanitarias deberiacutean llevar a cabo una EIPD para determinar las posibles consecuencias de esta actividadquepodriacuteanincluirelusoilegiacutetimodedatosdelosbeneficiariosporpartedelos asociados y la interferencia de la red por parte del gobierno

Antes de celebrar una alianza para un programa de conectividad una organizacioacuten humanitaria deberiacutea evaluar a los posibles asociados y sus poliacuteticas de privacidad asiacute como las obligaciones que les son impuestas por ley para asiacute comprender cabalmente coacutemoprocesanlosdatosdelosbeneficiariosUnavezquelasorganizacionestienenun cuadro de situacioacuten claro respecto del panorama de conectividad las partes involucradas y los servicios que brindan probablemente esteacuten en condiciones de redactar lineamientos o requisitos estaacutendar en los que expliquen los servicios que necesitan con inclusioacuten de especificaciones teacutecnicas y requisitos en materia deprivacidad Esta seriacutea una forma de ayudarlas a interactuar con los asociados y en situaciones de emergencia reducir el plazo que transcurre entre la primera interaccioacuten y la concrecioacuten del acuerdo

Tambieacutenesimportanterecordarqueenelsectorhumanitariolosbeneficiariossonespecialmente vulnerables y que el riesgo de dantildeo es elevado Por ello la EIPD tambieacuten deberiacutea tener en cuenta los otros derechos fundamentales de los titulares de los datos384 Dado que la labor de las organizaciones humanitarias se rige por los principios humanitarios quizaacutes tambieacuten resulte apropiado tener en cuenta los derechos y las libertades de todos los integrantes de un grupo o de una comunidad determinados al momento de establecer programas de conectividad incluidos los derechos que no estaacuten relacionados con los datos Una EIPD podriacutea evaluar por ejemplo las cuestiones referidas al acceso desigual a la red385 y la posible exclusioacuten de ciertos grupos que carecen de cultura digital Es importante ademaacutes tener en cuenta que algunos de los asociados con los que trabajan las organizaciones humanitarias siguen modelos de negocio basados en la monetizacioacuten de los datos lo cual puede ser incompatible con los principios humanitarios

384 V Unioacuten Europea Grupo de trabajo sobre proteccioacuten de datos del artiacuteculo 29 Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is ldquolikely to result in a high riskrdquo for the purposes of Regulation 2016679(wp248rev01)2017httpeceuropaeunewsroomdocumentcfmdoc_id=47711 y R Gellert ldquoUnderstanding the notion of risk in the General Data Protection Regulationrdquo Computer Law amp Security Review vol 43 Issue22018httpsdoiorg101016jclsr201712003

385 Porejemplolosnintildeosdecortaedadylaspersonasmayorespodriacuteannobeneficiarsedelos programas de conectividad ni acceder a servicios que requieren conectividad ya que probablemente no tengan conocimientos informaacuteticos Ademaacutes las ldquo[m]ujeres de paiacuteses de ingresos bajos y medios tienen 10 menos de probabilidad de tener un teleacutefono moacutevil y en comparacioacuten con los hombres hay una probabilidad considerablemente menor de que usen maacutes servicios transformadores Por ejemplo respecto de los hombres la probabilidad de que estas mujeres usen la internet moacutevil y el dinero moacutevil es un 26 y un 33 menor respectivamenteFuenteGSMAConnected Women The Gender Analysis amp Identification Toolkit Estimating subscriber gender using machine learningGSMA2018paacuteg6httpswwwgsmacommobilefordevelopmentwp-contentuploads201809GSMA-Gender-Analysis-and-Identification-Report-GAIT-August-2018pdf


Tambieacuten es posible que las organizaciones no esteacuten dispuestas a interactuar con algunos asociados del sector privado a raiacutez del riesgo para la reputacioacuten que puede implicar Si la EIPD indica que un programa de conectividad generariacutea maacutes problemas que los que resuelve quizaacutes resulte apropiado tomar la decisioacuten de no participar


Un controlador de datos es la persona u organizacioacuten que sola o en conjunto con otras establecelosfinesylosmediosparaeltratamientodedatospersonalesUnencargadodel tratamiento de datos por su parte es la persona u organizacioacuten que procesa datos personalesennombredelcontroladordedatosEstosconceptossedefinenyanalizanmaacutes exhaustivamente en el Capiacutetulo 2

Cuando las organizaciones humanitarias establecen e implementan programas de conectividad podraacuten actuar como controladores de datos o procesadores de datos seguacuten cuaacutel sea su funcioacuten y la de los otros asociados en un programa determinado Esta diferenciacioacuten es importante al momento de atribuir responsabilidades por el tratamiento de datos

Dado que los datos se recopilan en distintos niveles de un programa de conectividad esimportantehacerunmapeodelosflujosdedatosencadaunodeellosidentificarquieacuten los recopila con queacute propoacutesitos durante cuaacutento tiempo se los conserva y con quieacutenseloscomparteEsteejerciciopermitiraacuteidentificarqueacutefuncioacutendesempentildeacadaparte incluida la organizacioacuten humanitaria al momento de decidir de queacute manera se procesan los datos y en consecuencia si cada una de ellas se desempentildea como controlador o como procesador de los datos

Si una organizacioacuten humanitaria determina el objetivo (el propoacutesito) uacuteltimo del programa(porejemplobrindarconectividad)yeligeaunasociadoespeciacuteficoparasuimplementacioacuten(losmedios)selacalificacomocontroladordedatosEstosignificaque la organizacioacuten tiene diversas obligaciones entre ellas la de responder a los pedidos de los titulares de los datos que desean ejercer sus derechos386 En algunos casos las organizaciones humanitarias y los asociados de otros sectores determinaraacuten en forma conjunta el propoacutesito y los medios del programa y se desempentildearaacuten entonces como corresponsables del tratamiento En estas situaciones es probable que dichos controladores deban determinar sus responsabilidades respectivas incluido el tratamiento de los pedidos de los titulares de los datos en un acuerdo por escrito



154 PRINCIPIOS BAacuteSICOS DE LA PROTECCIOacuteN DE DATOS


Cuando se necesitan datos personales para acceder a servicios de conectividad o cuando se los genera en el transcurso del proceso se requiere de una base legiacutetima apropiada para tratar estos datos Estas bases se enumeran en el capiacutetulo 3 de este manual Alliacute tambieacutenseexplicanlasdificultadesasociadasalusodelconsentimientocomobaselegiacutetima en los contextos humanitarios en los que quizaacutes no siempre se considera que elconsentimientofuelibreyaquetalvezlosbeneficiariossehayanvistoforzadosaaceptardadoqueesaeralauacutenicamaneraderecibirunservicioespeciacutefico(enestecasolaconectividad) Ademaacutes como resultado de complejidad que rodea a la conectividad como asistencia podriacutea ser difiacutecil depender de un consentimiento debidamente informado ya que los titulares de los datos con menor cultura digital quizaacutes no comprendan todos los aspectos del tratamiento En este caso las organizaciones humanitarias y los proveedores de servicios deberiacutean buscar una base legiacutetima diferente para la recopilacioacuten yeltratamientodelosdatoscomolasqueseenumeranacontinuacioacuten

bull Intereacutes puacuteblico esta podriacutea ser una opcioacuten para una organizacioacuten que tiene el cometidoespeciacuteficodeestablecerconectividad387

bull Intereacutes legiacutetimo de la organizacioacuten humanitaria esta base tambieacuten podriacutea tenerse en cuenta cuando el establecimiento o el restablecimiento de la conectividad coincide con la misioacuten de la organizacioacuten y cuando ello podriacutea ayudar a los beneficiariosaaccederaotrosserviciosesencialesymejorarlacoordinacioacutendelarespuesta humanitaria Sin embargo esta base solo se aplicariacutea si el intereacutes o los interesesdelaorganizacioacutenylosbeneficiosquesepreveacutederivardeltratamientonocobran mayor peso que los derechos y las libertades de las personas en cuestioacuten388

bull Obligacioacuten legiacutetima es probable que en algunas jurisdicciones los usuarios del servicio de conectividad deban estar registrados En este caso la base legiacutetima para tratar los datos de los usuarios para el registro seriacutea el cumplimiento de una obligacioacuten legiacutetima389

1542 SEGURIDAD DE LOS DATOSLos operadores de redes moacuteviles desempentildean una funcioacuten importante como proveedores de infraestructura de conectividad criacutetica En las emergencias por ejemplo la posibilidad de comunicarse con las ambulancias y otros proveedores de asistencia de saludesvitalparaunarespuestaeficazantelosincidentesEstosoperadoresdebenimplementar medidas de seguridad tanto teacutecnica como organizacional para proteger las redes de comunicacioacuten y preservar la seguridad de los datos que transmiten

387 V Capiacutetulo 3 ldquoBases legiacutetimas para el tratamiento de datos personalesrdquo388 V Seccioacuten 35 Intereacutes legiacutetimo389 V Seccioacuten 37 Cumplimiento de una obligacioacuten legiacutetima


Estas medidas que dependeraacuten del nivel de riesgo incluyen el cifrado y otras opciones teacutecnicasparagarantizarlaconfidencialidadlaintegridadyladisponibilidaddelosdatos recopilados asiacute como la resiliencia en general de los sistemas y los servicios de tratamiento390

Sin embargo algunos metadatos almacenados en dispositivos individuales pueden no estar cifrados y requerir medidas de seguridad alternativas391 Siempre que sea posible y como praacutectica de rutina las organizaciones humanitarias y los individuos deberiacutean revisar y actualizar las medidas que adoptan para hacer lugar a la evolucioacuten de nuevas tecnologiacuteas de seguridad y garantizar un grado de proteccioacuten y de seguridad de los datos que resulte apropiado para el nivel de riesgo que implica el tratamiento de datos personales Es importante recordar que algunas entidades u organizaciones probablemente esteacuten interesadas en acceder a los datos y los metadatos generados en los programas de conectividad para propoacutesitos no humanitarios como la explotacioacuten y eldireccionamientoconfinescomercialesolavigilancia

EJEMPLOAlemania y Dinamarca han sancionado legislacioacuten que permite a las autoridades realizar un anaacutelisis forense detallado de los teleacutefonos inteligentes de los solicitantes de asilo Los datosylosmetadatosqueseextraendesusdispositivospuedenusarseparaldquoverificarreclamos que presentaron en sus solicitudes de asilo o para obtener informacioacuten nueva sobre su identidad su historia queacute ruta utilizaron etcrdquo392 Hay legislacioacuten similar ya sancionada en Beacutelgica y que se ha elevado a consideracioacuten en Austria393 En la praacutectica como resultado de estas leyes los datos generados a traveacutes de programas de conectividad terminanusaacutendoseparafinesqueaunquelegiacutetimosquizaacutesnoseancompatiblesconlosprincipios que rigen las acciones de las organizaciones humanitarias

Los actuales meacutetodos de vigilancia pueden ser bastante sofisticados y obteneruna cantidad sustancial de datos y metadatos acerca de los usuarios de una red determinada394 lo que resulta particularmente preocupante dado que es posible usar los metadatos para inferir informacioacuten que una persona no ha aceptado compartir y predecir su comportamiento es decir que los datos generados en el proceso de prestacioacuten de servicios humanitarios podriacutean terminar utilizaacutendose como informacioacuten sumamentevaliosaenunconflicto


391 CICR y Privacy International 2018 paacuteg 25392 CICR y Privacy International 2018 paacuteg 62393 CICR y Privacy International 2018 paacuteg 62394 V por ejemplo B Schneier ldquoChina Isnrsquot the Only Problem With 5Grdquo Foreign Policy 10deenerode2020httpsforeignpolicycom202001105g-china-backdoor- security-problems-united-states-surveillance


En algunos casos y seguacuten sea su cometido una organizacioacuten humanitaria quizaacutes necesite cooperar con autoridades gubernamentales nacionales o extranjeras en un programa de conectividad determinado Esta clase de cooperacioacuten podriacutea redundar en beneficiodelosbeneficiariosporejemplocuandolosdatosmeacutedicossecompartencon las autoridades para facilitar la prestacioacuten de asistencia meacutedica y salud puacuteblica Lasorganizacioneshumanitariasdeberiacuteansertransparentesconlosbeneficiarioseinformar sobre la existencia de estos acuerdos de cooperacioacuten ademaacutes de aclarar que es probable que los datos se compartan con autoridades nacionales o extranjeras

Lasorganizacioneshumanitariasdeberiacuteannegociarmedidasconsusasociadosafindegarantizar el maacuteximo nivel de seguridad a lo largo de toda la cadena de conectividad incluidas las partes de la cadena que estaacuten fuera del control de la organizacioacuten

1543 CONSERVACIOacuteN DE LOS DATOSLos datos personales solo se deben conservar el tiempo necesario para cumplir con losfinespara los cuales se recopilaronopara cumplir conobligaciones legiacutetimasaplicables395Estosignificaquelosdatospersonalessiempredeberiacuteaneliminarseoanonimizarse tan pronto como dejen de ser necesarios Sin embargo en los programas de conectividad los distintos asociados podriacutean tener funciones poliacuteticas y necesidades diferentes que podriacutean afectar la forma en la que procesan los datos e incluso durante cuaacutento tiempo los conservan Una vez maacutes es importante que desde el comienzo haya un acuerdo por escrito en el que se establezcan las poliacuteticas de retencioacuten de datos y las responsabilidades de cada una de las partes Asiacute las organizaciones humanitarias comprenderaacuten plenamente queacute datos estaacuten en poder de cada uno de los asociados en un determinado momento y doacutende se los almacena

Los operadores de redes moacuteviles con frecuencia deben conservar datos acerca de los usuarios por plazos establecidos en la legislacioacuten nacional Este tipo de requisitos permite por ejemplo que las autoridades responsables de hacer cumplir la ley accedan a los datos en caso de cometerse un delito En consecuencia las organizaciones humanitarias deberiacutean analizar queacute datos se necesitan efectivamente para poner en praacutectica el programa y evitar en la medida de lo posible que se recopilen datos innecesarios Si solo se recopila una cantidad miacutenima de datos la cantidad que se puede conservar tambieacuten es miacutenima

1544 INFORMACIOacuteNEn los programas de conectividad se deberiacutea informar a los titulares de los datos en un idioma claro y sencillo queacute datos relacionados con ellos se recopilan para queacute propoacutesito y por queacute medios Esto resulta particularmente importante en las situaciones en las que quizaacutes no les sea obvio que sus datos estaacuten siendo recopilados por ejemplo



cuando se generan metadatos o cuando los datos recopilados son datos inferidos (informacioacuten que se puede deducir de datos suministrados expliacutecitamente por el titular de los datos o de otras observaciones) Asimismo se les deberiacutea informar con quieacuten pueden comunicarse para ejercer sus derechos Esta informacioacuten les permitiraacute tomar decisionesinformadassobresiutilizaronounservicioespeciacuteficoycomprendercoacutemoproceder si desean ejercer sus derechos

En aras de la transparencia y la divulgacioacuten de todos los pormenores se aconseja a las organizaciones humanitarias que informen a los titulares de los datos acerca de la participacioacuten de terceros en el programa queacute actividades tienen a su cargo y coacutemo comunicarse con ellos Se les deberiacutea informar ademaacutes acerca de los riesgos y las consecuencias negativas (tanto reales como posibles) de recibir y usar servicios de conectividad y de los programas de conectividad en general El ejemplo del Alto Comisionado de las Naciones Unidas para los Refugiados (ACNUR) que informa a las personas acerca de los riesgos de privacidad asociados a la campantildea El Jaguar es un modelo uacutetil en este sentido396

155 INTERCAMBIO INTERNACIONAL DE DATOSLos datos que como praacutectica de rutina se procesan en liacutenea traspasan las fronteras nacionales En relacioacuten con los programas de conectividad esto genera inquietudes en materia de proteccioacuten de datos personales Si bien existen mecanismos legiacutetimos reconocidos como el uso de claacuteusulas contractuales es posible que a las organizaciones humanitarias les resulte difiacutecil aplicarlos de manera eficaz en especial porquecon frecuencia las soluciones de conectividad escapan a su control Dicho esto las organizaciones deberiacutean hacer todo lo posible para garantizar que el proveedor haya implementado los acuerdos de transferencia de datos necesarios397

396 V httpswwwfacebookcomConfiaEnElJaguarvideos874221649451680 Esta campantildea envideoofrececonsejossobreseguridaddelosperfilesyseguridadenlasredessociales



APRENDIZAJE DE LA PRAacuteCTICA RESOLVER

PROBLEMAS

RESPUESTAS PROBABLES

ENCONTRAR A PERSONAS SEPARADAS DE SUS FAMILIAS

PROCESAR IMAacuteGENES PARA EVALUAR EL DANtildeO

DETECTAR SESGOS

DECISIONES BASADAS EN UN ANAacuteLISIS REALIZADO MEDIANTE INTELIGENCIA ARTIFICIAL

COMPRENDER LAS CONCLUSIONES

ATACAR LA INTEGRIDAD DE LOS DATOS

IDENTIFICAR CLASES DE PERSONAS QUE NECESITAN ASISTENCIA

USO POSIBLE

DIFICULTADES

CAPIacuteTULO 16

LA INTELIGENCIA ARTIFICIAL Y EL APRENDIZAJE AUTOMAacuteTICO

398

398 Los editores desean expresar su agradecimiento a Alessandro Mantelero (Politecnico di Torino) por sus aportes para la redaccioacuten de este capiacutetulo


161 INTRODUCCIOacuteNEn este capiacutetulo se analizan los retos en materia de proteccioacuten de los datos asociados alusodelainteligenciaartificialylossistemasdeaprendizajeautomaacuteticoenelsectorhumanitarioAlgunosdeellosserefierenaltematandebatidodelatomadedecisionesautomatizada en tanto otros surgen del hecho de que estos sistemas suelen depender de un uso intensivo de datos incluidos a veces datos personales En las proacuteximas secciones se ofrece en primer lugar una explicacioacuten baacutesica de la tecnologiacutea en cuestioacuten paraluegoidentificarlosretosenmateriadeproteccioacutendedatosrelacionadosconestay brindar orientacioacuten a las organizaciones humanitarias sobre coacutemo abordar algunos de ellos

1611 iquestQUEacute SON LA INTELIGENCIA ARTIFICIAL Y EL APRENDIZAJE AUTOMAacuteTICO

Sibiennoexisteunauacutenicadefinicioacutendelaexpresioacutenquegocedeaceptacioacutenuniversalporlogeneralseentiendelainteligenciaartificialcomoldquo[un]conjuntodecienciasteoriacuteas y teacutecnicas cuyo propoacutesito es reproducir mediante una maacutequina las capacidades cognitivas de un ser humanordquo399 En su forma actual aspira a permitir que los desarrolladores de tecnologiacutea ldquoconfiacuteen a una maacutequina tareas complejas que antes se delegaban en un ser humanordquo400

El aprendizaje automaacutetico por su parte es una forma especiacutefica de inteligenciaartificial que puede definirse como el estudio de algoritmos que con el paso deltiempo perfeccionan la realizacioacuten de una tarea determinada con experiencia en los datos de lectura mecaacutenica401 Un algoritmo recibe cada vez maacutes datos que representan el problema que procura resolver y ldquoaprenderdquo de ellos Sin embargo hay otras teacutecnicas deinteligenciaartificialquenodependentantodelosdatosporqueldquoaprendenrdquodeotras maneras402

Independientemente de su meacutetodo de aprendizaje todas las formas de inteligencia artificial tienenunacaracteriacutesticaencomuacutennosonunconjuntode instruccionespara que una maacutequina complete una tarea en particular sino maacutes bien un conjunto de instrucciones para que la maacutequina genere estrategias o soluciones para completar esa tareaEstemodeloloilustra

399 Consejo de Europa (CoE) Glossary on Artificial Intelligence httpswwwcoeintenwebartificial-intelligenceglossarymc_phishing_protection_id=28047-brbqhtidu81d093fnuog

400 CoE Glossary on Artificial Intelligence401 T Mitchell Machine Learning McGraw-Hill Nueva York 1997 paacuteg 2402 Entre estos meacutetodos se incluyen las redes bayesianas y los sistemas basados en reglas

que no se trataraacuten en el presente capiacutetulo

16 LA INTELIGENCIA ARTIFICIAL y EL APRENDIZAJE AUTOMaacuteTICO 295

Elaprendizajeautomaacuteticoesunaformadeinteligenciaartificialqueenlosuacuteltimosantildeosha concentrado la gran mayoriacutea de las inversiones en este sector Por ello cuando a lo largodeestecapiacutetuloseutilicelaexpresioacutenldquointeligenciaartificialrdquosehacereferenciatantolassolucionesdeinteligenciaartificialcomolasdeaprendizajeautomaacuteticoyseharaacutelaaclaracioacutencuandoseesteacutehaciendoreferenciaespeciacuteficaaunadeellas

1612 iquestCOacuteMO FUNCIONAN LA INTELIGENCIA ARTIFICIAL Y EL APRENDIZAJE AUTOMAacuteTICO

ExistenmuchasteacutecnicasdiferentesdeinteligenciaartificialAlgunasprocesandatospersonales pero otras no Sin embargo la mayoriacutea de las soluciones en especial las que utilizanelaprendizajeautomaacuteticofuncionandelasiguientemanera1 se presentan al sistema datos seleccionados de los que se espera que contengan patronesosimilitudesespeciacuteficos(datosdeentrenamiento)

2 las teacutecnicasde inteligencia artificial identifican lospatronesydeterminanqueacutecaracteriacutesticassonpertinentesparaclasificardichospatronesosimilitudesypararealizar predicciones sobre datos nuevos

3 ldquoSe genera un modelo que puede reconocen los patrones que surgen cuando el modeloprocesadatosnuevosrdquoafindehacerprediccionesoclasificaciones403

Entanto lamayoriacuteade las formasde inteligenciaartificialdependendequese lecarguen grandes cantidades de datos algunas solo necesitan un volumen limitado de datos para funcionar Para comprender las implicancias maacutes importantes para la proteccioacuten de los datos que se explican en la seccioacuten 3 de este capiacutetulo es importante entender las distintas formas de ldquoaprendizajerdquo de estas soluciones

bull Aprendizaje supervisado en este modelo los datos de entrenamiento se rotulan (el analista asigna una ldquoclaserdquo a cada dato de muestra) Por ejemplo se etiquetan imaacutegenes de animales de muestra con roacutetulos como lsquoperrorsquo lsquogatorsquo o lsquolororsquo y se los

403 Autoridades encargadas de la proteccioacuten de datos en Noruega Artificial intelligence and privacy 2018paacuteg7httpswwwdatatilsynetnoglobalassetsglobalenglishai-and-privacypdf

REGLAS

Programas claacutesicos

Programas de aprendizaje automaacutetico

Datos

Reglas

Datos

Respuestas

RESPUESTAS

FuenteFCholletDeep Learning with Python Manning Publications 2017


cargaenelsistemaPorlogeneralelobjetivofinalseraacutequeelalgoritmopuedaclasificarlasimaacutegenesnuevas(novistas)enunadeestascategoriacuteasaprendidasTambieacuten es posible utilizar este tipo de aprendizaje por ejemplo para predecir un valor basado en paraacutemetros (o caracteriacutesticas diferentes) o para tasar una viviendaenfuncioacutendelnuacutemerodehabitacionesdesusuperficieodelantildeoenquese construyoacute En ambos casos el principio consiste en determinar la mejor funcioacuten matemaacutetica que separe adecuadamente los datos en sus clases correctas o evaluacutee valores correctos

bull Aprendizaje no supervisado en este caso no se carga ninguacuten roacutetulo en el sistema La idea es que el algoritmo descubra similitudes o patrones en un conjunto de datos y cree los roacutetulos (o clases) por siacute mismo Se aplican diferentes meacutetodos para organizar los datos en clusters No hay respuestas correctas ni incorrectas

bull Aprendizaje por refuerzo este enfoque requiere muy pocos o ninguacuten dato de entrenamiento Se basa en cambio en un meacutetodo de castigo y recompensa en virtud del cual ldquoel sistema recibe una sentildeal de lsquorecompensarsquo cuando logra lo que el disentildeador quiere o cuando cumple un paso que permite que el proceso avance hacia el resultado que el disentildeador describioacute Cuando el sistema hace algo mal (no logra avanzar efectivamente hacia el resultado deseado) no recibe ninguna recompensardquo404

Una vez que se ha entrenado una solucioacuten mediante uno de los meacutetodos mencionados405 se crea un modelo que se utilizaraacute para analizar datos nuevos y no vistos antes o para realizarprediccionessobreellosLosmodelosgeneradosporlainteligenciaartificialpueden ser estaacuteticos o dinaacutemicos Los modelos estaacuteticos no cambiaraacuten con el tiempo y siempre aplicaraacuten el modelo desarrollado con los datos de entrenamiento Esto permite que el desarrollador mantenga pleno control del modelo pero impide que la solucioacuten se perfeccione a siacute misma con el paso del tiempo Los modelos dinaacutemicos por el contrario aprovechan los datos de entrada para ajustarse a los cambios y perfeccionar sus resultados406

Dadoquelamayoriacuteadelassolucionesdeinteligenciaartificialaprendendelosdatosque pasan por ellas (ya sea durante el entrenamiento o en los modelos dinaacutemicos tambieacuten durante su implementacioacuten) los modelos resultantes conservaraacuten parte de los datosqueseutilizaronparadesarrollaromejorarelmodeloLoanteriorsignificaqueen algunos casos partes mal intencionadas que ataquen y prosperen en su intento de

404 Autoridades encargadas de la proteccioacuten de datos en Noruega 2018 paacuteg 18405 El presente capiacutetulo no trata todos los posibles meacutetodos de aprendizaje de la inteligencia artificialParamaacutesinformacioacutensobretalesmeacutetodos(comolasredesneurales)vporejemploLHardestyldquoExplainedNeuralnetworksrdquoMIT News14deabrilde2017 httpnewsmitedu2017explained-neural-networks-deep-learning-0414 y Future of Privacy Forum The Privacy Expertrsquos Guide to Artificial Intelligence and Machine Learning2018httpsfpforgwp-contentuploads201810FPF_Artificial-Intelligence_Digitalpdf)

406 Para maacutes informacioacuten v Autoridades encargadas de la proteccioacuten de datos en Noruega 2018 paacuteg 10


controlar el sistema podriacutean acceder a los datos de entrenamiento (o los datos utilizados durante la implementacioacuten de la solucioacuten en el caso de los modelos dinaacutemicos) Para maacutesinformacioacutensobreposiblesataquesasolucionesdeinteligenciaartificialvlaseccioacuten 35 sobre seguridad de los datos

1613 LA INTELIGENCIA ARTIFICIAL EN EL SECTOR HUMANITARIOEl aumento reciente en la capacidad de tratamiento y los datos disponibles ha provocado un importante incremento en la cantidad de aplicaciones de inteligencia artificialenlavidacotidiana407Lainteligenciaartificialestaacutepresenteporejemploen los asistentes digitales activados por voz en los sistemas de reconocimiento biomeacutetrico que desbloquean teleacutefonos o permiten el acceso a edificios en lasaplicaciones de indicaciones de viaje en las recomendaciones de compra o de visualizacioacuten de las plataformas en liacutenea y en muchas otras funciones presentes en las herramientas y los servicios en liacutenea asiacute como en los dispositivos inteligentes La tecnologiacutea se puede aplicar ademaacutes a una amplia variedad de tareas entre ellas el diagnoacutestico meacutedico el reconocimiento de imaacutegenes los juegos y las predicciones del mercado bursaacutetil

Asimismolainteligenciaartificialofreceelpotencialdecontribuirafacilitarlalaborhumanitaria y las actividades vinculadas con ella o que tienen caracteriacutesticas similares yhacerlamaacuteseficazyeficienteAcontinuacioacutensedetallanalgunasaplicacionestantoexistentescomopotenciales

bull Lectura de la opinioacuten puacuteblica en Uganda el programa de la Iniciativa Pulso Mundial de las Naciones Unidas llevoacute a cabo una prueba piloto de ldquouna caja de herramientas que mediante el uso de tecnologiacutea de reconocimiento de voz y herramientas de traduccioacuten que transforman el contenido de radio en texto permite la lectura mecaacutenica de las transmisiones de radio puacuteblicasrdquo408 Esta herramienta desarrollada por el laboratorio de Pulso Mundial en Kampala procura identificartendenciasentrelosdistintosgrupospoblacionalesenparticularlosque se encuentran en zonas rurales Esta iniciativa surge de la idea de que estas tendencias podriacutean luego permitir a los gobiernos y a los asociados en temas de desarrollo comprender maacutes cabalmente cuaacutel es la opinioacuten puacuteblica respecto de las necesidades de desarrollo del paiacutes lo que luego podriacutea tenerse en cuenta al implementar programas de desarrollo

407 Centre for Information Policy Leadership First Report Artificial Intelligence and Data Protection in Tension2018paacuteg4httpswwwinformationpolicycentrecomuploads571057104281cipl_ai_first_report_-_artificial_intelligence_and_data_protection_in_tepdf

408 Iniciativa Pulso Mundial de las Naciones Unidas ldquoMaking Ugandan Community Radio Machine-readableUsingSpeechRecognitionTechnologyrdquo2016 httpswwwunglobalpulseorgprojectsradio-mining-uganda


bull Identificar y localizar a nintildeos desaparecidos se ha informado409 que el Sistema nacionaldeseguimientodenintildeosdesaparecidosyvulnerablesdelaIndiaidentificoacutea casi 3000 nintildeos desaparecidos dentro de los primeros cuatro diacuteas desde el lanzamiento de una prueba de un nuevo sistema de reconocimiento facial que compara los rostros de personas desaparecidas con fotografiacuteas de nintildeos que viven en hogares para nintildeos u orfanatos

bull Seguimiento de ataques contra civiles y violaciones de los derechos humanos elproyectoDecodetheDifferencedeAmnestyInternational410 reclutoacute voluntarios paracompararimaacutegenesdelmismolugarendistintosmomentosafindeidentificaredificiosdantildeadosloquepodriacuteademostrarlaexistenciadeataquessistemaacuteticos contra civiles En un futuro los datos podriacutean utilizarse para entrenar alasherramientasdeaprendizajeautomaacuteticoafindequeanalicenlasimaacutegenesloque acelerariacutea el proceso y aumentariacutea la capacidad

bull Prevencioacuten y diagnoacutestico de enfermedadesldquoLainteligenciaartificialseha utilizado desde la deacutecada del 1990 para diagnosticar diversas clases de enfermedades como el caacutencer la esclerosis muacuteltiple la pancreatitis y la diabetesrdquo411 Maacutes recientemente se desarrolloacute el proyecto denominado Project Premonition deMicrosoftconelfindedetectarpatoacutegenosantesdequeprovoquenbrotesdeenfermedades En eacutel se utilizan robots para controlar la presencia de mosquitos en una zona hacer predicciones sobre su distribucioacuten y capturar las especies objetivo Mediante teacutecnicas de aprendizaje automaacutetico se investiga a los mosquitos capturados para determinar si presentan patoacutegenos que quizaacutes hayan tomado de los animales a los que picaron (y que a su vez puedan transmitir)412

1614 DIFICULTADES Y RIESGOS DEL EMPLEO DE LA INTELIGENCIA ARTIFICIAL

ApesardesupotenciallasaplicacionesdelainteligenciaartificialtraenaparejadosriesgosydificultadesAdemaacutesdelasdudasrespectodelaproteccioacutendelosdatos(v seccioacuten 3) todos los casos de uso antes mencionados plantean ademaacutes retos de iacutendole praacutectica en su implementacioacuten Por ejemplo el software de reconocimiento

409 A Cuthbertson ldquoIndian police trace 3000 missing children in just four days using facial recognition technologyrdquo The Independent24deabrilde2018httpswwwindependentcouklife-stylegadgets-and-technewsindia-police-missing-children-facial-recognition-tech-trace-find-reunite-a8320406htmlvasimismoThe Times of IndialdquoDelhiFacialrecognitionsystemhelpstrace3000missingchildrenin4daysrdquo22deabrilde2018httptimesofindiaindiatimescomarticleshow63870129cmsutm_source=contentofinterestamputm_medium=textamputm_campaign=cppstElsitioweboficialdelsistemaestaacutedisponibleen httpstrackthemissingchildgovintrackchildindexphpindexphp

410 AmnestyInternationalldquoAmnestyDecodersrdquohttpsdecodersamnestyorg411 HMRoffldquoAdvancingHumanSecuritythroughArtificialIntelligencerdquo

Chatham House2017paacuteg5httpswwwchathamhouseorgpublicationadvancing-human-security-through-artificial-intelligence

412 MicrosoftldquoMicrosoftPremonitionrdquohttpswwwmicrosoftcomen-usresearchprojectproject-premonition


de imaacutegenes basado en la inteligencia artificial que se utiliza para identificarpersonas desaparecidas tambieacuten puede arrojar demasiados falsos positivos que no solo generariacutean confusioacuten entre quienes trabajan en los casos sino tambieacuten falsas esperanzas entre las familias Otros sistemas quizaacutes seriacutean maacutes precisos pero podriacutean pasar por alto coincidencias positivas (conocidas como falsos negativos) En tanto los falsos negativos posiblemente no constituyan un problema en aplicaciones comerciales pueden tener consecuencias devastadoras en el sector humanitario Si unaorganizacioacutenidentificaincorrectamenteaunnintildeoquehaperdidocontactoconsus padres esto puede afectar a toda la familia

Como ya se ha indicado la inteligencia artificial puede plantear riesgos para losbeneficiariosPorejemplosiselautilizaparaidentificaralapoblacioacutenobjetivocorrectaparaunprogramahumanitariodeterminadoydichaidentificacioacutennoseefectuacuteacomocorresponde personas que de otro modo tendriacutean derecho a participar en el programa podriacutean quedar excluidas de eacutel Esto sucedioacute en la praacutectica en Suecia donde un sistema delgobiernoqueutilizabainteligenciaartificialdenegoacutebeneficiosamilesdepersonasdesempleadas413

Dado que la mayoriacutea de las organizaciones humanitarias adquiriraacuten soluciones comerciales en lugar de desarrollar sus propios modelos existe el riesgo de que los algoritmosarrojenresultadosinesperadosoinjustificadosDeigualmodoelhechode estar atado a un proveedor tambieacuten plantea un riesgo ya que el cambio a otras soluciones podriacutea resultar costoso Las organizaciones podriacutean ademaacutes ser blanco de emprendimientos comerciales cuyo intereacutes primordial es acceder a los grandes conjuntos de datos que dichas organizaciones tienen en su poder y aprovecharlos en ocasiones con un gran riesgo para los individuos y para las comunidades a los que los datos hacen referencia

Elsesgoesotro riesgopara laeficaciade la inteligenciaartificial enespecial encontextoshumanitarios especiacuteficos (v Seccioacuten 322)Dado que lamayoriacutea de lassoluciones (aunque no todas) se entrenan mediante grandes cantidades de datos es importante seleccionar un conjunto de datos que sea adecuado para el objetivo previsto Cuandolasolucioacutenseutilizaparaidentificarpatronesorealizarprediccionessobreindividuososobrecomunidadesespeciacuteficasesmuyprobablequeelconjuntodedatosutilizado para el entrenamiento incluya datos personales

413 TWillsldquoSwedenRoguealgorithmstopswelfarepaymentsforupto70000unemployedrdquo Algorithm Watch25defebrerode2019httpsalgorithmwatchorgenrogue-algorithm-in-sweden-stops-welfare-payments


Al igual que sucede con muchas otras tecnologiacuteas el concepto de ldquobasura dentro basura fuerardquo414 tambieacuten se aplica a la inteligencia artificial el uso de datosinapropiados inexactos o irrelevantes podriacutea afectar la precisioacuten de la solucioacuten Esto es particularmente difiacutecil para las organizaciones humanitarias ya que los algoritmos comerciales muy rara vez estaraacuten adaptados a sus contextos Por ejemplo si una organizacioacuten humanitaria desea desarrollar un software de reconocimiento facial para contribuir a la buacutesqueda de personas desaparecidas los conjuntos de datos utilizados paraelentrenamientodeberaacutenserlosuficientementeamplioscomoparagarantizarquelas variaciones raciales en las caracteriacutesticas fiacutesicas esteacuten integradas para maximizar la precisioacuten de la funcioacuten de comparacioacuten


Unaevaluacioacutendeimpactorelativaalaproteccioacutendedatos(EIPD)sirveparaidentificarevaluar y responder a los impactos que un proyecto una poliacutetica un programa u otra iniciativa que implique el tratamiento de datos personales puede tener en estos asiacute como en los titulares de esos datos415 En uacuteltima instancia deberiacutea traducirse en medidas que evitenminimicen transfieran o compartan los riesgos asociados alas actividades de tratamiento Una EIPD es un proceso continuo y debe seguir a un proyecto o a una iniciativa que requiera el tratamiento de datos personales a lo largo de todo su ciclo de vida Dadas las limitaciones en materia de transparencia que existen en elusodelainteligenciaartificial(seguacutenseexplicaenformamaacutesdetalladaenlaseccioacuten323)laEIPDpermitiriacuteamejorarlaaceptacioacutenporpartedelosbeneficiariosyelusodesolucionesdeinteligenciaartificialporpartedelasorganizacioneshumanitariasDadoque probablemente plantee riesgos sustanciales para las personas relacionados con la proteccioacuten de los datos la organizacioacuten deberiacutea llevar a cabo una EIPD antes de tomar la decisioacuten de poner en praacutectica una solucioacuten de este tipo Asimismo al realizar una EIPDsedeberiacuteantenerencuentalasimplicanciaseacuteticasdelainteligenciaartificialalas que se hace referencia en la seccioacuten 8

414 Seguacuten el diccionario de computacioacuten en liacutenea gratuito (httpsfoldocorg) el concepto de ldquobasura dentro basura fuerardquo hace referencia al hecho de que ldquolas computadoras a diferencia de los humanos sin duda trataraacuten datos de entrada sin sentido y produciraacuten salida sin sentidordquo La expresioacuten tambieacuten se usa comuacutenmente para describir ldquofallas en la toma de decisiones humanas debido a datos defectuosos incompletos o imprecisosrdquo




Como ya se indicoacute para funcionar adecuadamente la mayoriacutea de las soluciones de inteligenciaartificialnecesitantratargrandescantidadesdedatostantopersonalescomo no personales Sin embargo quizaacutes resulte difiacutecil saber cuaacutendo los datos que estas soluciones procesan son datos personales y por ende en queacute casos se aplican los principios de proteccioacuten de los datos Esto se debe a que las soluciones de inteligencia artificialestaacutencadavezmaacutescapacitadasparaldquovinculardatosoreconocerpatronesdedatos[que]puedenpermitirlaidentificacioacutendelosdatosnopersonalesrdquo416 Por estemotivo en algunos casos estas solucionespuedenvolver a identificar datosseudonimizados es decir transformarlos en identificables al ampliar ldquolas clasesy la demanda de datos recopilados por ejemplo de los sensores instalados en los teleacutefonos moacuteviles los automoacuteviles y otros dispositivosrdquo y ofrecer ademaacutes ldquomayores capacidades de caacutelculo avanzado para trabajar con los datos recopiladosrdquo lo que brinda laoportunidaddecombinarlosdemaneratalquepermitaidentificaralaspersonasdeformafiable417 Al igual que sucede con otros sistemas que procesan datos personales al momento de determinar si se aplicaraacuten o no los principios relativos a la proteccioacuten de los datos y coacutemo es necesario tomar debida cuenta de la arquitectura de la solucioacuten y del contexto en el que se la utilizaraacute

1631 LIMITACIOacuteN DEL PROPOacuteSITO Y TRATAMIENTO ULTERIORResulta difiacutecil aplicar el principio de limitacioacuten del propoacutesito418 a las soluciones de inteligencia artificial yde aprendizaje automaacutetico yaque esposibleque estastecnologiacuteas tengan la capacidad de tratar datos en formas no previstas originalmente y por ende cumplir un propoacutesito diferente de aqueacutel al que estaban destinadas en un principio Esto se debe sobre todo a la naturaleza misma del aprendizaje automaacutetico que consiste en probar y mostrar diversas correlaciones dentro de un conjunto de datos analizado En consecuencia estas soluciones pueden faacutecilmente inferir cosas nuevas a partir de las caracteriacutesticas de los datos

416 Centre for Information Policy Leadership 2018 paacuteg 11417 Centre for Information Policy Leadership 2018 paacuteg 11418 V Seccioacuten 252 El principio de limitacioacuten del propoacutesito


EJEMPLOEn 2012 los investigadores descubrieron que cuando los algoritmos de inteligencia artificialanalizabanlosldquomegustardquoenelperfildeFacebookdeunapersonasincontarcon informacioacuten adicional sobre ella las soluciones podiacutean ldquopredecir automaacuteticamente y con exactitud una serie de atributos personales muy sensibles como su orientacioacuten sexual pertenencia a una etnia opiniones poliacuteticas y religiosas rasgos personales inteligencia felicidad consumo de sustancias adictivas separacioacuten de sus padres edad y geacutenerordquo419Maacutesespeciacuteficamentelasolucioacutenlogroacutediferenciarldquoentrehombreshomosexuales y heterosexuales en el 88 de los casos entre afroamericanos y caucaacutesicos (95 ) y entre demoacutecratas y republicanos (85 )rdquo420 En este ejemplo en particular se pediacutea a la solucioacuten que estableciera estas correlaciones En otras situacionesnoobstantelassolucionesdeinteligenciaartificialpuedenhacerestasinferencias por siacute mismas y revelar informacioacuten sensible sobre una persona incluso si no era esa la intencioacuten del desarrollador

Conforme el principio de limitacioacuten del propoacutesito las organizaciones deben establecer unobjetivoclaramentedefinidoparaeltratamientodedatospersonalesyconsiderarlosmediosylainformacioacutennecesariosparacumplirloConlainteligenciaartificialtambieacuten deben tener en cuenta si la solucioacuten podriacutea tener o no un resultado no deseado Si se preveacute que la solucioacuten podraacute tratar datos personales en formas que son incompatiblesconelpropoacutesitodefinidooquerevelaraacuteinformacioacutenoharaacutepredicciones(en ambos casos no deseadas) se deberiacutean tener en cuenta estos factores al momento de desarrollar la solucioacuten y elegir el conjunto de datos para entrenamiento El objetivo uacuteltimo es tratar de evitar el resultado no deseado y toda forma de tratamiento ulterior no prevista

1632 PROCESAMIENTO LEAL Y LIacuteCITO

16321 LicitudSilosdatospersonalessevanatratardentrodelasolucioacutendeinteligenciaartificialo como parte de su entrenamiento se necesita una base legiacutetima para que dicho tratamiento tenga lugar Si se tiene en cuenta la complejidad de los sistemas de inteligencia artificial encontrar y justificar una base legiacutetima apropiada puederesultar particularmente difiacutecil En el capiacutetulo 3 se ofrece una resentildea de los distintos fundamentos juriacutedicos y se sentildealan las limitaciones del uso del consentimiento como baselegiacutetimaparalaaccioacutenhumanitariaAdemaacutesdeestasdificultadeslaslimitacionesen el uso del consentimiento (en particular la posibilidad de retirarlo) tambieacuten resultan

419 M Kosinskia D Stillwella y T Graepel ldquoPrivate traits and attributes are predictable fromdigitalrecordsofhumanbehaviorrdquoPNASvol110ndeg152013paacuteg1 httpswwwpnasorgcontentpnasearly201303061218772110fullpdf

420 Kosinskia Stillwella y Graepel 2013 paacuteg 1


pertinentes para el desarrollo y el perfeccionamiento de soluciones de inteligencia artificialEntrelosmotivosporlosqueelconsentimientoenlainteligenciaartificialpodriacutea no considerarse libre y plenamente informado cabe mencionar ldquoavisos sobre tratamiento de datos extensos y teacutecnicos ataduras sociales y teacutecnicas un disentildeo poco transparente de la interfaz y la falta de conocimiento por parte del titular de los datosrdquo421

Como ya se mencionoacute en la introduccioacuten a este capiacutetulo los modelos generados por la inteligenciaartificialpuedenserestaacuteticosodinaacutemicosAmbospodriacuteantenerdiferentesimplicancias en materia de proteccioacuten de los datos Los modelos estaacuteticos solo trataraacuten los datos personales para realizar las tareas que fueron asignadas al sistema en tanto los dinaacutemicos trataraacuten los datos para lograr el resultado deseado pero tambieacuten para perfeccionarelsistemaafindequebrinderesultadosmaacutesprecisosEnconsecuenciaelpropoacutesito y la base legiacutetima para el tratamiento de los datos variaraacuten de un modelo a otro

Si por ejemplo una organizacioacuten humanitaria opta por un modelo dinaacutemico deberiacutea identificarunabaselegiacutetimaapropiadaparatratardatospersonalesafindeentrenaralalgoritmoparaquecumplaconunpropoacutesitoclaramentedefinidoTambieacutensedeberiacuteadeterminarunabaselegiacutetimaparaeltratamientodenuevosdatospersonalesafindecumplir con el objetivo previsto una vez que se ha entrenado al sistema Por uacuteltimo la organizacioacutendeberiacuteaidentificarlabaselegiacutetimaparatratardatosafindemejorarelmodelo dinaacutemico

En este tipo de modelos que incluyen las soluciones comerciales desarrolladas por empresas de tecnologiacutea es importante recordar que todos los datos que se cargan en el sistema durante el desarrollo y la aplicacioacuten se utilizaraacuten para mejorarlo lo cual posiblemente plantee retos adicionales en cuanto al uso del consentimiento ya quelosbeneficiariospodriacuteanaceptarquesusdatospersonalesseprocesenparaunpropoacutesito humanitario en particular pero seguramente no esperen que se los use para eldesarrollodelasolucioacutendeinteligenciaartificial422 En estos casos si la base legiacutetima identificadaparaeltratamientoeselconsentimientosedeberaacuteinformaralostitularesde los datos de manera clara y sencilla cuaacuteles son los motivos por los que se les solicitansusdatosparaqueacuteselosutilizaraacuteycoacutemoinfluiraacutenenlasolucioacutenAsimismoselesdeberiacuteainformarsobrelosriesgospotencialescomolareidentificacioacutenporpartede la solucioacuten (como se mencionoacute en la seccioacuten 31) o el hecho de que podriacutea accederse a sus datos durante un ataque (a lo que se hizo referencia en la introduccioacuten) Las organizaciones pueden entonces asegurarse de obtener de los titulares de los datos su consentimiento plenamente informado

421 A Mantelero A Artificial Intelligence and Data Protection Challenges and Possible RemediesConsejodeEuropa2019paacuteg7httpsrmcoeintartificial-intelligence-and-data-protection-challenges-and-possible-re168091f8a6

422 Future of Privacy Forum 2018 paacuteg 8


Por estos motivos el consentimiento puede no ser siempre una base legiacutetima apropiada paraelusodelainteligenciaartificialenelsectorhumanitarioSibienlaprestacioacutendeasistencia o de servicios vitales implicariacutea que el intereacutes vital423 o el intereacutes puacuteblico424 se considerenbaseslegiacutetimasparajustificareltratamientodedatospersonalesesepuedenoserelcasoeneldesarrollodesolucionesdeinteligenciaartificialParadeterminarsielperfeccionamientodesolucionesdeinteligenciaartificialresultaaceptableenvirtudde la base legiacutetima elegida la organizacioacuten deberiacutea evaluar si el tratamiento ulterior destinado a perfeccionar la solucioacuten es compatible con el propoacutesito inicial para el cual se recaban los datos personales

16322 Lealtad v sesgoEn virtud del principio de lealtad425 todas las actividades de tratamiento deben respetar los intereses de los titulares de los datos y los controladores de los datos deben adoptar medidas para evitar la discriminacioacuten arbitraria de las personas426 El sesgo discriminatorio enlainteligenciaartificialesuntemaampliamentereconocidoydebatido

EJEMPLOEn un caso bien conocido se desarrolloacute en Estados Unidos una solucioacuten de inteligencia artificialparapredecirlastasasdereincidenciaencasospenalesyasiacuteayudaralosjuecesadecidirsidebiacuteanotorgaronolalibertadbajofianzaalosconvictoscondenadosErroacuteneamente la solucioacuten determinoacute que los acusados de color teniacutean el doble de probabilidades de reincidir que los de raza blanca427

A fin de minimizar el riesgo del sesgo discriminatorio se recomienda que losdesarrolladoresdeinteligenciaartificialldquoutilicenunenfoquedederechoshumanosdesde el disentildeo y eviten todo posible sesgo incluso el que pueda ser oculto o accidental asiacute como el riesgo de discriminacioacuten u otros impactos adversos en los derechos humanos y las libertades fundamentales de los titulares de los datosrdquo428

En este tipo de soluciones el sesgo posiblemente provenga del uso de conjuntos de datos sesgados como datos de entrenamiento de sesgos sisteacutemicos en la sociedad o incluso de que sean los desarrolladores quienes deciden a queacute caracteriacutesticas atribuirles maacutes valor en cada conjunto de datos Ademaacutes cuando hay sesgos histoacutericos en la sociedad probablemente resulte difiacutecil encontrar datos imparciales para entrenar a la solucioacuten

423 V Seccioacuten 33 Intereacutes vital424 V Seccioacuten 34 Fundamentos importantes de intereacutes puacuteblico425 V Seccioacuten 251 Principio de licitud y lealtad del tratamiento426 Autoridades encargadas de la proteccioacuten de datos en Noruega 2018 paacuteg 16427 J Angwin y otros ldquoMachine Biasrdquo ProPublica23demayode2016httpswwwpropublica

orgarticlemachine-bias-risk-assessments-in-criminal-sentencing428 CoE Guidelines on artificial intelligence and data protection2019paacuteg2httpsrmcoeintguidelines-on-artificial-intelligence-and-data-protection168091f9d8


En este caso la solucioacuten tal vez solo sirva para reforzar auacuten maacutes los sesgos sisteacutemicos presentes en el conjunto de datos Por consiguiente el modelo se debe entrenar con datos pertinentes y correctos ademaacutes de que debe aprender queacute caracteriacutesticas destacar para no atribuir demasiada ponderacioacuten a aspectos discriminatorios presentes en los datos Si hay riesgo de discriminacioacuten arbitraria la informacioacuten referida al origen eacutetnicooraciallaopinioacutenpoliacuteticalascreenciasreligiosasofilosoacuteficaslaorientacioacutensexual o cualquier otra informacioacuten que podriacutea ser causal de discriminacioacuten no se deberiacutea tratar o bien se la deberiacutea proteger para que no se le atribuya una importancia desproporcionada429

Elhechodequelosmodelosdeinteligenciaartificialnodebanponerdemasiadoeacutenfasisen estas clases de datos no implica sin embargo que el suprimirlos del conjunto de datos elimine necesariamente el riesgo de parcialidad El sistema podriacutea correlacionar otras caracteriacutesticas como la raza o el geacutenero y el modelo quizaacutes aprenda a ser parcial a partir de esas caracteriacutesticas correlacionadas que en este contexto se conocen como proxies430 Ademaacutes dado que la caracteriacutestica discriminatoria principal se ha eliminado del conjunto de datos quizaacutes resulte maacutes difiacutecil detectar y corregir el sesgo

EJEMPLOUn estudio independiente que evaluoacute la solucioacuten predictiva desarrollada en Estados Unidos y a la que se hizo referencia maacutes arriba determinoacute que en praacutecticamente el 70 de los casos e independientemente de su claro sesgo el algoritmo hizo una prediccioacuten correcta en cuanto a la reincidencia Sin embargo en este segundo estudio noseincluyoacutelarazaenelconjuntodedatosloqueponederelieveldquoladificultaddeencontrar un modelo que no cree un proxy para la raza (u otro factor eliminado como la pobreza la falta de empleo y la marginacioacuten socialrdquo)431

Por este motivo al elegir el conjunto de datos de entrenamiento un desarrollador de inteligenciaartificial-maacutesallaacutedesiactuacuteacomocontroladordedatosindependienteencargado del tratamiento de datos o controlador conjunto con la organizacioacuten humanitariandash debe evaluar la calidad la naturaleza y el origen de los datos personales utilizados y los posibles riesgos para las personas y los grupos derivados de utilizar datos descontextualizados para crear modelos descontextualizados432 Una manera de lograrlo es que los controladores de datos incluyan en el proceso de EIPD permanente (v la seccioacuten 2) ldquoevaluaciones frecuentes de los conjuntos de datos que procesan para identificarlaexistenciadecualquiersesgordquoyldquogenerarformasderesponderaelementos

429 Autoridades encargadas de la proteccioacuten de datos en Noruega 2018 paacuteg 16430 Centre for Information Policy Leadership 2018 paacuteg 14431 Future of Privacy Forum 2018 paacuteg 15432 CoE 2019 paacuteg 2


perjudiciales incluida una dependencia excesiva de las correlacionesrdquo433 Como se indicoacute en la seccioacuten 2 la falta de adopcioacuten de estas medidas tiene consecuencias tanto eacuteticas como juriacutedicas

16323 TransparenciaJunto con la lealtad la transparencia es otro aspecto crucial de la proteccioacuten de los datos Seguacuten este principio el tratamiento de datos personales debe ser transparente434 para los titulares de los datos involucrados quienes al momento de recopilarse sus datos deberiacutean recibir al menos un miacutenimo de informacioacuten sobre el tratamiento435 Cuandosetratadeinteligenciaartificiallaaplicacioacutendelprincipiodetransparenciapuede plantear un reto ya que estas soluciones se basan en tecnologiacutea que es maacutes difiacutecil de comprender y explicar en teacuterminos legos436 Ademaacutes muchos modelos de aprendizaje automaacutetico incluyen redes de muacuteltiples capas en las que los productos obtenidos son resultado de un proceso interno cuya reacuteplica o comprensioacuten matemaacutetica noresultasencillanisiquieraparaloscientiacuteficosdedatosyparaquienesdisentildearonla solucioacuten437 Esta arquitectura multicapa se conoce comuacutenmente como la ldquocaja negrardquo dado que imposibilita que quienes usan la solucioacuten comprendan coacutemo llegoacute aunaconclusioacutenoaunaprediccioacutenespeciacutefica(porejemploaqueacutecaracteriacutesticasseatribuyoacute maacutes ponderacioacuten en el proceso) En otras palabras en la mayoriacutea de los casos porelelevadogradodecomplejidaddelainteligenciaartificialelrazonamientoquejustificalaeleccioacutendelaponderacioacutennoestransparenteocomprensibleparalossereshumanos En consecuencia no es faacutecil determinar si la eleccioacuten de las caracteriacutesticas es exhaustiva y si su ponderacioacuten es razonable

Una posible respuesta a la cuestioacuten de la transparencia en las aplicaciones de inteligenciaartificialconsisteenexplicarlaloacutegicaquesubyacealassolucionesenotraspalabrasldquo[b]rindar informacioacutenacercade laclasededatosdeentradaydesalida esperada explicar las variables y su ponderacioacuten o arrojar algo de luz sobre la arquitectura del anaacutelisisrdquo438 Este enfoque conocido como ldquointerpretabilidadrdquo apunta a comprender la causalidad que un cambio en los datos de entrada tiene en el resultado sin necesariamente explicar la totalidad de la loacutegica de la maacutequina en sus muacuteltiples capas Sin embargo en el caso de las cajas negras lograr la interpretabilidad resultaraacute con frecuencia difiacutecil ya que es importante ser transparente con los titulares de los datos acerca de los aspectos desconocidos y las incertidumbres

433 Unioacuten Europea Grupo de trabajo sobre proteccioacuten de datos del artiacuteculo 29 Directrices sobre decisiones individuales automatizadas y elaboracioacuten de perfiles a los efectos del Reglamento 2016679 (wp251rev01)2018paacuteg28httpseceuropaeunewsroomarticle29item-detailcfmitem_id=612053

434 V Seccioacuten 251 Principio de licitud y lealtad del tratamiento435 V Seccioacuten 210 Informacioacuten436 Autoridades encargadas de la proteccioacuten de datos en Noruega 2018 paacuteg 19437 Future of Privacy Forum 2018 paacuteg 17438 Mantelero 2019 paacuteg 12


1633 MINIMIZACIOacuteN DE LOS DATOSEn virtud del principio de minimizacioacuten de los datos las organizaciones deben limitar el tratamiento de datos personales a la menor cantidad y alcance posibles para cumplir con el propoacutesito del tratamiento439Encambioenelcasodelainteligenciaartificialpodriacutea ser difiacutecil saber de antemano queacute es lo necesario440 ya que estas soluciones reconocen por siacute mismas caracteriacutesticas y patrones lo que complejiza la tarea de saber queacute datos (y cuaacutentos) se necesitan para llevar a cabo una tarea determinada En consecuencia dado que las teacutecnicas como el aprendizaje automaacutetico requieren de grandes cantidades de datos para generar resultados uacutetiles solo es posible lograr un determinado grado de minimizacioacuten441 Ademaacutes es necesario entrenar estas soluciones medianteunconjuntodedatosquesealosuficientementegrandeyrepresentativoyaque de lo contrario podriacutea generar resultados sesgados442

Apesardeestaaparentecontradiccioacutenentrelainteligenciaartificialylaminimizacioacutende los datos hay varias medidas de mitigacioacuten posibles que se enuncian a continuacioacuten junto con sus posibles limitaciones

bull Emplearteacutecnicasqueobstaculicenlaidentificacioacutendelaspersonasatraveacutesdelos datos por ejemplo restringir la cantidad y la naturaleza de la informacioacuten utilizada Ese enfoque quizaacutes no sea apto para ciertas soluciones de inteligencia artificialquerequierendegrandescantidadesdedatosparafuncionarbienAdemaacutesdificultarlaidentificacioacutendelosdatosquizaacutesnogaranticeelrespetodelprincipio de minimizacioacuten de los datos

bull Usar ldquodatos sinteacuteticosrdquo para el entrenamiento Se trata de ldquoun conjunto de datosartificialesqueincluyendatosrealessobreindividuosnoldquorealesrdquoperoquereflejanencaracteriacutesticasyrelacionesproporcionalestodoslosaspectosestadiacutesticos del conjunto de datos originalrdquo443 Pero esta teacutecnica tambieacuten plantea retos ya que los datos sinteacuteticos se obtienen de un conjunto original de datos reales(quesenecesitanparaquelosprimerospuedanreflejarlasociedadylasituacioacuten que la solucioacuten estaacute analizando para generar resultados precisos) Como talauacutenexisteelriesgodereidentificacioacutenalusarconjuntosdedatossinteacuteticos

bull Adoptar un enfoque progresivo con la recopilacioacuten de lo que se considera la cantidad miacutenima de datos necesarios para lograr los resultados esperados y luego probar la solucioacuten para ver coacutemo se desempentildea Despueacutes de realizar la prueba es posible agregar maacutes datos de ser necesario y probar la solucioacuten nuevamente hasta que logre los resultados deseados Este enfoque reduce el tratamiento de datos innecesarios y busca garantizar que el entrenamiento de la solucioacuten se realice con el conjunto de datos maacutes pequentildeo posible al tiempo que hace maacutes difiacutecillareidentificacioacuten

439 V Seccioacuten 254 Principio de minimizacioacuten de los datos440 Centre for Information Policy Leadership 2018 paacuteg 14441 Mantelero 2019 paacuteg 8442 Centre for Information Policy Leadership 2018 paacuteg 13443 Future of Privacy Forum 2018 paacuteg 8


Apesardelasdificultadesasociadasalaminimizacioacutendelosdatosenlainteligenciaartificialesteprincipionosignificaqueeltratamientoagranescalaesteacuteprohibidosinomaacutes bien que plantea riesgos mayores que exigen medidas de seguridad y de mitigacioacuten de riesgos apropiadas Ademaacutes y como ya se mencionoacute no todas las soluciones de inteligenciaartificialrequierendegrandesvoluacutemenesdedatosparaserprecisasEnelcaso de las que se basan en el aprendizaje por refuerzo pueden ser entrenadas con poca cantidad de datos o nula

1634 CONSERVACIOacuteN DE LOS DATOSLosdatospersonalesdebenconservarseporunperiacuteododefinidoquenodebesermayoral que se necesita para el tratamiento444 No obstante una vez que luego de transcurrido un plazo determinado los datos personales se eliminan ya no es posible utilizarlos para entrenar implementar ni controlar el sistema todo lo cual podriacutea mejorar su desempentildeo445 Si un modelo muestra un sesgo por ejemplo quizaacutes resulte uacutetil tener los datos a disposicioacuten para comprender queacute caracteriacutesticas se ponderaron incorrectamente y volver a entrenar la solucioacuten para que arroje resultados maacutes precisos A pesar de losbeneficiosdealmacenardatosporperiacuteodosmaacutesprolongadosensolucionesdeinteligenciaartificialloscontroladoresdedatosdebencerciorarsedenoconservarlosdatos personales por maacutes tiempo del necesario y de adoptar medidas para garantizar que los datos se mantengan actualizados durante todo el periacuteodo de conservacioacuten para reducir asiacute el riesgo de inexactitudes en la solucioacuten446 Dada la diversidad de usos que puedetenerlainteligenciaartificialenelsectorhumanitariosedeberiacuteanconsiderarperiacuteodosdeconservacioacutenespeciacuteficosenfuncioacutendelcontextodecadaprogramaEntalsentido las organizaciones humanitarias deberiacutean considerar y establecer un periacuteodo deconservacioacuteninicialporejemplounperiacuteododedosantildeosparafinesdeauditoriacuteaSi luego de este periacuteodo inicial los datos auacuten se necesitan las organizaciones deberiacutean realizar evaluaciones perioacutedicas en funcioacuten de sus necesidades de conservacioacuten y tenerencuentasubaselegiacutetimaparamodificarloTambieacutennecesitaraacutenobtenerelconsentimiento adicional de los titulares de los datos si sus datos se conservan por maacutes tiempo que el que aceptaron al momento de su recopilacioacuten

1635 SEGURIDAD DE LOS DATOSLa seguridad de los datos447 es un aspecto esencial de la implementacioacuten de soluciones de inteligencia artificial sobre todo en el sector humanitario Las organizacioneshumanitarias deberaacuten tener en cuenta los riesgos derivados de estas tecnologiacuteas y aplicar la maacutexima seguridad de los datos al momento de su implementacioacuten

444 V Seccioacuten 27 Conservacioacuten de los datos445 Centre for Information Policy Leadership 2018 paacuteg 15446 Grupo de trabajo del artiacuteculo 29 de la Unioacuten Europea 2018 paacuteg 12447 V Seccioacuten 28 Seguridad de los datos y seguridad del tratamiento


Losataquesperpetradosporpartesmalintencionadassuelenclasificarseenunadetrescategoriacuteas

bull ataques de inversioacuten del modelo intentos de revelar informacioacuten sobre los datos de entrenamiento mediante la inversioacuten del modelo del sistema

bull ataques de envenenamiento intentos de reducir la utilidad del modelo

bull ataques de puerta trasera intentos de acceder sin permiso a la solucioacuten y modificarlaluegodeentrenada

En el caso especiacutefico de la inversioacuten delmodelo se ha demostrado que algunossistemas recuerdan sus conjuntos de datos de entrenamiento Por ejemplo si se ha utilizado el rostro de una persona para entrenar un sistema de reconocimiento facial una parte mal intencionada podriacutea consultar el sistema una y otra vez y al hacerlo modificarlaimagendeentradaafindereconstruirelrostroconelgradosuficientedeprecisioacuten como para saber que la persona en cuestioacuten fue parte del conjunto de datos de entrenamiento448

Otra clase de ataque deliberado es agregar ruido a los datos para disminuir la calidad de los resultados lo que en ocasiones puede traducirse en resultados inuacutetiles con clasificacionesyprediccionesequivocadas

Todosestos factores significanqueunaseguridadde losdatos inadecuadapodriacuteaplantearriesgossignificativosparaindividuosvulnerablesenelcontextodelusodelainteligenciaartificialAntelaexistenciadeestosriesgosesimportantecrearsistemassoacutelidos y seguros que ofrezcan proteccioacuten efectiva contra el acceso no autorizado Las teacutecnicas de seudonimizacioacuten y cifrado son algunos de los meacutetodos que pueden resultar de ayuda para lograrlo Si bien la teacutecnica de entrenar los modelos a partir de datos cifrados se encuentra auacuten en sus comienzos los modelos estaacuteticos que reciben datos de entrada cifrados y generan salidas descifradas ya son algo de todos los diacuteas aunque consuspropiaslimitacionesAlentrenarsolucionesdeinteligenciaartificialsedeberiacuteaconsiderar la opcioacuten de utilizar la privacidad diferencial449

448MFredriksonSJhayTRistenpartldquoModelInversionAttacksthatExploitConfidenceInformation and Basic Countermeasuresrdquo (2015) CCS lsquo15 Proceedings of the 22nd ACM SIGSAC Conference on Computer and Communications Securitypaacutegs1322-1333 httpswwwcscmuedu~mfredrikpapersfjr2015ccspdf

449 ldquoLos algoritmos con privacidad diferencial son resilientes a los ataques adaptativos que utilizan informacioacuten auxiliar Dichos algoritmos dependen de incorporar ruido aleatorio a la mezcla de modo que todo lo que un adversario recibe tenga ruido y sea impreciso y resulte por ende mucho maacutes difiacutecil infringir la privacidad (si ello fuera factible en primera instancia)rdquo A Elamurugaiyan ldquoA Brief Introduction toDifferentialPrivacyrdquoMedium31deagostode2018httpsmediumcomgeorgian-impact-bloga-brief-introduction-to-differential-privacy-eacf8722283b


164 DERECHOS DE LOS TITULARES DE LOS DATOSLos controladores de los datos tienen la responsabilidad de determinar los medios y los propoacutesitos del tratamiento asiacute como de garantizar que los titulares de los datos puedan ejercer sus derechos450Sibienlainteligenciaartificialpuededificultarelcumplimientode estas obligaciones por parte de los controladores de los datos la eleccioacuten de este tipo de soluciones como medio para lograr un determinado propoacutesito no los exime de sus responsabilidades En consecuencia las organizaciones humanitarias deberiacutean contar con procedimientos y sistemas para garantizar que las personas puedan ejercer sus derechos Deberiacutean aplicar los principios de proteccioacuten de datos desde el disentildeo y por defecto (v seccioacuten 7) Simultaacuteneamente y como ya se indicoacute en la seccioacuten 211 de este manual es probable que en determinadas circunstancias el ejercicio de estos derechos se vea limitado

1641 DERECHO A SER INFORMADOComosucedeconotrastecnologiacuteascuandoseaplicalainteligenciaartificialsedebeinformar451 a los titulares de los datos acerca de la identidad y los detalles de contacto del controlador de los datos coacutemo comunicarse con eacutel el propoacutesito y la base legiacutetima del tratamiento las clases de datos personales que se procesan sus derechos como titulares de los datos (en especial el derecho de acceso) y las protecciones relacionadas con el tratamiento Tambieacuten se les debe informar acerca del uso de la inteligencia artificialsuimportanciaparaeltratamientoprevistoylosriesgoslasnormasylasprotecciones vinculadas con este452

1642 DERECHO A LA ELIMINACIOacuteNLas organizaciones deberiacutean tomar debida cuenta del derecho a la eliminacioacuten al utilizar solucionesdeinteligenciaartificial453 Si un titular de los datos solicita la eliminacioacuten desusdatosperoestossehanutilizadoparaentrenarunasolucioacutenespeciacuteficaestauacuteltima se basaraacute de todos modos en esos datos aun cuando se los pueda eliminar lo cualsignificaqueinclusosilaorganizacioacutenhumanitariaeliminalosdatosdelconjuntode datos la solucioacuten contendraacute ciertas caracteriacutesticas de los datos (dado que estas se analizaron y compararon con otras en el conjunto de datos para crear la solucioacuten) Esto puede constituir un problema cuando como se mencionoacute anteriormente los datos podriacutean revelarse mediante un ataque de inversioacuten del modelo

En este caso es importante evaluar si la eliminacioacuten de los conjuntos de datos en siacute pero sinmodificarlasolucioacutenconstituiriacuteaunalimitacioacutenalderechodeeliminacioacutenonoyentalcasosidichalimitacioacutenestariacuteajustificadaalaluzdelascircunstanciasdelcasoIndependientementedelasdificultadesrelacionadasconlaeliminacioacutenldquo[s]edeberiacutea

450 V Seccioacuten 211 Derechos de los titulares de los datos451 V Seccioacuten 210 Informacioacuten452 Autoridades encargadas de la proteccioacuten de datos en Noruega 2018 paacuteg 19453 V Seccioacuten 21114 Derecho a la eliminacioacuten


garantizar el derecho a objetar en relacioacuten con el tratamiento basado en tecnologiacuteas que influyenen lasopinionesyeneldesarrollopersonalde los individuosrdquo454 Es importante resaltar sin embargo que quizaacutes haya motivos vaacutelidos para limitar este derecho conforme se analiza en la seccioacuten 211 de este manual

1643 DERECHOS REFERIDOS A LA TOMA DE DECISIONES AUTOMATIZADA

Los titulares de los datos tienen derecho a que no se los someta exclusivamente a la toma de decisiones automatizada es decir ldquodecisiones que se toman mediante la tecnologiacutea sin participacioacuten del ser humanordquo455 cuando estas generan tienen juriacutedicos osimilaressignificativosenlapersonaencuestioacuten

EJEMPLOEntre los ejemplos de las decisiones adoptadas en forma exclusivamente automatizada cabe mencionar las multas por exceso de velocidad basadas exclusivamente en evidencia tomada de las caacutemaras de control vehicular la denegacioacuten automaacutetica de una solicitud de creacutedito en liacutenea o las praacutecticas de contratacioacuten electroacutenica sin participacioacuten de un ser humano456

Los fundamentos de este derecho ldquose basan en el temor por el sesgo algoriacutetmico la preocupacioacuten por la toma de decisiones exclusivamente automatizadas incorrectas y sin fundamento a partir de datos inexactos o incompletos y la necesidad de que las personas tengan derecho a reparacioacuten y puedan impugnar una decisioacuten si un algoritmo es incorrecto o injustordquo457EstasinquietudessevenjustificadasporejemplostalescomoelcasodelosbeneficiosenSueciamencionadoanteriormenteenestemanualenelqueel uso de una solucioacuten no autorizada provocoacute que ldquoa miles de personas desempleadas se lesdenegaranerroacuteneamentesusbeneficiosrdquo458 En el caso de las acciones humanitarias podriacuteasurgirunproblemasimilarsi lassolucionesdeinteligenciaartificialtomandecisiones acerca de quieacuten recibe ayuda y a quieacuten se incluye en la poblacioacuten objetivo de unprogramadeasistenciaLosbeneficiariossiempredeberiacuteantenerderechoaqueunser humano supervise las decisiones que los afectan

Cabedestacarqueldquo[p]araqueselaclasifiquecomoparticipacioacutendeunserhumanoelcontrolador debe asegurarse de que toda supervisioacuten de la decisioacuten tenga sentido y de que no se trate meramente de un gesto simboacutelicordquo459 Esto es particularmente importante ya que quienes toman decisiones tal vez confiacuteen ciegamente en las sugerencias de la solucioacuten

454 CoE 2019 paacuteg 2455 CoE 2019 paacuteg 8456 CoE 2019 paacuteg 8457 Centre for Information Policy Leadership 2018 paacuteg 16458 Wills 2019459 Grupo de trabajo del artiacuteculo 29 de la Unioacuten Europea 2018 paacuteg 21


deinteligenciaartificialbasadasenquelosalgoritmosmatemaacuteticossonsupuestamentetolerantes a fallos En consecuencia no basta con la presencia de un ser humano que tome las decisiones460 Este debe poder refutar la decisioacuten o la sugerencia de la maacutequina

Los encargados de tomar decisiones tal vez no comprendan cabalmente coacutemo llegoacute el sistema a una decisioacuten o a una sugerencia en particular y por ende quizaacutes les resulte difiacutecil determinar si fue equivocada (v la seccioacuten 323 sobre transparencia) Los encargados de tomar decisiones siempre deberiacutean poder examinar todos los hechos y la informacioacuten desde cero y tomar una decisioacuten independiente sin tener en cuenta elresultadodelasolucioacutendeinteligenciaartificialSinembargoestonosiempreestan sencillo dado que dicha solucioacuten puede tratar mucha maacutes informacioacuten que una persona en la misma situacioacuten En estos casos una opcioacuten consistiriacutea en formar un equipo multidisciplinario que incluya a personas con experiencia y conocimientos en este sector asiacute como a desarrolladores de tecnologiacutea

Es posible que maacutes allaacute de su nivel de conocimientos y dado el grado de precisioacuten de latecnologiacuteaestaspersonasseanrenuentesamodificarlasdecisionesautomatizadastomadasporlainteligenciaartificialEnconsecuenciaotracuestioacutenquedebetenerseen cuenta es coacutemo se deberiacutea implementar la intervencioacuten humana para que ldquoquien revise la decisioacuten sea alguien con la capacidad y el nivel de autoridad apropiado para modificarlardquo461 Por ello las organizaciones deben determinar si en el caso tener derechoalaintervencioacutendeunserhumanoseriacuteaaceptableparalosbeneficiariossometerse a la toma de decisiones automatizada En tal situacioacuten es posible que se ponga en duda el mero uso de la tecnologiacutea

Detodosmodosesfundamentalqueseinformealosbeneficiariossobrecualquiertoma de decisiones automatizada de la que sean objeto incluida la loacutegica de la solucioacuten deinteligenciaartificiallaimportanciadeltratamientoylasconsecuenciasquesepreveacute que dicha solucioacuten tendraacute para ellos462 Ademaacutes deben tener la posibilidad de objetar el tratamiento


1651 RESPONSABILIDAD DEMOSTRADA

Como se explicoacute anteriormente en ocasiones y a causa del efecto ldquocaja negrardquo a los desarrolladores les cuesta comprender cabalmente la evolucioacuten de la inteligencia artificial(vseccioacuten423)Estopuedeplantearinterrogantesentornoalosprincipios

460 Mantelero 2019 paacuteg 11461 Grupo de trabajo del artiacuteculo 29 de la Unioacuten Europea 2018 paacuteg 27462 Grupo de trabajo del artiacuteculo 29 de la Unioacuten Europea 2018 paacuteg 25


de responsabilidad demostrada y responsabilidad del controlador de datos Para poner en praacutectica estos principios los controladores de datos deben cumplir con los requisitos relativos a la proteccioacuten de los datos y estar en condiciones de demostrar que han adoptado medidas teacutecnicas y organizacionales adecuadas y proporcionadas dentro de sus respectivas actividades de tratamiento463

1652 RESPONSABILIDADLatomadedecisionesautomatizada(vmaacutesarriba)planteaproblemasespeciacuteficosrelacionados con la responsabilidad En el caso de la asistencia de salud por ejemplo se suele considerar que las maacutequinas son maacutes precisas que los seres humanosparadiagnosticarenfermedadescomotiposespeciacuteficosdecaacutenceroparaanalizar radiografiacuteas Por ello los meacutedicos quizaacutes se sientan obligados a observar la recomendacioacuten que reciben de la maacutequina464 En esta situacioacuten no quedariacutea del todo claro quieacuten tiene la responsabilidad por el diagnoacutestico si la maacutequina en siacute (en el supuesto de que se la considere una persona juriacutedica) sus desarrolladores o el meacutedico465 Algo similar podriacutea suceder cuando una organizacioacuten humanitaria ofrece servicios meacutedicos en una emergencia por ejemplo ante un error de diagnoacutestico durante el brote de una enfermedad contagiosa Para contrarrestar esto las organizaciones pueden tratar de extender la loacutegica de la responsabilidad del producto a los algoritmos lo que coloca toda la responsabilidad en la empresa desarrolladora466 (aunque esto seriacutea muy difiacutecil de lograr en la praacutectica) Desde el punto de vista eacutetico tambieacuten es importante que las organizaciones humanitarias comprendan sus propias responsabilidades al momento deoptarporestatecnologiacuteayquerindancuentasantelosbeneficiariosporesaeleccioacuten

166 INTERCAMBIO INTERNACIONAL DE DATOSComo praacutectica de rutina los datos personales y otra clase de datos tratados en solucionesdeinteligenciaartificialatravesaraacutenlasfronterasnacionalesSeplantearaacutenpor ellos diversas cuestiones relativas a la proteccioacuten de los datos en las aplicaciones deinteligenciaartificialenlasqueseproduceestetipodeintercambio467 Si bien se reconoce la existencia de mecanismos juriacutedicos en este contexto probablemente sean absolutamente impracticables

La determinacioacuten de la legislacioacuten y la jurisdiccioacuten aplicables puede tambieacuten plantear dificultadesNoesposiblehacerunanaacutelisisderiesgoadecuadoyespeciacuteficoparaestas

463 V Seccioacuten 29 Principio de responsabilidad demostrada464 Autoridades encargadas de la proteccioacuten de datos de Francia (CNIL) ldquoComment

permettre agrave lrsquohomme de garder la main Les enjeux eacutethiques des algorithmes et de lrsquointelligenceartificiellerdquo2017paacuteg27httpswwwcnilfrsitesdefaultfilesatomsfilescnil_rapport_garder_la_main_webpdf

465 CNIL 2017 paacuteg 27466 Mantelero 2019 paacuteg 17467 V Capiacutetulo 4 ldquoIntercambio internacional de datosrdquo


transferencias a menos que la legislacioacuten y la jurisdiccioacuten aplicables esteacuten claramente incorporadas en la gobernanza de la inteligencia artificial Los principios que sedescriben en la seccioacuten 42 de este manual brindan a las organizaciones humanitarias una orientacioacuten detallada respecto del intercambio internacional de datos en el contexto delainteligenciaartificialLaresponsabilidaddemostradaporelintercambiodedatoses un principio clave que las organizaciones deben tener en cuenta al participar en actividades que impliquen dicho intercambio


La proteccioacuten de datos desde el disentildeo implica disentildear una operacioacuten un programa o una solucioacuten de tratamiento que desde un comienzo implemente principios de proteccioacuten de datos clave y brinde al titular de los datos la mayor proteccioacuten posible Enestesentidolosprincipiosdeproteccioacutendedatosmaacutesimportantesson




bull precisioacuten

bull limitacioacuten de almacenamiento (conservacioacuten limitada)


Para una descripcioacuten general de estos principios algunos de los cuales se tratan en la seccioacuten 3 v el capiacutetulo 2

Seguacuten se explica en dicha seccioacuten determinadas caracteriacutesticas de la inteligencia artificial pueden plantear dificultades para la implementacioacuten de soluciones quecumplan con los requisitos de proteccioacuten de datos Incorporar soluciones de manera tal de responder a estos riesgos y retos desde un comienzo quizaacutes sea una de las formas maacutes efectivasdeevitarlosomitigarlosPorejemplolastecnologiacuteasdeinteligenciaartificialprocesan grandes voluacutemenes de datos para aprender a ponderar sus caracteriacutesticas importantesidentificarpatronesyentrenaralosmodelosparaqueseperfeccionenEstosdatosraravezsonanonimizadosdadoquelainteligenciaartificialconfrecuencianecesita conjuntos de datos detallados para funcionar adecuadamente No obstante cuantas maacutes caracteriacutesticas distintivas se agreguen a los conjuntos de datos mayores seraacutenlasposibilidadesdequeidentifiquenalapersonaalacualserefierenyaseaporque el modelo realiza maacutes inferencias que las previstas inicialmente (v seccioacuten 31) o porque el sistema es blanco de un ataque deliberado (v seccioacuten 35) En uacuteltima instancialadecisioacutendeutilizarlainteligenciaartificialonosiempreimplicaraacuteunaponderacioacutendelospotencialesbeneficiosylosriesgosposiblesqueeseusoimplicapara los titulares de los datos


Con frecuencia se sugiere que los datos sinteacuteticos (v maacutes arriba) son una posible solucioacutenparalareidentificacioacutenSinembargonosoninfaliblesyaqueestosdatosse derivan de un conjunto original de datos reales y de todos modos podriacutean surgir problemas si de ese conjunto de datos se mantiene una gran cantidad de caracteriacutesticas uacutenicasLaposibilidaddereidentificaralosbeneficiariosapartirdelmodelotambieacutenes particularmente pertinente en el sector humanitario en el que organizaciones o personas mal intencionadas quizaacutes deseen obtener los datos que la organizacioacuten humanitaria recopila afindeutilizarlosparaatacarodantildear agruposopersonasvulnerables Las teacutecnicas de seudonimizacioacuten de anonimizacioacuten (cuando sea posible) y decifradotambieacutenpodriacuteancontribuiraevitarlareidentificacioacutenyaprotegerlaidentidadde los titulares de los datos468 La combinacioacuten del cifrado con la seudonimizacioacuten o el uso de datos sinteacuteticos agrega una capa de proteccioacuten ya que sin la clave de descifrado los atacantes que accedan al sistema no podraacuten ldquoleerrdquo la informacioacuten que obtengan

Ademaacutes los datos de entrenamiento deben ser apropiados para el propoacutesito de la solucioacutendeinteligenciaartificialEnotraspalabraslosdatosseleccionadosdeberaacutenserpertinentesparalatareaysenecesitaraacutenverificacionesyactualizacionesconstantesparaidentificardatosinexactosocorruptosyeliminarlosdelconjuntodedatosutilizadopara el entrenamiento Tambieacuten es posible agregar nuevos datos para evitar el sesgo (v seccioacuten 322) En consecuencia es importante que las organizaciones humanitarias trabajen junto con los desarrolladores para cerciorarse de que la solucioacuten que adquieran o desarrollen sea aplicable o apropiada para las necesidades de la organizacioacuten en un contexto dado

Ademaacutes las organizaciones humanitarias deberaacuten trabajar con los desarrolladores en el tema de la ldquoexplicabilidadrdquo en especial cuando tengan la intencioacuten de utilizar lassolucionesdeinteligenciaartificialpararespaldarlatomadedecisionesDeberiacuteanpoder explicar a los titulares de los datos coacutemo funciona la solucioacuten los posibles riesgosdequeacutemaneraelsistemadeinteligenciaartificiallograsusresultadosyqueacutese ha dispuesto para que de ser necesario un encargado de tomar decisiones revise las decisiones o las sugerencias que la solucioacuten ofrece

En conclusioacuten al momento de optar por la implementacioacuten de soluciones de inteligencia artificialsealientaalasorganizacioneshumanitariasaqueinviertanenlaproteccioacutende los datos desde el disentildeo como un elemento esencial del proceso de desarrollo o de adquisicioacuten de la solucioacuten Esta probablemente sea la forma maacutes efectiva de garantizar el cumplimiento de los principios de proteccioacuten de datos

468 Autoridades encargadas de la proteccioacuten de datos en Noruega 2018 paacuteg 18


168 PROBLEMAS Y DIFICULTADES DE NATURALEZA EacuteTICAA raiacutez de la velocidad con la que evolucionan las tecnologiacuteas y el hecho de que por lo general la legislacioacuten estaacute rezagada respecto de los grandes cambios que se producen en la sociedad es probable que las leyes existentes no contemplen algunas de las cuestioneseacuteticasasociadasalassolucionesdeinteligenciaartificialAlmomentodeoptar por el desarrollo o el uso de este tipo de solucioacuten las organizaciones humanitarias deberiacutean evaluar por supuesto si cumple con las leyes sobre la proteccioacuten de datos y los principios de proteccioacuten de los datos desde el disentildeo Sin embargo tambieacuten deberiacutean evaluar los posibles efectos adversos que ello podriacutea tener en distintos derechos fundamentales de los titulares de los datos asiacute como las implicancias tanto eacuteticas como sociales del tratamiento de los datos469

Lasherramientasde inteligenciaartificialplanteanmuchosriesgosentreellos laposibilidaddeunsesgodiscriminatorioladificultaddedeterminarlaresponsabilidadla precisioacuten del sistema y posibles violaciones del derecho a la privacidad Ademaacutes es posible que algunos desarrolladores entrenen a los sistemas a partir de datos obtenidos ya sea en forma iliacutecita o a traveacutes de meacutetodos poco eacuteticos como solo permitir el acceso a su plataforma o a sus servicios si los usuarios consienten que sus datos sean utilizados paraentrenarlainteligenciaartificialEstoesparticularmentepreocupantecuandolosusuarios de esas plataformas o servicios pertenecen a grupos vulnerables y necesitan dar su consentimiento para acceder a los servicios a pesar de la falta de transparencia de la empresa respecto de los datos que procesa La implementacioacuten eacutetica de la inteligencia artificialsiempreimplicaraacutevelarporquelosdatosutilizadossehayanrecopiladodeconformidadconnormasdederechoshumanosaceptadasyquelosidentificadoresespeciacuteficos(personalesodelgrupo)sehayanseudonimizado

Los anaacutelisis de riesgos que exceden la proteccioacuten de datos tradicional y abarcan una amplia variedad de intereses normas eacuteticas y derechos (por ejemplo el derecho a la no discriminacioacuten)470 resultan de suma importancia La eacutetica y los intereses de la sociedad son maacutes amplios que la ley por lo que las organizaciones deberiacutean considerar los antecedentes contextuales en general incluidos matices poliacuteticos y culturales En consecuencia la evaluacioacuten de los valores eacuteticos se torna maacutes compleja exhaustiva y dependientedelcontextoqueelmerohechodeverificarelcumplimientodelasleyessobre la proteccioacuten de datos

Ha habido numerosos intentos de definir los principios eacuteticos que se aplican aldesarrollodelainteligenciaartificialPorejemplolosAsilomarAIPrinciples471 y la DeclaracioacutensobreeacuteticayproteccioacutendedatoseninteligenciaartificialdelaConferencia

469AManteleroldquoArtificialIntelligenceandBigDataAblueprintforahumanrightssocialand ethical impact assessmentrdquo Computer Law amp Security Review vol 34 nuacutemero 4 2018 paacuteg755httpsdoiorg101016jclsr201805017

470 Mantelero 2019 paacuteg 13471 FutureofLifeInstituteldquoAsilomarAIPrinciplesrdquohttpsfutureoflifeorgai-principles


Internacional de Autoridades de Proteccioacuten de Datos y Privacidad472 Los acadeacutemicos tambieacuten investigan actualmente cuestiones eacuteticas relacionadas con la inteligencia artificial473 en tanto algunas multinacionales estaacuten dedicadas hoy en diacutea a desarrollar sus propios conjuntos de principios eacuteticos Si bien a la fecha estas iniciativas no estaacuten armonizadas y no existe un uacutenico conjunto estaacutendar de lineamientos los principios que incluyen tanto la legislacioacuten como la eacutetica ndashpor ejemplo la transparencia la lealtad y la responsabilidad demostrada (v la seccioacuten 3)ndash parecen ofrecer algo en comuacuten

Dadoelimpactoquelainteligenciaartificialpuedetenerldquoelcomiteacutedeeacuteticaatraecadavezmaacutesatencioacutenenlosciacuterculosdelainteligenciaartificialrdquo474 ya que ldquopuede proporcionar un apoyo valioso a los desarrolladores en el disentildeo de algoritmos orientados a la sociedad y basados en derechosrdquo475 En cuanto a la composicioacuten de estoscomiteacutesldquo[c]uandolascuestionessocietariassonsignificativasseraacuteesencialcontar con la experiencia y los conocimientos en cuestiones socioloacutegicas eacuteticas y juriacutedicasasiacutecomoconconocimientosespeciacuteficosdeldominiordquo476 En consecuencia las organizaciones humanitarias podriacutean evaluar la posibilidad de constituir un comiteacute de eacutetica que las ayude a hacer frente a estas cuestiones durante la implementacioacuten de solucionesdeinteligenciaartificial

Afindegarantizarelcumplimientodenormasjuriacutedicasyeacuteticaslasorganizacioneshumanitarias deberiacutean considerar los pasos que se indican a continuacioacuten

bull En primer lugar durante el proceso de EIPD deberiacutean responder a estas tres preguntas bull iquestQueacute deberiacutea hacerse realmente bull iquestQueacute estaacute permitido por ley bull iquestQueacute es posible desde el punto de vista teacutecnico

bull En segundo lugar al optar por el uso de nuevas tecnologiacuteas deberiacutean considerar elproblemaalqueseenfrentanysilainteligenciaartificialpuedecontribuirono asuresolucioacutenparalocualdeberaacutenformularselassiguientespreguntas bull iquestQueacuteproblemaseresuelveconlainteligenciaartificial bull iquestQueacute problema no se resuelve bull iquestQueacute problema se genera bull iquestCoacutemo se comporta esta tecnologiacutea en comparacioacuten con otras que quizaacutes sean

menos riesgosas

472 Conferencia Internacional de Autoridades de Proteccioacuten de Datos y Privacidad ldquoDeclaracioacuten sobreeacuteticayproteccioacutendedatoseninteligenciaartificialrdquohttpglobalprivacyassemblyorgwp-contentuploads20181020180922_ICDPPC-40th_AI-Declaration_ADOPTEDpdfmc_phishing_protection_id=28047-br1tehqdu81eaoar3q10

473 V por ejemplo la ACM Conference on Fairness Accountability and Transparency (httpsfatconferenceorg) que ha cobrado importancia en los uacuteltimos antildeos

474 Mantelero 2019 paacuteg 15475 Mantelero 2019 paacuteg 16476 Mantelero 2019 paacuteg 16


Tambieacuten se deberiacutea tener siempre en mente la opcioacuten ldquocerordquo (es decir no utilizar la inteligenciaartificial)Estoadquiereparticularrelevanciacuandoelusodeestatecnologiacutea quizaacutes sea liacutecito pero resulte inaceptable desde el punto de vista eacutetico Por ejemplo si la solucioacuten que la organizacioacuten eligioacute no cuenta con buena aceptacioacuten por parte de los beneficiarios del programa esa sensacioacuten de incomodidad o dedesconfianzapodriacuteajustificarladecisioacutendenoimplementarlatecnologiacutea

ANEXO I

PLANTILLA DE INFORME DE EIPD


Portada bull Evaluacioacuten de impacto relativa a la proteccioacuten de datos sobre

[nombre de la actividad]

bull Persona de contacto cargo y correo electroacutenico

bull Fecha

ResumenSi la EIPD tiene maacutes de veinte paacuteginas debe contener un resumen en el que explique precisamente el motivo por el que se realizoacute la EIPD para quieacuten se realizoacute y quieacuten la realizoacute y debe presentar las principales conclusiones y recomendaciones

Introduccioacuten y descripcioacuten del proceso de EIPDLa introduccioacuten debe describir el alcance de la EIPD y precisar cuaacutendo por queacute y para quieacuten fue realizada asiacute como quieacuten la realizoacute Asimismo debe informar sobre la actividad evaluada y presentar la metodologiacutea empleada (por ejemplo el meacutetodo que se eligioacute para interactuar con las partes interesadas)

Evaluacioacuten del umbralEsta seccioacuten debe enumerar las cuestiones abordadas por la organizacioacuten humanitaria para determinar si una EIPD era necesaria y cuaacutel seriacutea su alcance

Descripcioacuten de la actividad o del proyecto objeto de la evaluacioacutenLa descripcioacuten de la actividad que seraacute evaluada debe indicar quieacuten realiza la actividad y cuaacutendo lo hace Asimismo debe precisar a quieacutenes abarcaraacute la actividad y quieacutenes podriacutean interesarse o verse afectados por ella La descripcioacuten debe brindar informacioacuten contextual sobre la manera en que la actividad se inscribe en el marco de otros servicios o actividades de la organizacioacuten humanitaria

Flujos de informacioacutenEstaseccioacutendebeprecisar(comomiacutenimo)lasiguienteinformacioacuten

bull el tipo de datos que se recogeraacuten

bull si se recogeraacute informacioacuten sensible

bull de queacute manera se recogeraacuten los datos

bull conqueacutefinesseutilizaraacutenlosdatos bull de queacute manera y doacutende se almacenaraacuten los datos o se haraacuten las copias

de seguridad

bull quieacutenes tendraacuten acceso a los datos personales

bull si se divulgaraacuten datos personales

bull si se divulgaraacuten datos personales sensibles

bull si los datos seraacuten transferidos a otras organizaciones u otros paiacuteses


Respeto de leyes reglamentos coacutedigos y directrices El informe de EIPD debe precisar las leyes reglamentos coacutedigos y directrices que la actividad respeta o deberiacutea respetar A nivel mundial los principios relativos al respeto de la privacidad enumerados en la norma ISOIEC 291002011 de laOrganizacioacutenInternacional de Normalizacioacuten (ISO)477 son una referencia uacutetil en una EIPD Asimismo el informe de EIPD debe indicar la manera en que la evaluacioacuten cumple las normas de confidencialidadyloscoacutedigosdeconductadelaorganizacioacutenhumanitariaydequeacutemanera la organizacioacuten humanitaria supervisa ese cumplimiento

Anaacutelisis de las partes interesadasEl informedebe identificar a lasprincipalespartes interesadaso afectadaspor eltratamiento de datos y exponer los criterios empleados para establecer esta lista

Impactos (riesgos) de la proteccioacuten de datos Estaseccioacutendebeprecisarlosriesgosidentificadosparalaprivacidaddesdeelpuntode vista de los principios maacutes importantes relativos a la privacidad enunciados en lalegislacioacutenaplicableasiacutecomoenlasnormasdeconfidencialidadyloscoacutedigosdeconducta de la organizacioacuten humanitaria

Anaacutelisis de riesgosEstaseccioacutendebeespecificarlasmodalidadesdeanaacutelisisdelosriesgosypresentarsusresultados

Cuestiones organizativasEl informe de EIPD debe contener una seccioacuten que describa la manera en que los directivos de la organizacioacuten participan en las decisiones relativas a la proteccioacuten de datos Alliacute deberaacute incluirse un anaacutelisis de las cuestiones organizativas que directa o indirectamente se ven afectadas por la actividad de tratamiento de datos Por ejemplo puede advertirse que el tratamiento de datos exige la implementacioacuten de un mecanismo organizativo para garantizar la responsabilidad es decir que un alto directivo debe garantizar que el programa no tendraacute repercusiones negativas para la organizacioacuten humanitaria ni para las partes interesadas

Asimismo durante el transcurso de la EIPD el equipo encargado de realizar la evaluacioacuten puede advertir que la organizacioacuten humanitaria necesita por un lado dedicar maacutes tiempo a la sensibilizacioacuten de los empleados respecto de la privacidad o de cuestiones eacuteticas y por otro otorgar un lugar importante a la proteccioacuten de datos dentro de la organizacioacuten El informe debe precisar de queacute manera la organizacioacuten humanitaria sensibiliza actualmente a los empleados sobre la proteccioacuten de datos y de queacute manera se puede mejorar esa sensibilizacioacuten

477 httpswwwisoorgstandard45123html


A la vez el informe debe indicar la manera en que la organizacioacuten humanitaria detecta investiga y reacciona ante incidentes relacionados con la proteccioacuten de datos (por ejemplo violaciones de la proteccioacuten de datos) y coacutemo la organizacioacuten humanitaria decidenotificaralaspartesafectadasyaprenderdelincidente

Asimismo esta seccioacuten debe describir la manera en que la organizacioacuten humanitaria responde a las solicitudes de acceso a la informacioacuten personal o de correccioacuten o rectificacioacutendelainformacioacutenrecogidaasiacutecomoprecisaraquieacutenessontransferidoslos datos y queacute garantiacuteas exigen antes de efectuar una transferencia de datos

Resultados de las consultas Elinformedebeespecificarlasmedidasadoptadasporlaorganizacioacutenhumanitariapara consultar a las partes interesadas para recabar sus opiniones e ideas sobre posibles consecuencias para la proteccioacuten de datos la manera en que podriacutean verse afectadas (para bien o para mal) por el tratamiento de datos y la manera en que las repercusiones negativas podriacutean atenuarse evitarse minimizarse eliminarse transferirse o aceptarse

El equipo encargado de la EIPD debe precisar cuaacuteles fueron las teacutecnicas de consulta utilizadas (por ejemplo encuestas entrevistas grupos de discusioacuten o talleres) cuaacutendo se realizaron las consultas cuaacuteles fueron los resultados de cada ejercicio de consulta y si se hallaron diferencias de opinioacuten cuando se utilizaron teacutecnicas diferentes

La EIPD debe precisar quieacutenes fueron consultados y queacute documentos de informacioacuten suministroacute la organizacioacuten humanitaria a las partes interesadas incluidas las familias de las personas desaparecidas

Asimismo la EIPD debe indicar si las consultas arrojaron nuevas conclusiones y cuaacuteles fueron los esfuerzos desplegados por la organizacioacuten humanitaria para tener en cuenta las opiniones y las ideas de las partes interesadas desde el comienzo de la actividad de tratamiento de datos

RecomendacionesEl equipo encargado de la EIPD debe formular recomendaciones para evitar minimizar transferir o intercambiar los riesgos en materia de proteccioacuten de datos A veces vale la pena correr algunos riesgos y de ser asiacute la EIPD debe explicar por queacute La EIPD debe precisar quieacuten asumiraacute el riesgo (es decir la organizacioacuten humanitaria las partes interesadas o alguien maacutes) Asimismo la EIPD debe indicar queacute otros trabajos son necesarios o aconsejables para implementar sus recomendaciones (por ejemplo la EIPD debe mencionar la necesidad de un seguimiento independiente de sus recomendaciones por parte de un tercero)


Asimismo la EIPD tambieacuten debe formular recomendaciones respecto de la posibilidad de hacer puacuteblico o no el informe de EIPD Puede haber circunstancias en las que no sea conveniente publicar el informe de EIPD o parte de eacutel (por ejemplo por motivos de confidencialidadodeseguridad)Enocasionesseeditanalgunaspartesdelinformepara luego publicarlas o bien las partes sensibles pueden agruparse en un anexo confidencialOtrasolucioacutenpodriacuteaserquelaorganizacioacutenhumanitariapresenteunresumen del informe de EIPD

ANEXO II

PARTICIPANTES DE LOS TALLERES


Todos los talleres son organizados por el Brussels Privacy Hub junto con el CICR Entre susparticipantesfiguranrepresentantesdelassiguientesorganizaciones

bull Agencia Espantildeola de Proteccioacuten de Datos

bull Alto Comisionado de las Naciones Unidas para los Refugiados

bull Aacuterea de conocimiento europeo sobre VANT y drones

bull Asociacioacuten Francoacutefona de Autoridades de Proteccioacuten de Datos Personales

bull Autoridad de la Proteccioacuten de Datos de Francia

bull Autoridad de la Proteccioacuten de Datos de Suiza

bull Autoridad de Vigilancia de la AELC

bull Barclays

bull Biometrics Institute

bull Brussels Privacy Hub

bull Cash Learning

bull Comisioacuten de proteccioacuten de la privacidad de Beacutelgica

bull Comisioacuten Europea DG ECHO

bull Comisioacuten Europea DG Justice

bull Comiteacute Internacional de la Cruz Roja

bull Consejo de Europa

bull Consejo de la Unioacuten Europea

bull Cruz Roja Canadiense

bull Cruz Roja Neerlandesa

bull Cruz Roja Noruega

bull Dalberg Data Insights

bull Engine Room

bull Facebook

bull Fairphone

bull Federacioacuten Internacional de Sociedades de la Cruz Roja y de la Media Luna Roja

bull Gobierno de Luxemburgo

bull GSMA

bull Harvard Humanitarian Initiative

bull Human Rights Watch

bull ID2020

bull Iniciativa Pulso Mundial de las Naciones Unidas

bull Instituto Federal Suizo de Tecnologiacutea de Lausanne

bull KU Leuven

bull MasterCard

bull Meacutedicos Sin Fronteras

bull Mercy Corps

bull Microsoft

bull MIT

bull OficinadeCoordinacioacutendeAsuntosHumanitariosdelasNacionesUnidas bull OficinadelRelatorEspecialdelasNacionesUnidassobreelderechoala

privacidad


bull Orange Business Services

bull Organizacioacuten Internacional para las Migraciones

bull Politecnico di Torino

bull Privacy International

bull Programa Mundial de Alimentos

bull Queen Mary University of London

bull Royal Military Academy Belgium

bull Ryerson University - Privacy by Design Centre of Excellence

bull Sensometrix

bull SES

bull Supervisor Europeo de Proteccioacuten de Datos

bull UIT

bull Universidad de Ginebra

bull Universidad de Oxford

bull Universidad de Yale

bull USAID

bull VIVES University College

bull Vrije Universiteit Brussel

bull World Vision International

4305

003

11

202

0 60

0

ElCICRayudaapersonasdetodoelmundoafectadasporconflictosarmadosyotrassituacionesde

violencia haciendo lo posible por proteger su dignidad y aliviar su sufrimiento a menudo junto a sus

asociados de la Cruz Roja y la Media Luna Roja Ademaacutes la Institucioacuten procura prevenir el sufrimiento

mediante la promocioacuten y el fortalecimiento del derecho y de los principios humanitarios universales

facebookcomicrcespanol

twittercomcicr_es

instagramcomcicr_americas

Comiteacute Internacional de la Cruz Roja19 avenue de la Paix1202 Ginebra SuizaT +41 22 734 60 01shopicrcorgcopy CICR noviembre de 2020

I SBN 978-2-940396-84-9

Manual sobre proteccioacuten de datos en la accioacuten humanitaria

Iacutendice

Agradecimientos

Proacutelogo

Glosrio de teacuterminos definidos y abreviados

Capiacutetulo 1 Introduccioacuten

11enspContexto

12enspObjectivo

13 Estructura y enfoque

14 Puacuteblico destinatario

Capiacutetulo 2 Principios baacutesicos relativos a la proteccioacuten de datos

21enspIntroduccioacuten

22enspConceptos baacutesicos de la proteccioacuten de datos

23enspConjunto de datos agregados seudonimizados y anonimizados

24 Derecho aplicable y organizaciones internacionales

25 Principios aplicables al tratamiento de datos

251 Principio de licitud y lealtad del tratamiento

252 Principio de limitacioacuten del propoacutesito

253 Principio de proporcionalidad

254 Principio de minimizacioacuten de los datos

255 Principio de calidad de los datos

26enspSituaciones particulares en materia de tratamiento de datos

261enspHealth purposes

262enspAdministrative activities

263enspFurther Processing

27enspConservacioacuten de datos

28 Seguridad de los datos y seguridad del tratamiento

281 Introduccioacuten

282 Seguridad fiacutesica

283 Seguridad informaacutetica

284 Obligacioacuten de mantener discrecioacuten y conducto del personal

285 Planificacioacuten de contingencias

286 Meacutetodos de destruccioacuten

287 Otras medidas

29 Principio de responsabilidad demostrada

210 Iinformacioacuten

2101 Datos obtenidos del titular de los datos

2102 Notas informativas

2103 Datos no obtenidos del titular de los datos

211 Derechos de los titulares de los datos


2112 Derecho de acceso

2113 Derecho de rectificacioacuten

2114 Derecho de eliminacioacuten

2115 Derecho de objecioacuten

212 Intercambio de datos e intercambio internacional de datos

Capiacutetulo 3 Bases legiacutetimas para el tratamiento de datos personales


32enspConsentimiento

321enspInequiacutevoco

322enspOportuno

323enspValidez

324enspVulnerabilidad

325enspNintildeos

326enspConsentimiento informado

327ensp Consentimiento documentado

328enspNegacioacuten o retiro del consentimiento

33enspIntereacutes vital

34enspFundamentos importantes del intereacutes puacuteblico

35enspIntereacutes legiacutetimo

36enspEjecucioacuten de un contrato

37enspCumplimiento de una obligacioacuten juriacutedica

Capiacutetulo 4 Intercambio internacional de datos


42enspNormas baacutesicas para el intercambio internacional de datos

43enspBase legiacutetima del intercambio internacional de datos


432enspBases legiacutetimas del intercambio internacional de datos

44enspAtenuacioacuten de los riesgos para el individuo

441enspGarantiacuteas correspondientesclaacuteusulas contractuales

442enspResponsabilidad

45enspRelacioacuten entre el controlador de datos y el encargado del tratamiento de datos

46 Divulgacioacuten de datos personales a las autoridades

Capiacutetulo 5 Evaluacioacuten de impacto relativa a la proteccioacuten de datos (EIPD)


52enspProcesos de EIPD

521enspiquestEs necesaria la EIPD

522enspEquipo encargado de la EIPD

523enspDescripcioacuten del tratamiento de datos personales

524enspConsulta a las partes interesadas

525 Identificacioacuten de los riesgos

526enspEvaluacioacuten de los riesgos

527enspIdentificacioacuten de las soluciones

528enspRecomendaciones

529enspAplicacioacuten de las recomendaciones acordadas

5210enspControl o auditoriacutea de la EIPD por un experto

5211enspActualizacioacuten del aEIPD en caso de modificaciones del proyecto

Capiacutetulo 6 Anaacutelisis de datos y macrodatos


62 Aplicacioacuten de los principios baacutesicos relativos a la proteccioacuten de datos

621 Limitacioacuten del propoacutesito y tratamiento ulterior

622 Bases legiacutetimas para el tratamiento de datos personales

623 Procesamiento leal y liacutecito

624 Minimizacioacuten de los datos

625 Seguridad de los datos


64 Intercambio de datos

65 Intercambio internacional de datos

66 Relacioacuten entre el controlador de datos y el encargado del tratamiento de datos

67 Evaluaciones de impacto relativas a la proteccioacuten de datos

Capiacutetulo 7 DronesVANT y teleobservacioacuten




722 TransparenciaInformacioacuten



725 Conservacioacuten de los datos







Capiacutetulo 8 Biometriacutea


82enspAplicacioacuten de los principios baacutesicos relativos a la proteccioacuten de datos

821enspBases legiacutetimas para el tratamiento de datos personales

822enspProcesamiento leal y liacutecito

823enspLimitacioacuten del propoacutesito y tratamiento ulterior

824enspMinimizacioacuten de los datos



83enspDerechos de los titulares de los datos


85enspIntercambio internacional de datos



Capiacutetulo 9 Programas de transferencia de efectivo



93 Principios baacutesicos relativos a la proteccioacuten de datos











Capiacutetulo 10 Servicios en la nube


102enspResponsibilidad y responsabilidad demostrada en la nube





1034enspTransparencia



1041 Proteccioacuten de los datos en traacutensito

1042 Proteccioacuten de activos

10421 Ubicacioacuten fiacutesica

10422 Seguridad de los centros de datos

10423 Seguridad de los datos en reposo

10424 Sanitizacioacuten de datos

10425 Eliminacioacuten de los equipos

10426 Disponibilidad

1043 Separacioacuten de los usuarios

1044 Gobernanza

1045 Seguridad operacional

1046 Personal

1047 Desarrollo

1048 Cadena de suministro

1049 Gestioacuten de usuarios

10410 Identidad y autenticacioacuten

10411 Interfaces externas

10412 Administracioacuten de los servicios

10413 Auditoriacuteas

10414 Utilizacioacuten de los servicios





109 Privilegios e inmunidades en la nube

1091 Medidas legiacutetimas

1092 Medidas organizativas

1093 Medidas teacutecnicas

Capiacutetulo 11 Aplicaciones de mensajeriacutea moacutevil


1111enspLas aplicaciones de mensajeriacutea moacutevil en la accioacuten humanitaria


1121 Procesamiento de datos personales a traveacutes de la aplicaciones de mansajeriacutea moacutevil

11211 Amenazas potenciales

1122 Tipos de datos que recogen y conservan las aplicaciones de mensajeriacutea

1123 Maneras en que otras partes pueden acceder a los datos que se intercambian en las aplicaciones de mensajeriacutea

1124 Funcionalidades de las aplicaciones de mensajeriacutea relacionadas con la privacidad y la seguridad

11241 Anonimato permitido o ausencia del requisitode verificacioacuten de la identidad

11242 No conservacioacuten del contenido de los mensajes

11243 Cifrado de extremo a extremo

11244 Propiedad de los datos

11245 No conservacioacuten o conservacioacuten miacutenima de metadatos

11246 Coacutedigo abierto de la aplicacioacuten de mensajeriacutea

11247 Examen minucioso por parte de la empresa de las solicitudesde divulgacioacuten que realizan las fuerzas del orden

11248 Intercambio limitado de datos personales con terceros

11249 Restriccioacuten de acceso a traveacutes del sistema operativodel software o de parches de seguridad del dispositivo

1125 Procesamiento de datos personales recogidos a traveacutes de las aplicaciones de mensajeriacutea moacutevil



115 Derechos de rectificacioacuten y de eliminacioacuten del titular de los datos



118 Gestioacuten anaacutelisis y verificacioacuten de los datos

119 Proteccioacuten de datos desde el disentildeo


Capiacutetulo 12 Identidad digital


1211 Autenticacioacuten identificacioacuten y verificacioacuten iquestQuieacuten es usted y coacutemo puede demostrarlo

1212 Identidad digital

1213 Disentildeo y gestioacuten del sistema

1214 Identidad digital en el sector humanitario casos posibles

1215 Identidad digital como identidad fundacional

122enspEvaluaciones de impacto relativas a la proteccioacuten de datos

123 Proteccioacuten de datos desde el disentildeo y por defecto




1252 Derechos de rectificacioacuten y eliminacioacuten




1263 Proporcionalidad




127 Iintercambio internacional de datos

Capiacutetulo 13 Redes sociales


1311enspRedes sociales en el sector humanitario

1312enspRedes sociales y datos

13121 iquestQueacute datos se generan en las redes sociales y coacutemo

13122enspiquestQueacute datos se pueden compartir con terceros

13123 iquestQueacute datos pueden obtener las autoridades gubernamentalesy las autoridades encargadas de hacer cumplir la ley


133enspCuestiones eacuteticas y otras dificultades


135 Principios baacutesicos de la proteccioacuten de datos


1352 Informacioacuten




Capiacutetulo 14 Cadena de bloques


1411enspiquestQueacute es una cadena de bloques (blockchain)

1412 Clases de cadenas de bloques

1413enspLas cadenas de bloques en la praacutectica

1414enspcasos de uso humanitario












1463 Derecho a la eliminacioacuten

1464 Limitacioacuten de los derechos de los titulares de los datos


Anexo Marco para la toma de decisiones respecto del uso de cadenas de bloques en la accioacuten humanitaria

Capiacutetulo 15 Conectividad como asistencia


1511enspDescripcioacuten de intervenciones de conectividad como asistencia

1512enspContexto operacional

1513enspMuacuteltiples alianzas y partes interesadas









Capiacutetulo 16 La inteligencia artificial y el aprendizaje automaacutetico


1611enspiquestQueacute son la inteligencia artificial y el aprendizaje automaacutetico

1612enspiquestCoacutemo funcionan la inteligencia artificial y el aprendizaje automaacutetico

1613enspLa inteligencia artificial en el sector humanitario

1614enspDificultades y riesgos del empleo de la inteligencia artificial





16321 Licitud

16322 Lealtad v sesgo

16323 Transparencia





1641 Derecho a ser informado


1643 Derechos referidos a la toma de decisiones automatizadas


1651 Responsabilidad demostrada

1652 Responsabilidad



168 Problemas y dificultades de naturaleza eacutetica

Anexo I Plantilla de informe de EIPD

Anexo II Participantes de los talleres



IacuteNDICE

AGRADECIMIENTOS 12

PROacuteLOGO 13




11 Contexto 22

12 Objetivo 23











































322 Oportuno 68

323 Validez 68


325 Nintildeos 69






















DE DATOS (EIPD) 89














del proyecto 95















































































1044 Gobernanza 184


1046 Personal 185

1047 Desarrollo 185































































































16321 Licitud 302






























































































IDENTIDAD DIGITAL


BIOMETRIacuteA



REDES SOCIALES

DRONES


APROBAR

INSUMOS DEL CICR

DISPONIBLES

FOUND HIM




IDENTIDAD DIGITAL


BIOMETRIacuteA



REDES SOCIALES

DRONES


CAPIacuteTULO 1

INTRODUCCIOacuteN






K A

shaw

iREU

TERS
























































CAPIacuteTULO 2








J S

chne

ider

CIC

R














personales




















































































































J Z

oche

rman

CIC

R














































































































































datos personales
























O S

altb

ones

CIC

R























CAPIacuteTULO 3










































325 NINtildeOS











P M

oore

CIC

R































T G

lass

CIC

R






























CAPIacuteTULO 4







U B

ekta

sRE

UTER

S










bull museos











































































CAPIacuteTULO 5















Sche

rmbr

ucke

rUN

ICEF







































USO POSIBLE

DIFICULTADES


RUTAS SEGURAS



DECISIONES INJUSTAS




BASE LEGIacuteTIMA


CAPIacuteTULO 6









bull rutas seguras













Fund

acioacute

n Fl

owm

inde

r w

ww

flow

min

dero

rg
































































































































del tratamiento





















































DRONES









DIFICULTADES

USO POSIBLE

CAPIacuteTULO 7


DRONES









DIFICULTADES

USO POSIBLE
















humanitaria

















































Cor

tesiacute

a de

ww

wO

nyxS

tarn

et











































































EJEMPLOS







BIOMETRIacuteA









IRREVERSIBLE

USO POSIBLE

DIFICULTADES

CAPIacuteTULO 8

BIOMETRIacuteA






































































Alto

Com

isio

nado

de

las

Nac

ione

s Un

idas

par

a lo

s Re

fugi

ados

(ACN

UR)



































































USO POSIBLE

DIFICULTADES




CAPIacuteTULO 9












































AliceBob Encomienda


El cartero







de un obsequio






relacioacuten







































T J

ump

IRC









































































USO POSIBLE

DIFICULTAD











CAPIacuteTULO 10


























































S H

oiba

kAC

NUR

















































































































USO POSIBLE

DIFICULTADES








CAPIacuteTULO 11








A W

iegm

ann

REUT

ERS























































mismo nombre
















































































































EJEMPLO


























IDENTIDAD DIGITAL



USO POSIBLE


BASE LEGIacuteTIMA



CAPIacuteTULO 12














Ejemplos

Identidad funcional


















































































bull precisioacuten


















































REDES SOCIALES

USO POSIBLE

DIFICULTADES


PREPARACIOacuteN







DATOS CENTRALIZADOS




UBICACIOacuteN

CAMINO CERRADO

ABIERTA

iexclGRACIAS


SEGURIDAD

AYUDA

CAPIacuteTULO 13






























































































































APROBAR

CADENAS DE BLOQUES



USO POSIBLE







DIFICULTADES




APROBAR

APROBAR

APROBAR


DATOS

TEXTO TEXTO

TEXTO

CAPIacuteTULO 14

CADENAS DE BLOQUES

317
































Cadenas de bloques

















Ventajas










Dificultades
















































bull precisioacuten



































































































































USO POSIBLE

DIFICULTADES


RUTAS SEGURAS

ENCONTRAR REFUGIO




VIGILANCIA


CAPIacuteTULO 15


365


























































































PROBLEMAS




DETECTAR SESGOS





USO POSIBLE

DIFICULTADES

CAPIacuteTULO 16


398




















REGLAS



Datos

Reglas

Datos

Respuestas

RESPUESTAS










































































































































bull precisioacuten
























menos riesgosas






ANEXO I






bull Fecha










de seguridad























ANEXO II











bull Barclays



bull Cash Learning











bull Engine Room

bull Facebook

bull Fairphone



bull GSMA



bull ID2020



bull KU Leuven

bull MasterCard


bull Mercy Corps

bull Microsoft

bull MIT


privacidad










bull Sensometrix

bull SES


bull UIT




bull USAID




4305

003

11

202

0 60

0






twittercomcicr_es



I SBN 978-2-940396-84-9


Iacutendice

Agradecimientos

Proacutelogo



11enspContexto

12enspObjectivo


























287 Otras medidas

















322enspOportuno

323enspValidez


325enspNintildeos












































































































1044 Gobernanza


1046 Personal

1047 Desarrollo




























































































































16321 Licitud


16323 Transparencia
















4305 003 Manual sobre protección de datos en la acción ...

Documents

Transcript of 4305 003 Manual sobre protección de datos en la acción ...