La ilusión de borrar un dato: ¿es realmente posible eliminar un dato personal?
La ilusión de borrar un dato: ¿ es realmente posible eliminar un dato personal? ESPECIAL Protección de Datos Personales La ilusión de borrar un dato: ¿ es realmente posible eliminar un dato personal? La entrada en vigencia de la Ley de Protección de Datos Personales en Chile insta la un desafío técnico y regulatorio de alta complejidad: hacer efectivo el derecho de eliminación de datos en entornos digitales donde la información no desaparece fácilmente. Esta columna analiza las brechas entre el marco legal y su aplicación práctica, revisando experiencias internacionales y abordando los desafíos operativos, tecnológicos y de gobernanza que enfrentan las organizaciones.
Con Con la entrada en vigencia de la Ley 21.719 sobre Protección Protección de Datos Personales (LPDP), Chile enfrenta un desafío que hasta ahora era ajeno a su práctica regulatona: regulatona: dar cumplimiento efectivo al derecho de eliminación eliminación de datos personales. personales.
La pregunta que surge es: cuando un titular pide que borren sus datos, ¿desaparecen realmente? ¿ Qué ocurre con las copias de respaldo, y los logs de auditoría, o incluso modelos de Inteligencia Inteligencia Artificial (JA) que absorbieron esa información? La LPDP reconoce el derecho, pero no indica cómo debe realizarse técnicamente. Si bien pareciera ser un elemento nuevo en el ecosistema, la verdad es que Europa lleva ya casi una década lidiando con esta problemática.
Así, el Reglamento General de Protección de Datos (RGPD) consagra en su artículo artículo 17 el “derecho de supresión”(l), también conocido como “el derecho al olvido” con una formulación aparentemente aparentemente categórica: el interesado puede obtener “sin dilación indebida” la eliminación de sus datos. Una redacción redacción muy similar sigue el Art. 7 de la LPDP en Chile.
Sin embargo, el mismo artículo establece excepciones en su inciso final, por lo que es evidente que el propio legislador (tanto en Europa ¡ fr t_. a; René Martínez, Director de Cyber en Delnitte. como en Chile) asumió que la supresión no es un concepto absoluto.
El estándar europeo Al estudiar la realidad del Viejo Continente, Continente, si bien ninguna autoridad de datos personales ha exigido un borrado instantáneo y absoluto de backups, todas coinciden en que lo imprescindible imprescindible es que el responsable (la empresa u organización que trata los datos) sea plenamente transparente con el titular. En otras palabras, este último debe estar plenamente informado de qué pasará efectivamente con sus datos personales.
Por ejemplo: La autoridad británica Information Comissioners Office (ICO) ha desarrollado desarrollado un estándar más pragmático, acuñando el concepto de “beyond use” (fuera de uso)(2), aceptando que los datos permanezcan en backups, siempre que el responsable no los utilice para decisiones decisiones sobre el titular, no los comparta con terceros, y se protejan con medidas de seguridad adecuadas, comprometiéndose comprometiéndose a eliminarlo eliminarlo permanente “cuando sea técnicamente posible”. Por su parte, la Commission Commission Nationale de lInformatique et des Libertés Libertés (CNIL) de Francia, ha sido más explícita, indicando indicando que las organizaciones “no están siempre obligadas a eliminar backups para cumplir una solicitud de supresión”, pero sí deben informar al titular que sus datos permanecerán en copias de respaldo durante un plazo definido, si es el caso(3). En España(4), la normativa de datos datos personales establece que cuando proceda la supresión, el responsable debe primero bloquear los datos (con el objeto de impedir su tratamiento y visualización), excepto para ponerlos a disposición de jueces, tribunales o autoridades autoridades de protección de datos. Una vez transcurrido el plazo de prescripción, prescripción, se debe proceder a la destrucción física.
En otras palabras, cuando existe una obligación legal de conservación, la información no se borra sino que transita a un estatus controlado con acceso restringido(5). Hasta aquí entonces, un concepto Díiver Ortiz, Seninr Manager en Deinitie Legal.. La ilusión de borrar un dato: ¿ es realmente posible eliminar un dato personal? queda claro: el dato no muere. Pero puede y debe ser gobernado con la seriedad con que protegemos cualquier otro derecho fundamental.
La “operacionalización” de la privacidad Dado lo anterior, resultará fundamental fundamental revisar la “operacionalización” de la privacidad para todos los derechos ARSO+P, entendiendo que técnica y operativamente se deben generar diversos diversos cambios en donde, en relación con la eliminación de datos personales (o supresión) debemos tener las siguientes siguientes consideraciones: a) Identificar todos los datos, estructurados estructurados y no estructurados, es decir los que están en sistemas y aquellos que están distribuidos en archivos de diferentes diferentes formatos que tienen relación con el titular del derecho que se quiere ejecutar. b) Se deben determinar aquellos datos personales que no se pueden eliminar dado que existen normativas o regulación regulación vigente que lo impide y por lo mismo las organizaciones cuentan con el consentimiento implícito para determinadas actividades de tratamiento. tratamiento. c) Para aquellos datos personales que pueden ser eliminados, se debe gestionar gestionar su eliminación ya sea manual, semi o automáticamente en los sistemas y repositorios en donde aplique.
La experiencia práctica indica que esta eliminación no es escalable manualmente manualmente por lo que se requiere de procesos procesos automatizados que se encarguen de esto. d) Se debe asegurar generar y almacenar almacenar la evidencia necesaria para cumplimiento normativo y eventuales auditorías de la Agencia de protección de datos personales (Agencia). e) Se debe medir y gestionar internamente el SLA de cumplimiento normativo normativo de cada solicitud de eliminación de datos personales, para efectos de evitar multas por no cumplimiento de los plazos establecidos. f) Se debe entregar al solicitante una confirmación de lo realizado. Pero hasta este punto hemos eliminado solamente los datos que están actualmente actualmente en productivo.
Las preguntas que quedan por responder son: ¿ Qué ocurre con los datos personales que existen en los backups o respaldos? ¿ Qué ocurre con las solicitudes de eliminación ejecutadas luego de la ejecución de un DRP por interrupciones de operación que requieren la recuperación recuperación desde backups? Para ambas situaciones se debe contar con un mecanismo que identifique proactivamente aquella información que haya sido restaurada en productivo por cualquiera de las situaciones anteriores anteriores u otras propias del negocio.
De esta forma es posible volver a eliminar la información personal restaurada, reaplicando las solicitudes de supresión supresión (ARSO+P) que sean identificadas, lo que se puede efectuar con una solución solución de privacidad que resuelva la problemática o bien con herramientas internas y/o procedimientos manuales. Como podemos apreciar, el desafío de la privacidad y protección de datos datos personales no es sólo normativo, sino que modifica muchos procesos operativos y tecnológicos de las organizaciones. organizaciones. Quedará en la Agencia el realizar las recomendaciones de criterios criterios y parámetros técnicos que permita a las organizaciones tener certeza de estar en cumplimiento de la LPDP. G (1) Unión Europea, Reglamento general de protección de datos Contenido, articulo 17, abril 5,2016, Articulo 17 UE Reglamento general de protección de datos.
Privacy/Privazy according to plan. / (2) lnfnrmaóon Commissinners Office (lCD), “Right to erasure”, tu-erasure/ / (3)Commission Nationale de lInformalique et des Libertós (CNIL), junio 11,2020, “Sheet n13: Prepare for the exercise of peoples rights”, https:I/www.cnil.fr/enlsheetndegl3-prepare-exercise-peuples-rights) https:I/www.cnil.fr/enlsheetndegl3-prepare-exercise-peuples-rights) / (4) Ley Orgánica N3/2018, DE-A-201 8-1 6673, Boletin Oficial del Estado (España), articulo 32, diciembre 6,2018, https://. boe. es/buscar/ actphp?id=BOE-A-2018-16673) / (5) Agencia Espafola de Protección de Datos (AEPO), Informe Juridico 00148/2019, https://www.aepd.es/documentn/2019-0148.pdf). t). r Un concepto queda claro: el dato no muere. Pero puede y debe ser gobernado con la seriedad con que protegemos cualquier otro derecho fundamental..