Modelo standard de protección de datos (traducción y adaptación del texto de Martin Rost que dió origen al Standard Datenschutz Modell recientemente adoptado por las Autoridades de Protección de Datos alemanas)

En este documento se presenta un modelo standard de protección de datos, fundamentado en seis objetivos básicos de protección, tres componentes procesuales y tres niveles de protección. Partiendo de estos componentes es posible elaborar un catálogo, que contiene 54 medidas genéricas de referencia que permiten controlar cualquier proceso que implique datos personales de forma completa y sistemática.

1. Introducción

La tarea fundamental de cualquier DPO (podría incluso decirse que de cualquier especialista en protección de datos) consiste en controlar procesos, ya sea a nivel de proyecto o en pleno funcionamiento, que implican el tratamiento de datos personales. En un control de procesos de este tipo es necesario valorar criterios basados en exigencias normativas y contractuales, declaraciones de consentimiento, normas internas de la organización controlada y diferentes niveles del sistema informático de esa organización. Un control del nivel de cumplimiento a nivel jurídico, de procesos organizacionales y a nivel técnico, supone una tarea exigente. Todavía más exigente es la tarea cuando debe asimilar los riesgos que se plantean cuando no se respetan los límites de competencias. Este problema se plantea en ocasiones sin que se hayan valorado los posibles problemas, y se toman decisiones de forma arbitraria y no fundamentada, muchas veces haciendo referencia a una presunta mejora de la eficiencia o a la competencia de quien toma las decisiones. El mero hecho de registrar la existencia del mencionado riesgo debería llevar a la organización de un trabajo interdisciplinario correctamente organizado, sin embargo no es así y suele encargarse a alguno de los expertos de forma en cierto modo arbitraria.

Un ejemplo práctico debería bastar para mostrar de forma clara el anteriormente mencionado riesgo. La norma es que la división de poderes constitucionalmente establecida, también podríamos hablar de la división de poderes informacionales, debería reflejarse también en el centro de computación de una administración pública en lo que afecta a la utilización conjunta de sistemas informáticos. La escala para el cumplimiento de la exigencia normativa “separación de procesos” puede ser una separación física de los datos (así como de sistemas informáticos y procesos de tratamiento, administración y seguridad) en edificios separados o en diferentes centros de computación en diferentes regiones o autonomías, o incluso la separación a través de sistemas virtuales con un hardware común o una separación de clientes por medio de diferentes derechos de acceso en una aplicación común. En la práctica también nos encontramos con que los administradores informáticos o los administrativos pura y simplemente aseguran que no entrarán en el sistema ni accederán a los datos, aunque en realidad podrían hacerlo. Debería ser posible aplicar los conocimientos disponible, tanto jurídicos, organizativos como técnicos, para solucionar un problema como el que plantea el encontrar un punto de trabajo adecuado para alcanzar la separación fijada normativamente de forma que todos los especialistas implicados pudieran tomar una decisión común en lo referente a la conformidad en materia de protección de datos del proceso o tratamiento en cuestión.

La única posibilidad para alcanzar la anteriormente mencionada decisión de forma que sea jurídica y técnicamente correcta, es que ninguno de los especialistas implicados se sitúe por encima de los demás, o, expuesto de otra forma, que no se conceda más importancia a una de las especialidades frente a las otras. Aunque el principio expresado es de una lógica aplastante, hay que reconocer que las dos especialidades dominantes en este campo de la protección de datos, el Derecho y la Técnica, desde su propio punto de vista se consideran como la especialidad dominante. El Derecho considera que que la Técnica debe seguirlo debido a que es una manifestación de la voluntad colectiva. La Técnica, por su parte, considera que el Derecho no debería fijar normas que, por establecerse sin valorar las cuestiones prácticas, pueden resultar anticuadas o disfuncionales. La ajenidad a la práctica socava la legitimación. La existencia de este desquilibrio no puede ser solucionada en una sociedad moderna de forma adecuada tomando partido por una de las posiciones. Ambos puntos de vista deben ser capaces de trabajar de forma conjunta en un control de protección de datos, de forma que en puntos concretos de un proceso que implique datos personales sean capaces de demostrar de forma transparente como se debe valorar una característica de ese proceso y de explicar como se debe suprimir un defecto de ese mismo proceso. El conseguir alcanzar esa situación es una de las funciones esenciales del modelo que presentamos en este documento.

Además de lo ya comentado, el modelo que presentamos mejora la integridad de los controles en materia de protección de datos, ya que los hace más fácilmente valorables tanto para las personas afectadas como para autoridades de protección de datos, sin olvidar a los tribunales o al legislador, lo cual permite que sean sometidos a los controles previstos por el Estado de Derecho. En lo sucesivo, un control de protección de datos o un Privacy Impact Assessment que sea efectuado sin seguir los principios aquí presentados, precisaría de un esfuerzo especial para justificar su ejecución.

2. Componentes del modelo standard de protección de datos

Las actividades en materia de seguridad de los datos y de protección de datos generan confianza en las actividades y comunicaciones entre organizaciones y personas. Ambas actividades, y sus respectivos puntos de vista, empujan a las organizaciones a ser capaces de demostrar que controlan sus procesos en materia de tratamiento de datos personales y que los llevan a cabo de forma justa1. Pero hay que recordar que la protección de datos y la seguridad de los datos, actúan desde perspectivas diferentes: para las seguridad de los datos el objetivo es garantizar la seguridad de la organización y su funcionamiento frente a posibles atacantes como antiguos trabajadores que la quieran perjudicar, personajes turbios, clientes faudulentos o hackers. Por su parte, la protección de datos actúa en la dirección contraria, considerando a las organizaciones como posibles atacantes contra la integridad de las personas. Las organizaciones suponen una amenaza latentes contra la promesa de soberanía efectuada por el estado de derecho,a los ciudadanos, clientes, mandantes, personas, sujetos e individuos en general. La protección de datos centra su tarea en conseguir que las organizaciones actúen de manera digna de confianza respecto a las personas afectadas. Para conseguir esa meta, las organizaciones deben ser capaces de demostrar de forma transparente que controlan todos sus procesos de tratamiento de datos personales y que estos cumplen la normativa vigente. Los receptores de esa demostración son las mismas organizaciones, las personas afectadas y las autoridades de protección de datos, que representan los intereses de la sociedad en su conjunto2.

La diferencia existente entre los enfoques y funciones de la seguridad de los datos y de la protección de datos, que hemos presentado de forma breve, se manifiesta en que los tres objetivos de protección típicos de la seguridad (disponibilidad, integridad y confidencialidad) deben ser tenidos en cuenta junto con los objetivos típicos de la protección de datos, la transparencia, la intervenabilidad y la no encadenabilidad de las actividades de la organización. Las organizaciones deben ser capaces de demostrar la seguridad de estos seis objetivos de protección mediante las medidas de seguridad adecuadas. Pese a estos intereses en ocasiones contrarios en lo que afecta a los intereses de la seguridad y protección de datos, se pueden utilizar mecanismos y métodos como los del BSI-Grundschutz3 para controles de protección de datos estandarizados4.

Los seis objetivos básicos de protección constituyen un catálogo de criterios, en el que se incluyen tanto las consideraciones jurídicas sobre un tratamiento de datos personales como la elección de las medidas técnicas y de organización a tomar para conseguir la protección adecuada. La estructura de los objetivos de protección facilita la relación entre técnica y derecho a los efectos de controlar un proceso o método. Un proceso está formado por tres componentes, datos, un sistema para el tratamiento de datos, que hoy en día está basado en un sistema informático, y procesos que suponen diferentes tratamientos. Cada uno de estos tres componentes pueden ordenarse en base a tres niveles de protección, normal, alto y muy alto.

Partiendo de los seis objetivos de protección, los tres componentes del método/proceso y los tres niveles de protección se puede elaborar un catálogo de 54 medidas tipo que suponen los deberes genéricos a cumplir por la organización, y que permiten una comparación con la situación real del modelo/proceso a controlar y las medidas de protección de datos adoptadas.

2.1 Schutzziele

El concepto de los objetivos de protección asegura que contiene la exigencias jurídicas ( mantenimiento del principio de calidad, del de necesidad, así como del respeto a los derechos de las personas afectadas y la posibilidad de control por medio de la transparencia) que un metodo o proceso que cumple la normativa de protección de datos debe respetar5. Los objetivos mencionados son al mismo tiempo parte de la exigencia normativa y un aspecto de toda regulación de procesos, así como una finalidad del sistema técnico. Por eso es posible, en base a objetivos comunes, que diferentes especialidades lleven a cabo un control con objetivos comunes, siempre que los implicados los asuman como comunes y no surja ningún conflicto6.

Los seis objetivos de protección aquí mencionados pueden encontrarse en los apartados dedicados las medidas técnico organizativas de seguridad de las leyes de los Länder (los seis “objetivos elementales” en la Ley de Protección de datos de Schleswig-Holstein-LDSG-SH- o al menos en parte en las leyes de Protección de Datos de los nuevos Länder, así como Berlin, Hamburgo y Renania del Norte/Westfalia) o pueden extraerse de la Ley Federal de Protección de Datos (BDSG), especialmente en el anexo al §9, o en el nuevo proyecto de Reglamento Europeo de Protección de Datos. Los objetivos de protección encajan en el concepto estratégico de “Privacy by Design”7. También permiten concretar y sistematizar los “Privacy-Principles” del Privacy Framework de ISO29100/ ISO29101, y en su formulación como objetivos de protección son útiles para un Privacy Impact Assessment8. Aparte de su inclusión en la normativa de protección de datos, los objetivos de protección dirigen las medidas técnico-organizativas de protección de esa normativa, entre las que cabe resaltar las Privacy-Enhancing-Technologies (PET).

Para cada objetivo de protección hay un catálogo de medidas de protección paradigmáticas, que aquí nos limitaremos a mencionar de forma breve: la disponibilidad de procesos se asegura mediante la redundancia de los mismos, la integridad mediante el control y la regulación de procesos así como mediante la comparación de Fingerprint de datos, la confidencialidad mediante conceptos de derechos de acceso y mediante encriptación. La protección de la transparencia de un proceso o método tiene como objetivo la controlabilidad, y se garantiza sobre todo mediante la documentación y el seguimiento de protocolos de los procesos de tratamiento en el sistema informático. La protección de la intervenabilidad de un proceso/método supone que la organización pueda demostrar que dispone de un procedimiento controlado y regulado de Changemanagement, de forma que su estructura sea conforme con la normativa vigente y permita en cualquier momento el completo cumplimiento de los derechos de las personas afectadas (acceso, rectificación y cancelación). Para el control de la no encadenabilidad la organización debe actuar por medio de separación de tratamientos de datos, establecimiento de límites dentro del sistema, así como en relación con los datos personales mediante el uso de pseudonimización y anonimización, o mediante el uso de las especialmente eficaces credenciales anónimas. Estas medidas pueden aplicarse de forma escalada, en función del nivel de protección necesario.

Desde el punto de vista metodológico es importante recordar que el sistema de los seis objetivos de protección básicos permite llevar a cabo el típico proceso de sopesar los pros y contras planteados por la normativa de protección de datos, debido a que los objetivos de protección fueron desarrollados en base a tres ejes dobles: disponibilidad-confidencialidad, integridad-intervenabilidad, transparencia-no encadenabilidad. En estos tres ejes no se puede intentar maximizar los objetivos de protección en los dos polos del eje sin caer en una contradicción. Pretender alcanzar una disponibilidad controlada y una no disponibilidad controlada al mismo tiempo plantea un conflicto, que al mismo tiempo permite ponderar sus efectos. Un dual califica a una relación que es al mismo tiempo complementaria de forma inevitable y contradictoria. Esta dualidad, especialmente aplicada a tres ejes, es una característica problemática, cuando se intenta tratar la protección de datos con el mismo nivel de formalidad con que se trata la seguridad de los datos. Pero al mismo tiempo se trata de una característica esencial para poder llevar a cabo una ponderación jurídica entre las diferentes exigencias justificadas que debe cumplir un sistema informático.

Los objetivos de protección constituyen no sólo el medio o canon para establecer las bases para la realización de la ponderación jurídica, así como para fijar la intensidad de las medidas técnicas de seguridad, sino que también permiten dirigir el sistema de gestión de datos de una organización y hacen que sea controlable. Este último aspecto permitiría, por ejemplo,controlar si una organización ha establecido procesos que permiten un Controlling adecuado y, en relación con el mismo, una dirección de tratamientos de datos que permiten alcanzar un grado de transparencia que garantiza la separación de grupos de datos, sistemas informáticos y procesos, así como un implementación controlable de los derechos de las personas afectadas. Por ejemplo, un sistema de gestión de protección de datos que requiera un nivel de protección muy alto debe implementar una interfaz de gestión de identidades para los afectados, así como una estructura de control standarizada para posibles auditorías y para posibles controles externos.

De los seis objetivos elementales de protección se pueden extraer objetivos adicionales, de forma que en base al modelo aquí presentado se pueden buscar objetivos específicos para procesos especiales o para partes de esos procesos que puedan requerir objetivos diseñados específicamente para ellos9.

2.2 Componentes del tratamiento: datos, sistemas, procesos

Para conseguir una organización adecuada de los procesos de tratamiento de datos personales que se ajuste a la normativa vigente en la materia es preciso que cada uno de los componentes expuestos a continuación sean observados de forma específica y que se establezcan las medidas de protección adecuadas para cada uno de ellos:

  • Datos, en sus diferentes formatos

  • Sistema informático y sus diferentes interfaces

  • Procesos y diferentes roles/direcciones

Los datos suponen la entrada de hechos reales en el modelo. Por medio de los roles, que son exigidos por los procesos organizativos, se incluye la responsabilidad jurídica en el modelo. El sistema informático ofrece el medio de proyección universal y de automatización específica.

Una vez establecido lo anterior podríamos exponer, por ejemplo, como podríamos alcanzar en una organización escogida como modelo de referencia el objetivo de protección de la transparencia. En relación con los datos,asegurar la transparencia puede suponer que los campos de un banco de datos sean elaborados de forma correcta (de acuerdo con la funcionalidad prevista y con la exigencias semánticas) y que eso se pueda demostrar desde el punto de vista técnico y jurídico, siendo posible documentar la estructura semántica de los datos10. Los sistemas informáticos son los componentes que deben ser sometidos a inventario y las interfaces incluidas en los mismos deben ser documentadas de forma correcta. En lo referente a los procesos, se deben tener en cuenta su inicio y final, así como los límites existentes entre ellos y el Changemanagement y la documentación referente a los diferentes roles con sus correspondientes derechos de acceso e interfaces organizativas. Para los procesos es especialmente importante el fijar de forma previa los valores exigibles, que tengan un fundamento legal, una configuración técnica clara y estén regulados a nivel organizativo. La situación del sistema debe estar protocolizada, de forma que la “foto” de la situación constituya la base para la controlabilidad y la intervenabilidad de los posibles vaivenes de los procesos en él incluidos. Sobre los tres componentes es posible protocolizar los flujos de datos en base a las actividades del sistema informático y a los roles establecidos. El fin perseguido con todos los protocolos y documentos mencionados es poder presentar los valores exigibles y los reales, de forma que se pueda llevar a cabo el proceso de control a implementar en el marco del modelo de gestión de protección de datos aquí planteado.

2.3 Necesidades de protección: normal, alto , muy alto.

La necesidad de protección de un tratamiento de datos personales y sus componentes puede fijarse en base a una escala de tres niveles, normal, alto y muy alto. El origen de esta escala está en el método de seguridad de los datos según el BSI-Grundschutz11. La definición de cada uno de los niveles no puede ser equivalente al del BSI-Grundschutz, debido a los diferentes modelos de posibles atacantes que tienen la seguridad de los datos y la protección de datos. Por eso es necesario definir la escala de niveles de protección de datos desde el punto de vista de la persona afectada:

  • El nivel de protección normal supone que los posibles daños son limitados y calculables y sus posibles efectos sobre la persona afectada serían fáciles de solucionar.

  • El nivel de protección alto cuando los posibles daños pueden ser significativos, por ejemplo cuando pueden suponer la interrupcioón de una servicio garantizado por una organización, como la corriente eléctrica o los servicios telefónicos, que suponen un condición material necesaria para el ejercicio de la autodeterminación informativa en una sociedad moderna, y cuya ausencia supondría una alteración significativa de la vida normal de la persona afectada y la haría depender de ayuda adicional.

Los efectos sobre una persona o una comunidad pueden valorarse en función de escenarios típicos, algunos ejemplos: infracciones de normas (leyes/contratos), perjuicios en lo referente al desarrollo de una vida normal, perjucios sobre la relación de confianza con una organización, problemas financieros u otro tipo de problemas que pueden afectar a la persona en su condición de ciudadano o de cliente, o incluso problemas que puedan afectar a la salud de esa persona.

En lo que afecta a los objetivos de protección de integridad y transparencia, el establecimiento de un nivel de protección normal supondría por ejemplo que los protocolos referentes a los datos utilizados en las aplicaciones y en el sistema operativo fueran controlados regularmente por medio de un procedimiento automatizado. Si por el contrario se estableciera un nivel de protección muy alto para esos dos objetivos, eso supondría que también deberían existir protocolos sobre las actividades de lectura de los empleados de una organización en un servidor específico , que no estaría incluido en los derechos de acceso del administrador del sistema informático de producción de un tratamiento específico. Esta sería una medida de referencia demostrable. Si, una vez establecido el nivel de protección como muy alto, se utilizara una medida diferente, especialmente para la transparencia, la instancia responsable debería demostrar que esa medida es equivalente en su funcionalidad.

El nivel de protección se fija en base a un análisis de riesgos, que debería basarse en los objetivos de protección típicos de la protección de datos. Una pregunta clave sería, por ejemplo, qué tipo de riesgo supone para la persona afectada un tratamiento sin transparencia y no controlable. El tratamiento en cuestión debe organizarse de acuerdo con el nivel de protección establecido y aplicándole las medidas de protección y los controles adecuados, y valorando un tratamiento adecuado para un posible riesgo residual.

De la normativa vigente en materia de protección de datos puede deducirse fácilmente que los datos referentes a las creencias religiosas o los datos de salud deben recibir como mínimo un nivel de protección alto, lo cual hace innecesaria cualquier discusión sobre las medidas de protección aplicables al sistema informático de una clínica. Sería deseable que en el futuro la normativa fijara los niveles de protección adecuados para cada tipo de tratamiento de datos.

3. Trabajar con el modelo

Qué utilidad tiene el SDM en el trabajo diario de un especialista en protección de datos?

Los objetivos de protección sirven para la conciliación entre normas jurídicas para tratamientos de datos personales por una parte y las medidas técnicas, organizativas y de protección por la otra. El modelo standard de protección de datos permite unir estas dos partes en un único modelo sin que una de las dos perspectivas se imponga sobre la otra. Ambas partes son relacionadas de forma controlable en este modelo y toman decisiones sobre posibles medidas y sus consecuencias de forma conjunta.

Los dictámenes o informes en materia jurídica se ocupan de las características en esa materia que pueden afectar a un tratamiento y a todos los implicados en él. Se deben fijar las regulaciones aplicables, tanto en materia legal como contractual, los posibles códigos de conducta acuerdos internos de las organizaciones implicadas o los contratos de encargo de tratamiento. También se deben registrar la estructura de la organización con los roles fijados y las responsabilidades que implican, así como los aspectos esenciales del tratamiento, especificando los datos o campos de datos que deben recogerse para el funcionamiento de las aplicaciones utilizadas. También debe tenerse en cuenta la valoración de la finalidad del tratamiento y de la necesidad de su utilización, así como consideraciones sobre las posibilidades de aplicar una minimización de los datos utilizados y la posibilidad de llevar a cabo un borrado de los mismos lo antes posible, sin olvidar controlar si es imprescindible que la persona afectada se identifique plenamente. Todas esas consideraciones deben ser valoradas profesionalmente, sin que sea imperativo hacerlo únicamente desde un punto de vista técnico o jurídico. Una vez aclaradas las consideraciones legales, pueden efectuarse las ponderaciones normativas las decisiones necesarias en el marco de los objetivos de protección, siempre que esas ponderaciones no hayan sido ya efectuadas previamente en ese marco y las decisiones puedan ser tomadas directamente12. Con esta presentación de los objetivos de protección se puede modelar el tratamiento, de forma que se pueda comprender mejor su funcionamiento y se puedan extraer las medidas de protección aplicables.

El dictamen o informe técnico y organizativo se ocupa de las características de los tres componentes del tratamiento. Estas características se recopilan y posteriormente se unen a paquetes de medidas, que garantizan la seguridad y la protección de datos. Al mismo tiempo se verifica la intensidad de la protección que aportan las mencionadas medidas.

El registro de la situación del funcionamiento de un tratamiento, así como de las medidas de protección aplicadas permite establecer la relación con las medidas previstas en función del modelo basado en los objetivos de protección. Este procedimiento permite establecer un balance entre el debe y el haber, que hará posible fundamentar de forma transparente si el tratamiento en cuestión se lleva a cabo correctamente en lo que afecta a la protección de datos y si se aplican las medidas de protección adecuadas. Además, en base al modelo de medidas previstas puede proponerse medidas adecuadas para solventar las carencias que puedan aparecer. (Figura 1).

Para registrar de forma adecuada las características de un tratamiento, tanto técnicas como jurídicas, es preciso actuar de forma transparente, cosa que a menudo no sucede en las prácticas habituales de control. Si no es posible comprobar las bases jurídicas, las distribución de responsabilidades y las caracterísiticas técnicas de un tratamiento, ese mero hecho ya hace que haya que considerarlo como falto de transparencia y por tanto no puede ser conforme con los criterios de la protección de datos.

4. Modelo de riesgos

Para finalizar proporcionaremos una lista de cinco riesgos en materia de protección de datos que se pueden deducir de este modelo y que por ejemplo serían aplicables a un PIA llevado a cabo de forma consistente13.

El riesgo originado por el tratamiento, aquí se hace referencia al posible riesgo para la persona afectada que la existencia de ese tratamiento supone. Desde el punto de vista de la protección de datos, la existencia de una base legal y de un sistema informático con las medidas de seguridad adecuadas no permiten afirmar que el tratamiento es conforme a los criterios de la protección de datos.

El modelado de riesgos describe un concepto insuficientemente fundamentado de control de protección de datos o de PIA cuando se declara que se ha llevado a cabo una actividad de ese tipo pese a que a) sólo se tiene en cuenta una parte de los objetivos de protección, normalmente la seguridad de los datos basada en la asimilación directa de las definiciones del BSI, o b) no se han comprobado todos los componentes del tratamiento, o c) se establecen niveles de protección demasiado bajos.

El riesgo de las medidas de protección hace referencia a los problemas para los que no se aplican medidas de protección o a los que se aplican medidas de protección inadecuadas.

El riesgo de competencia describe la situación que se origina cuando no se dispone de suficiente personal, o cuando ese personal no dispone de la capacidad y motivación necesarias para que el control que efectúan se lleve a cabo de forma sistemática e íntegra.

Para finalizar hay que mencionar el riesgo legal y de control, que radica en que los ciudadanos, clientes, pacientes y empleados piensan que la mera existencia de una legislación en materia de protección de datos y la posible existencia de un DPO en la organización, es suficiente para que se garantice la protección de datos y se lleven a cabo los controles adecuados, especialmente en lo que afecta a organizaciones especialmente comprometidas, como servicios secretos, seguridad social y redes sociales. Los afectados también suelen creer que la legislación de protección de datos, en la que se basan los controles en la materia, es suficiente para garantizar una protección de datos efectiva en la práctica.

Los especialistas en protección de datos son responsables de hacer evidentes estos riesgos y de tratarlos no sólo desde el punto de vista jurídico, sino también político, conceptual e investigador y de hacer lo necesario para reducir el riesgo existente.

5. Conclusiones

Los objetivos de protección forman un canon de criterios para la ponderación de exigencias jurídicas a los tratamientos de datos de carácter personal, permitiendo que esa ponderación pueda efectuarse de forma operativa. En la combinación de objetivos de protección, establecimiento de niveles de protección para datos, sistemas informáticos y procesos, es posible calcular el nivel de riesgo y la intensidad de las medidas aplicables en un modelo completo. El modelo básico fundamentado en esos componentes ofrece un marco de control de referencia que ofrece teóricamente 54 medidas standard de protección.

La utilización de un modelo genérico de este tipo en si misma no genera una coherencia aplicable a cualquier valoración en materia de protección de datos. Pero sí que ayuda a fijar las discrepancias en la determinación de las posibles carencias, y en su caso a presentarlas ante un tribunal para que tome una decisión o para ayudar a originar un cambio en los fundamentos legales en la materia.

1 La controlabilidad es exigida de forma explícita en el § 7 Abs. 3 Niedersächsisches Datenschutzgesetz (Ley de Protección de Datos del Land Niedersachsen).

2 Por ese motivo, la solución adoptada para el nuevo documento de identidad alemán, que supone la utilización de un certificado de habilitación que supone la autenticación mutua entre organización y sujeto después de que la Administración Federal haya controlado la finalidad del tratamiento de datos personales, presenta una solución óptima en lo que afecta a la protección de datos.

4 Las medidas a tomar para un sistema informático o para un proceso en concreto pueden ser controladas de forma transparente, ya que pueden implementarse en el sistema de gestión de seguridad informática según ISO27001, en el sistema de gestión de riesgos según ISO27005, o en el sistema ITIL o COBIT, siendo calculables también desde el punto de vista empresarial.

5 Rost, Martin; Pfitzmann, Andreas, 2009: Datenschutz-Schutzziele – revisi-

ted; in: DuD – Datenschutz und Datensicherheit, 33. Jahrgang, Heft 6: 353-358.

Inzwischen wurde die Nützlichkeit dieses Ansatzes mit mehreren Studien belegt

(bis auf (5) sind die Studien aktuell per Internet zugänglich): (1) ULD, 2011: Juristi-

sche Fragen im Bereich altersgerechter Assistenzsysteme, Vorstudie im Auftrag

des VDI/VDE-IT im Rahmen des BMBF-Förderungsschwerpunkte „Altersgerechte

Assistenzsysteme für ein gesundes und unabhängiges Leben – AAL“; (2) VDE,

2012: Die deutsche Normungs-Roadmap AAL, N.N., 2012: (3) Usecases „Smart-Me-

tering“, Papier der Datenschutzbeauftragten (im Erscheinen); (4) Geisberger, Eva

/ Broy, Manfred (Hrsg.), 2012: > agendaCPS, Integrierte Forschungsagenda Cyber-

Physical Systems, acatech Studie, Deutsche Akademie der Technikwissenschaf-

ten; (5) Zwingelberg, Harald / Hansen, Marit, 2012: „Privacy Protection Goals and

Their Implications for eID Systems“, in Jan Camenisch, Bruno Crispo, Simone

Fischer- Hübner Ronald Leenes, Giovanni Russello (Eds). “Privacy and Identity

Management for Life – 7th IFIP WG 9.2, 9.6/11.7, 11.4, 11.6 International Summer

School Trento, Italy, September 2011 Revised Selected Papers“, Springer Boston,

to appear 2012.

6 No existe ninguna instancia que permita confirmar la identidad entre lo dicho por el emisor y lo comprendido por el receptor. La posible instancia que debería proporcionar la confirmación es también una instancia, que sufre el mismo problema. La función de los objetivos reside en la focalización. Los principios también pueden ser utilizados por diferentes especialidades o puntos de vista para obtener una coordinación, sin que en caso de conflicto tenga consecuencia alguna para los actores implicados, salvo que se puedan acusar de irracionalidad. En ese sentido, los principios, que tienen su papel en los intentos de alcanzar un mayor grado de coherencia en el ámbito de la protección de datos, son en realidad un indicador de falta de madurez conceptual.

7 Al mismo tiempo permiten superar algunas debilidades, por ejemplo concretando que significa realmente el concepto „Privacy by Default“, cfr Rost, Martin/ Bock, Kirsten, 2011 Privacy by Design und di Neuen Schutzziele-Grundsätze, Ziele und Anforderungen; in DuD- Datencschutz und Datensicherheit; 35. Jahrgang, Heft 1: 30-34.

8 Es importante que en la realización de un PIA se tenga en cuenta la perspectiva de riesgo de la persona afectada y se trate separadamente de la perspectiva de riesgo de la organización. De forma especialmente clara desde la perspectiva de la protección de datos se muestra una preferencia erronea por la perspectiva de la organización en ICO 2009: Privacy Impact Assessment Handbook, versión 2.0: http://www.ico.gov.uk/upload/documents/pia_handbook_html_v2/html/1-Chap2-2.html, así como en “Privacy Impact Assessment Guidelines” elaborado en 2011 por el BSI en colaboración con WU-Wien/Spiekermann. En ambos casos se muestra en realidad un Security-Impact-Assessment.

9 El modelo completo de los objetivos de protección incluye ocho objetivos adicionales que se extraen de los seis elementales:responsabilidad, anonimato, contingencia, imputabilidad, localizabilidad, comprobabilidad, ocultabilidad, no observabilidad.

10 En la Administración Pública en Alemania este proceso está mejorando de forma manifiesta, mediante procesos de garantía de calidad en el marco del IT-Plannungsrat de los standares XÖV implementados por el KOSIT.

12 La tesis aquí presentada es que la aplicación de las normas en objetivos de protección no sólo no supone ningún riesgo o pérdida, sino que las normas consiguen mediante esa aplicación ganar en claridad y en capacidad de diferenciación.

13 La definición tradicional de riesgo lo considera como el producto de su frecuencia o probabilidad y sus consecuencias o posibles perjuicios. Aquí hablaremos del riesgo de forma abstracta, basándonos en unos criterios estableceremos diferencias y obtendremos informaciones que nos permitiran en base a unos peligros indefinidos establecer unos riesgos determinados. Los objetivos de protección generan una certeza, que permiten calcular los posibles efectos negativos para las personas afectadas de los acontecimientos en una organización.