María M. Pardo de Vera, Socia y Responsable del Área de Protección de Datos de HELAS.
Un sandbox es un entorno de pruebas cerrado diseñado para nuevos modelos de negocio que aún no están protegidos por una regulación vigente ni supervisados por las instituciones regulatorias. Su finalidad es acompasar la regulación a la innovación.
La regulación suele ir por detrás de la innovación y retrasarla u obstaculizarla: el sandbox permitirá combinar innovación y protección de los derechos de los usuarios, siempre buscando el equilibrio entre innovación y riesgos.
Los defensores del sandbox alegan que no es un espacio donde no se cumple la ley sino un entorno legal, seguro y controlado por la Administración –estará coordinado por la Secretaría General del Tesoro en colaboración con el Banco de España, la CNMV y la Dirección General de Seguros- diseñado para poner a prueba ideas empresariales, nuevos modelos de negocio y proyectos tecnológicos y testar si pueden tener éxito o no sin necesidad de cumplir de antemano con la excesiva burocracia y normativa. De esta forma, se entenderá mejor qué debe regularse, qué no y tener más tiempo de respuesta.
Es una puerta de entrada a modelos de negocio nuevos y, hasta ahora, desconocidos.
Ahora bien, el sandbox se tiene que diseñar de tal manera que se respeten al máximo las garantías de los consumidores y que no se vean perjudicados por participar en una de estas fases de prueba. Y es que las pruebas del sandbox se realizarán con clientes reales voluntarios y con sus datos personales, claro.
Es un experimento que entraña riegos. Entre otros, para nuestros datos personales. Permitiremos que los datos reales de las personas que se han sometido voluntariamente a ese “entorno de pruebas” se traten con nuevas tecnologías futuras y hasta ahora desconocidas con implicaciones también desconocidas, incluso para sus creadores. Si prácticamente cada semana se suceden las noticias de fallos de seguridad en empresas, pensemos en el riesgo potencial de todos estos proyectos que usarán tecnologías de última generación.
¿Qué pasa con esos datos de las personas que se han sometido voluntariamente a ese “entorno de pruebas”?
Por supuesto, un elemento que debe ser clave a la hora de presentar un proyecto para ser incluido en sandbox deber ser garantizar al máximo el respeto a la privacidad y el estricto cumplimiento del RGPD y de la LOPDGDD. Y si nos damos cuenta el sandbox no está alejado del espíritu del RGPD. De hecho, en el RGPD se hace referencia a dos principios para la implementación efectiva de la responsabilidad proactiva, son los de protección de datos desde el diseño y de protección de datos por defecto.
El principio de protección de datos desde el diseño – Privacy by design– nos obliga a plantearnos la forma en que se tratan los datos personales en cualquier nuevo producto o servicio antes de lanzarlo. La protección de la privacidad se convierte en uno los requisitos presentes en las primeras fases del diseño de nuevos productos o servicios.
El protocolo de admisión a sandbox debería acreditar que en el desarrollo del nuevo producto o servicios se han implementado los principios de privacidad desde el diseño, obligación que corresponde al Responsable del Tratamiento. ¿Quién será el responsable de verificar esto? ¿La AEPD o un Comité ético creado ad hoc? ¿Será necesario algún tipo de autorización de la AEPD para que un proyecto se presente a sandbox? Al menos, debería contar con algún tipo de supervisión en materia de protección de datos.
En segundo lugar, el principio de protección de datos por defecto – Privacy by default– implica que, sólo podrán ser objeto de tratamiento los datos personales que sean estrictamente necesarios para cada uno de los fines de tratamiento, por lo que teniendo la posibilidad de elegir, la opción por defecto debe ser la que garantice la mayor protección de la privacidad. Esto es, un plazo de conservación corto, limitando desde el primer momento la accesibilidad del perfil de los usuarios para que por defecto no sea accesible a un número indefinido de personas, etc.
“Ensayo clínico” para nuevos modelos de negocio
Desde un punto de vista de protección de los datos personales de los voluntarios a participar en estas fases de experimentación del sandbox podríamos asimilarlo a las distintas fases de ensayos clínicos en el ámbito farmacéutico. Pues se trata de algo similar al de probar la seguridad y/o eficacia de un medicamento que no está comercializado. De hecho, podrían aplicarse algunos de los artículos que recoge la nueva LOPDGDD para los tratamientos de datos en la investigación en salud.
Los clientes tendrá que otorgar un consentimiento expreso e informado para participar en uno de estos proyectos, un consentimiento que habrá que conservar mientras dure la fase de pruebas. Además de que el cliente esté informado correctamente de los riesgos del proyecto, debe ser informado del tratamiento de sus datos personales. Parece claro pensar que quien debe facilitar esta información ha de ser el responsable del tratamiento pero podrían existir multitud de intervinientes en esa fase previa de experimentación. El responsable del tratamiento será la empresa o empresario individual que solicite y financie las pruebas en sandbox -promotor-, pero también entrarán en escena otros actores, conocidos en el mundo de los ensayos clínicos, como los monitores designados por la autoridad competente para realizar el seguimiento directo del proyecto.
Esa información deberá contemplar qué derechos tendrá el cliente en materia de protección de datos, cómo ejercitarlos, si se puede revocar el consentimiento previamente prestado o si se podrán cancelar los datos personales y en qué plazos. También información referente a qué se pude hacer con los datos y que no. Por ejemplo, en el ámbito de la investigación en materia de salud y biomédica, es posible la reutilización de los datos personales de los participantes en un estudio para otro estudio distinto pero que guarde relación con el inicial. ¿Se podrán usar los datos de los voluntarios de un proyecto en sandbox para otro distinto?.
Evaluación de impacto: sí o sí
Ligado a los principios de protección de datos desde el diseño y protección de datos por defecto, un proyecto sandbox requerirá, sin duda, la realización de una Evaluación de Impacto relativa a la Protección de Datos (EIPD) con el fin de evaluar la necesidad y proporcionalidad de las operaciones de tratamiento con respecto a su finalidad y gestionar los potenciales riesgos para los derechos y libertades a los que estarán expuestos los datos personales en función de las actividades de tratamiento que se lleven a cabo con los mismos, y determinando, así las medidas necesarias para reducirlos hasta un nivel de riesgo aceptable.
El uso de mecanismos de seudonimización (sustitución del material de identificación personal) y de cifrado (codificación de mensajes de forma que solo las personas autorizadas puedan leerlos) podrían, por otra parte, resultar medidas adecuadas en el sandbox para cumplir con el principio de privacidad desde el diseño. De hecho, se podrían aplicar los mismos mecanismos de seudonimización que los aplicados con fines de investigación en salud pública y biomédica.
Parece claro pensar que todos estos proyectos requerirá la intervención de un Delegado de Protección de Datos -DPD- que supervise el cumplimiento de toda la normativa de protección de datos de cada proyecto.
Otro aspecto importante será la conservación de toda la trazabilidad del proyecto. Debería constar un protocolo o “cuaderno de recogida” en donde se recojan por escrito los objetivos, el diseño, la metodología, la organización, los resultados y otros aspectos del proyecto.
¿Qué pasa si se incumple el protocolo de sandbox?
Aparte de la suspensión de las pruebas, no parece que haya otro régimen sancionador. Sin embargo, el tratamiento de los datos personales estará siempre sujeto al poder de la Agencia Española de Protección de Datos como garante del derecho a la protección de datos, que debería estar presente en el diseño del sandbox.
Sin embargo, hará falta un desarrollo que determine cuál debe ser el protocolo que aplique al tratamiento de datos personales en un sandbox, más allá del cumplimiento de los principios de protección de datos desde el diseño y por defecto, pues de otro modo, nuestros datos personales pueden correr un gran riesgo.