Gobernar el riesgo, proteger la dignidad - Entrada 9 — Necesidad y proporcionalidad: el juicio que define la legitimidad del tratamiento


 

Gobernar el riesgo, proteger la dignidad

“Evaluaciones de Impacto y Gestión del Riesgo en Protección de Datos: una guía práctica desde el Compliance”

Entrada 9 — Necesidad y proporcionalidad: el juicio que define la legitimidad del tratamiento

La Evaluación de Impacto no es un ejercicio técnico. Es un juicio de legitimidad. Un examen que obliga a la organización a demostrar que el tratamiento:

  • es necesario,
  • es adecuado,
  • es proporcionado,
  • y no existe una alternativa menos intrusiva.

Este juicio es el corazón de la EIPD. Si falla aquí, todo lo demás —medidas, matrices, documentación— se derrumba.

El RGPD no protege datos: protege personas. Y este juicio es la forma jurídica de protegerlas.

1. La necesidad: ¿es imprescindible este tratamiento?

La necesidad exige responder a una pregunta incómoda:

¿Es imprescindible tratar estos datos para lograr la finalidad?

No “útil”. No “conveniente”. No “eficiente”. Imprescindible.

La necesidad se evalúa en tres niveles:

a) Necesidad de la finalidad

¿La finalidad es legítima, concreta y justificada?

b) Necesidad del tratamiento

¿Es imprescindible tratar datos personales para lograrla?

c) Necesidad de cada dato

¿Cada categoría de datos es estrictamente necesaria?

Ejemplos de fallos típicos:

  • pedir más datos de los necesarios,
  • conservar datos “por si algún día hicieran falta”,
  • usar datos sensibles cuando bastan datos no sensibles,
  • aplicar tecnologías intrusivas sin justificación.

La necesidad es un filtro severo. Y debe serlo.

2. La idoneidad: ¿el tratamiento sirve realmente para la finalidad?

La idoneidad exige demostrar que el tratamiento funciona para lo que se pretende.

Preguntas clave:

  • ¿El tratamiento es adecuado para lograr la finalidad?
  • ¿Existen dudas razonables sobre su eficacia?
  • ¿El diseño técnico permite alcanzar el objetivo?
  • ¿El tratamiento introduce efectos secundarios no previstos?

Un tratamiento innecesario es ilegítimo. Un tratamiento ineficaz es absurdo. Un tratamiento innecesario e ineficaz es peligroso.

La necesidad y la idoneidad se complementan: un tratamiento puede ser necesario pero no idóneo, o idóneo pero no necesario. Ambos juicios deben superarse.

3. La proporcionalidad estricta: el equilibrio entre finalidad y riesgo

Este es el punto más delicado del juicio.

La proporcionalidad exige demostrar que:

El impacto sobre los derechos de las personas no supera el beneficio legítimo del tratamiento.

No basta con que el tratamiento sea útil. Debe ser justo.

La proporcionalidad se evalúa así:

a) Comparar la finalidad con el impacto potencial

¿La finalidad justifica el riesgo?

b) Evaluar si existen alternativas menos intrusivas

¿Podría lograrse lo mismo con menos datos, menos tecnología o menos exposición?

c) Analizar si las medidas compensan el impacto

¿Las medidas reducen el riesgo hasta un nivel aceptable?

d) Determinar si el tratamiento respeta la dignidad del interesado

La dignidad no es negociable.

La proporcionalidad es el punto donde se equilibran dos bienes jurídicos: la finalidad legítima y los derechos fundamentales.

4. Alternativas menos intrusivas: el examen que muchas organizaciones evitan

El RGPD exige explorar alternativas:

  • menos datos,
  • menos categorías,
  • menos frecuencia,
  • menos actores,
  • menos automatización,
  • menos observación,
  • menos retención.

Si existe una alternativa menos intrusiva que permite lograr la finalidad, el tratamiento actual no es legítimo.

Este es el punto donde muchas EIPD fallan: describen medidas, pero no exploran alternativas.

Explorar alternativas no es opcional: es una obligación jurídica.

5. La proporcionalidad en tratamientos avanzados (IA, perfilado, decisiones automatizadas)

Aquí el juicio es aún más exigente.

Preguntas clave:

  • ¿El modelo puede generar sesgos?
  • ¿El interesado puede entender la lógica del tratamiento?
  • ¿Existe supervisión humana real?
  • ¿El impacto es reversible?
  • ¿El tratamiento afecta a colectivos vulnerables?
  • ¿La escala del tratamiento amplifica el riesgo?
  • ¿La finalidad justifica el uso de IA?

La proporcionalidad en IA no es técnica: es ética.

La opacidad algorítmica exige más transparencia. La automatización exige más supervisión. La escala exige más prudencia.

6. Documentar el juicio: claridad, no retórica

La documentación debe responder a cuatro preguntas:

1.    ¿Por qué la finalidad es legítima y necesaria?

2.    ¿Por qué el tratamiento es adecuado para lograrla?

3.    ¿Por qué no existe una alternativa menos intrusiva?

4.    ¿Por qué el impacto está equilibrado por las medidas aplicadas?

La autoridad no exige literatura: exige razonabilidad.

Documentar este juicio no es justificar el pasado: es proteger el futuro.

7. El error más común: confundir proporcionalidad con seguridad

Muchas organizaciones creen que si aplican medidas de seguridad, el tratamiento es proporcional.

Es falso.

La proporcionalidad no se mide en firewalls: se mide en equilibrio.

Un tratamiento puede ser seguro y aun así ser desproporcionado. Un tratamiento puede ser inseguro y, además, desproporcionado.

La proporcionalidad es un juicio jurídico, no técnico.

Cierre de la Entrada 9

El juicio de necesidad y proporcionalidad es el núcleo de la EIPD. Es el punto donde la organización demuestra si respeta la dignidad de las personas o si solo busca eficiencia.

Es el examen más exigente del RGPD. Y el más revelador.

En la próxima entrada abordaremos el cierre del proceso: la documentación, la transparencia y la consulta previa a la autoridad.

Comentarios