Gobernar el riesgo, proteger la dignidad - Entrada 9 — Necesidad y proporcionalidad: el juicio que define la legitimidad del tratamiento
Gobernar el riesgo,
proteger la dignidad
“Evaluaciones de Impacto y
Gestión del Riesgo en Protección de Datos: una guía práctica desde el
Compliance”
Entrada 9 — Necesidad y
proporcionalidad: el juicio que define la legitimidad del tratamiento
La Evaluación de Impacto no es
un ejercicio técnico. Es un juicio de legitimidad. Un examen que obliga
a la organización a demostrar que el tratamiento:
- es necesario,
- es adecuado,
- es proporcionado,
- y no existe una alternativa menos
intrusiva.
Este juicio es el corazón
de la EIPD. Si falla aquí, todo lo demás —medidas, matrices, documentación—
se derrumba.
El RGPD no protege datos: protege
personas. Y este juicio es la forma jurídica de protegerlas.
1. La necesidad: ¿es
imprescindible este tratamiento?
La necesidad exige responder a
una pregunta incómoda:
¿Es imprescindible tratar
estos datos para lograr la finalidad?
No “útil”. No “conveniente”.
No “eficiente”. Imprescindible.
La necesidad se evalúa en tres
niveles:
a) Necesidad de la finalidad
¿La finalidad es legítima,
concreta y justificada?
b) Necesidad del tratamiento
¿Es imprescindible tratar
datos personales para lograrla?
c) Necesidad de cada dato
¿Cada categoría de datos es
estrictamente necesaria?
Ejemplos de fallos típicos:
- pedir más datos de los necesarios,
- conservar datos “por si algún día hicieran
falta”,
- usar datos sensibles cuando bastan datos
no sensibles,
- aplicar tecnologías intrusivas sin
justificación.
La necesidad es un filtro
severo. Y debe serlo.
2. La idoneidad: ¿el
tratamiento sirve realmente para la finalidad?
La idoneidad exige demostrar
que el tratamiento funciona para lo que se pretende.
Preguntas clave:
- ¿El tratamiento es adecuado para lograr la
finalidad?
- ¿Existen dudas razonables sobre su
eficacia?
- ¿El diseño técnico permite alcanzar el
objetivo?
- ¿El tratamiento introduce efectos
secundarios no previstos?
Un tratamiento innecesario es
ilegítimo. Un tratamiento ineficaz es absurdo. Un tratamiento innecesario e
ineficaz es peligroso.
La necesidad y la idoneidad se
complementan: un tratamiento puede ser necesario pero no idóneo, o idóneo pero
no necesario. Ambos juicios deben superarse.
3. La proporcionalidad
estricta: el equilibrio entre finalidad y riesgo
Este es el punto más delicado
del juicio.
La proporcionalidad exige
demostrar que:
El impacto sobre los derechos
de las personas no supera el beneficio legítimo del tratamiento.
No basta con que el
tratamiento sea útil. Debe ser justo.
La proporcionalidad se evalúa
así:
a) Comparar la finalidad con
el impacto potencial
¿La finalidad justifica el
riesgo?
b) Evaluar si existen
alternativas menos intrusivas
¿Podría lograrse lo mismo con
menos datos, menos tecnología o menos exposición?
c) Analizar si las medidas
compensan el impacto
¿Las medidas reducen el riesgo
hasta un nivel aceptable?
d) Determinar si el
tratamiento respeta la dignidad del interesado
La dignidad no es negociable.
La proporcionalidad es el
punto donde se equilibran dos bienes jurídicos: la finalidad legítima y los
derechos fundamentales.
4. Alternativas menos
intrusivas: el examen que muchas organizaciones evitan
El RGPD exige explorar
alternativas:
- menos datos,
- menos categorías,
- menos frecuencia,
- menos actores,
- menos automatización,
- menos observación,
- menos retención.
Si existe una alternativa
menos intrusiva que permite lograr la finalidad, el tratamiento actual no es
legítimo.
Este es el punto donde muchas
EIPD fallan: describen medidas, pero no exploran alternativas.
Explorar alternativas no es
opcional: es una obligación jurídica.
5. La proporcionalidad en
tratamientos avanzados (IA, perfilado, decisiones automatizadas)
Aquí el juicio es aún más
exigente.
Preguntas clave:
- ¿El modelo puede generar sesgos?
- ¿El interesado puede entender la lógica
del tratamiento?
- ¿Existe supervisión humana real?
- ¿El impacto es reversible?
- ¿El tratamiento afecta a colectivos
vulnerables?
- ¿La escala del tratamiento amplifica el
riesgo?
- ¿La finalidad justifica el uso de IA?
La proporcionalidad en IA no
es técnica: es ética.
La opacidad algorítmica exige
más transparencia. La automatización exige más supervisión. La escala exige más
prudencia.
6. Documentar el juicio:
claridad, no retórica
La documentación debe
responder a cuatro preguntas:
1. ¿Por
qué la finalidad es legítima y necesaria?
2. ¿Por
qué el tratamiento es adecuado para lograrla?
3. ¿Por
qué no existe una alternativa menos intrusiva?
4. ¿Por
qué el impacto está equilibrado por las medidas aplicadas?
La autoridad no exige
literatura: exige razonabilidad.
Documentar este juicio no es
justificar el pasado: es proteger el futuro.
7. El error más común:
confundir proporcionalidad con seguridad
Muchas organizaciones creen
que si aplican medidas de seguridad, el tratamiento es proporcional.
Es falso.
La proporcionalidad no se mide
en firewalls: se mide en equilibrio.
Un tratamiento puede ser
seguro y aun así ser desproporcionado. Un tratamiento puede ser inseguro y,
además, desproporcionado.
La proporcionalidad es un
juicio jurídico, no técnico.
Cierre de la Entrada 9
El juicio de necesidad y
proporcionalidad es el núcleo de la EIPD. Es el punto donde la
organización demuestra si respeta la dignidad de las personas o si solo busca
eficiencia.
Es el examen más exigente del
RGPD. Y el más revelador.
En la próxima entrada
abordaremos el cierre del proceso: la documentación, la transparencia y la
consulta previa a la autoridad.

Comentarios
Publicar un comentario