martes, 7 de abril de 2020

Registro Unico de beneficiarios finales y Privacidad por Diseño - 1

Registro Único de beneficiarios finales y Privacidad por Diseño (primera parte)

Prof. Augusto Ho
Instituto de Derecho y Tecnologías USMA.

Se acaba de promulgar la Ley N° 129 de 17 de marzo de 2020, G.O. 28985-C, que “crea el Sistema Privado y Único de Registro de Beneficiarios Finales de Personas Jurídicas”. En razón de la existencia de múltiples compromisos que el país está obligado a dar cumplimiento, esta normativa debía aprobarse más temprano que tarde.
La Ley textualmente indica que su objeto es establecer el marco regulatorio para la creación del sistema privado y único de registro de beneficiarios finales en la República de Panamá, con el fin de facilitar el acceso sobre beneficiarios finales de personas jurídicas recabados por los abogados o firmas de abogados que presten servicios de agentes residentes para asistir a la autoridad competente en la prevención de delitos de blanqueo de capitales financiamiento al terrorismo y financiamiento de la proliferación de armas de destrucción masiva, de acuerdo con las leyes de la República.
La normativa busca elevar el nivel de transparencia de las personas jurídicas de diferente índole, permitiendo conocer quién o quiénes son las personas naturales que realmente son beneficiarias de esas personas jurídicas. En su momento, el gremio de abogados efectuó muchos cuestionamientos, particularmente porque se iniciaría un nuevo período en donde las figuras de anonimato, protección de patrimonios e inversiones discretas cambiaban su sentido y funcionabilidad.
Ahora bien, algunos profesionales también cuestionaron la robustez del sistema desde diferentes puntos de vista: técnico, la protección y privacidad de los datos solicitados o su uso adecuado.
Por lo anterior, ya aprobada la norma jurídica corresponderá reglamentarla y desarrollar algunos aspectos en ella contemplados en concordancia con la Ley 81 de 2019 sobre protección de datos personales, la que entrará a regir en aproximadamente un año.
Nuestro análisis toma en consideración ambas normas jurídicas (La Ley N° 129 y la Ley N° 81) y pretendiendo explicitar la necesidad de aplicar a la reglamentación de la primera, los Principios fundacionales de la Privacidad por Diseño (PbD por sus siglas en inglés).
Primeramente es menester conocer qué es Privacidad por Diseño.
Para ello es preciso tener presente que una de las principales novedades que trae consigo el Reglamento General Europeo de Protección de Datos (RGPD) (art.5) es el concepto estructurador de Privacidad desde el Diseño y por Defecto o Privacy by Design (PbD).
El art. 25 del RGPD le ha conferido la categoría de requisito legal, a la práctica de considerar la privacidad desde las primeras etapas del diseño de productos y servicios
El concepto de protección de datos desde el diseño no es necesariamente nuevo; existe desde hace más de 20 años y mayormente es utilizada la terminología de “privacidad desde el diseño”. Fue desarrollado por Ann Cavoukian, Comisionada de Protección de Datos de Ontario, en la década de los años 90 y fue presentado en la trigésima primera (31ª) Conferencia Internacional de Comisionados de Protección de Datos y Privacidad del año 2009 bajo el título Privacy by DesignThe Definitive Workshop” siendo posteriormente aceptado internacionalmente en la trigésima segunda (32ª) Conferencia Internacional de Comisionados de Protección de Datos y Privacidad, celebrada en Jerusalén en el año 2010, con la aprobación de la “Resolución sobre la Privacidad por Diseño”.
Básicamente en esta resolución se reconocía la importancia de incorporar los principios de privacidad dentro de los procesos de diseño, operación y gestión de los sistemas de la organización para alcanzar un marco de protección integral en lo que a protección de datos personales se refiere.
Gracias al acelerado avance de las nuevas tecnologías, y tomando en cuenta que cada vez nos vemos más propensos a dar nuestros datos a las empresas y entidades públicas, está claro que la protección de datos y la privacidad están unidas en todo el ciclo de vida de estas tecnologías, siendo por tanto fundamental su consideración desde el momento de su concepción desde el punto de vista del diseño hasta su definitiva utilización por el público general.
Tradicionalmente la práctica en el diseño de un nuevo producto o servicio consistía en lanzarlo al mercado y posteriormente analizar la cuestión legal una vez en funcionamiento. Pero, este nuevo concepto nos indica que se debe abordar la cuestión técnica y tener en cuenta las leyes de privacidad en el momento mismo del diseño de la app o software, y no así a posteriori de su incursión en el mercado posteriormente.
La privacidad nace en el diseño, antes que el sistema esté en funcionamiento y debe garantizarse a lo largo de todo el ciclo de vida completo de los datos.
La PbD considera la privacidad y los principios de protección de datos desde la concepción de cualquier tipo de tratamiento.
Los Principios fundacionales de la PbD son:
<1.      Proactivo, no reactivo; preventivo, no correctivo. Una adecuada política de PbD se caracteriza por la adopción de medidas proactivas que se anticipan a las amenazas, identificando las debilidades de los sistemas con el objetivo de neutralizar o minimizar riesgos en vez de aplicar medidas correctivas para resolver los incidentes de seguridad una vez sucedidos. Es decir, la PbD huye de la “política de subsanar” anticipándose a los eventos que afecten a la privacidad antes que sucedan.
22.      La privacidad como configuración predeterminada.  La PbD pretende proporcionar al usuario el máximo nivel de privacidad y, en particular, que los datos personales estén automáticamente protegidos en cualquier sistema, aplicación, producto o servicio. La configuración por defecto deberá quedar establecida desde el diseño a aquel nivel que resulte lo más respetuoso posible en términos de privacidad.
<3.      Privacidad incorporada en la fase de diseño. La privacidad debe formar parte integral e indisoluble de los sistemas, aplicaciones, productos y servicios, así como de las prácticas de negocio y procesos de la organización. No es una capa adicional o módulo que se añade a algo ya preexistente.
<4.      Funcionalidad total: pensamiento “todos ganan”. Tradicionalmente se ha entendido que se gana privacidad a costa de perder otras funcionalidades, presentando dicotomías como privacidad vs usabilidad, privacidad vs funcionalidad, privacidad vs beneficio empresarial, incluso privacidad vs seguridad. Esta aproximación es artificial y el objetivo ha de ser encontrar el balance óptimo en una búsqueda tipo “ganar-ganar”, con una mentalidad abierta a nuevas soluciones para conseguir sistemas plenamente funcionales, eficaces y eficientes también a nivel de privacidad.
<5.      Aseguramiento de la privacidad en todo el ciclo de vida: La privacidad nace en el diseño, antes de que el sistema esté en funcionamiento y debe garantizarse a lo largo de todo el ciclo de vida completo de los datos. La seguridad de la información impone confidencialidad, integridad, disponibilidad y resiliencia de los sistemas que cobija.
<6.      Visibilidad y transparencia: Garantizar la privacidad es poder demostrarla, verificando que el tratamiento es acorde con la información entregada.
<7.      Respeto por la privacidad de los usuarios: mantener un enfoque centrado en el usuario siendo que el fin último debe ser garantizar los derechos y libertades de las personas cuyos datos son objeto de tratamiento. Este debe ser garantizar los derechos y libertades de los usuarios cuyos datos son objeto de tratamiento, por lo que cualquier medida adoptada debe ir encaminada a garantizar su privacidad. Ello supone diseñar procesos, aplicaciones, productos y servicios “con el usuario en mente”, anticipándose a sus necesidades.
Vale la pena recalcar que lo recomendable en una reglamentación para la Ley 129 sería tomar en consideración los principios fundacionales de la Privacidad por diseño e incluirlos al momento de diseñar el Sistema Privado y Único de Registro de Beneficiarios. Ello brindaría la credibilidad y privacidad oportunas a un sistema contentivo de información sumamente vulnerable. No podemos perder de vista que en todo caso contendrá información general de los clientes corporativos, de abogados y agentes residentes. Esta sería la mejor manera, en principio, de asegurar la integridad, confidencialidad, trazabilidad y seguridad informática y de la información en relación con los datos custodiados.
Cabe mencionar que si bien es cierto que el principio de Privacidad por diseño no es vinculante en nuestro país toda vez que ni la Ley de protección de datos personales ni la Ley de Registro Único de beneficiarios finales mencionan su aplicación, también es cierto que ya se ha adoptado en otras latitudes con buenos resultados e incluso es parte de la disposición normativa internacional más importante existente a nivel mundial en materia de protección de datos personales. Además es una medida de responsabilidad proactiva, altamente recomendable de cara a la entrada en vigencia de la Ley N° 81.
Es el momento propicio para seguir este principio ya que brindaría a la comunidad jurídica en general y a su clientela, los elementos para confiar y colaborar en la conformación del contenido del citado registro. Con esto evitaremos tener que estar rediseñando los sistemas para adaptarlos al imperativo de este derecho fundamental a la protección de datos personales, por lo que reduciremos los costes, ya que resulta bastante costoso tener que salvar errores después de que ya se ha diseñado o implementado el servicio o plataforma en la entidad. Por otra parte, es importante a tener en cuenta que las medidas que se adopten deberán ser proporcionales y en función de la sensibilidad de los datos que se pretenden recoger o tratar.