Todos sabemos lo que es la privacidad y cada vez oímos hablar más de ella con la creciente exposición de nuestra vida personal en Internet y redes sociales. Es un concepto relacionado con la intimidad y debemos ser conscientes de la importancia de protegerla adecuadamente. Pero, ¿qué es la Privacidad desde el diseño y por defecto?
Es un nuevo concepto introducido por el RGPD y relacionado con el principio de Responsabilidad proactiva o Accountability.
En este post tienes toda la información sobre este nuevo concepto.
¿Qué es la Privacidad desde el diseño y por defecto?
La Privacidad desde el diseño o Privacy by Design consiste en garantizar la intimidad y la protección de los datos personales desde el momento en que se inicia un nuevo proyecto.
Con el actual crecimiento de las nuevas tecnologías cada vez proporcionamos más datos personales a las empresas, la protección de nuestra privacidad debe contemplarse durante todo el ciclo de vida de las mismas. Es decir, desde el momento en que se proyecta su diseño hasta que las mismas pueden utilizarse por los usuarios.
Antes del RGPD, en primer lugar se diseñaba el servicio o producto y se sacaba al mercado. Y una vez que estaba funcionando se aplicaba la normativa sobre Protección de datos.
Ahora esa normativa debe considerarse antes de comenzar la elaboración de ese servicio o producto.
Normativa
RGPD
El RGPD se refiere a este principio de Privacidad desde el diseño y por defecto en su artículo 25. Impone al responsable del tratamiento la obligación de asegurar el cumplimiento de esta norma y proteger los derechos y libertades de las personas desde el momento en que se plantea la realización de un tratamiento concreto. Para ello debe implantar las medidas técnicas y organizativas que considere apropiadas teniendo en cuenta:
- El coste de su implantación
- El estado de la técnica
- El contexto, naturaleza, ámbito y finalidades del tratamiento
- Riesgos que implique ese tratamiento para los derechos y libertades de las personas.
En el Considerando 78 del RGPD también se alude a este principio. En él se establece la obligación del responsable del tratamiento de aplicar las medidas de seguridad técnicas y organizativas adecuadas para poder justificar ante los usuarios que ha cumplido con las exigencias previstas en esta normativa.
LOPDGDD
La LOPDGDD no habla expresamente de la Privacidad desde el diseño y por defecto pero en el artículo 28 establece la responsabilidad activa del responsable del tratamiento por la cual se le exige la adopción de las necesarias medidas de seguridad para proteger los datos de las personas y garantizar el cumplimiento de la normativa.
Principios de la Privacidad desde el diseño
Este concepto se organiza en torno a los siguientes principios:
Privacidad preventiva y proactiva
Deben aplicarse medidas proactivas lo que significa que deben prevenir los riesgos que puedan surgir para la privacidad. No debe esperarse a que esos riesgos ocurran sino que tratarán de evitarse.
Configuración predeterminada de la privacidad
Cuando un producto o servicio se desarrolla bajo este principio el usuario no tiene que hacer nada para proteger su privacidad. Se garantiza su privacidad sin necesidad de realizar ninguna acción ya que está predeterminada.
Privacidad introducida en el diseño
Se considerará la privacidad como un aspecto fundamental dentro del desarrollo del producto o servicio. Ese tratamiento concreto tendrá en cuenta la protección de datos como una parte esencial que no debe afectar a su funcionamiento.
Utilidad total
Muchas veces se piensa que garantizar la privacidad de las personas puede afectar al coste y a la utilidad del servicio o producto.
Por eso muchos servicios, para obtener mejores experiencias o más funcionalidades, nos obligan a poner en riesgo nuestra privacidad.
Con la Privacidad desde el diseño y por defecto se justifica que un producto o servicio puede tener una utilidad total sin dejar de proteger la privacidad de los usuarios.
Protección durante el ciclo de vida completo
Debe garantizarse la privacidad durante el ciclo de vida completo del servicio o producto.
La protección de los datos personales debe garantizarse desde el nacimiento del producto o servicio, ante de recopilar el primer dato, hasta que ese producto o servicio sea eliminado.
La información personal debe conservarse de manera segura y destruirse también con seguridad.
Visibilidad y transparencia
Debe garantizarse a todos los implicados en la nueva tecnología o tratamiento que va a iniciarse que:
- Se actuará según los objetivos establecidos
- Esa nueva tecnología o tratamiento puede ser objeto de una comprobación independiente
- Sus actuaciones y sistemas utilizados son visibles y transparentes para todos los proveedores y usuarios
Con esto se pretende generar una confianza plena en ese nuevo servicio o tratamiento.
Respetar la privacidad de los usuarios
Lo que supone la Privacidad desde el diseño es que los diseñadores y demás participantes en la creación del producto o servicio tengan como prioridad la protección de la información personal y de los intereses de los usuarios.
¿Cómo deben aplicar las empresas la Privacidad desde el diseño?
La Privacidad desde el diseño es un principio esencial para el cumplimiento del RGPD.
¿Qué debemos tener en cuenta para aplicarlo?
A la hora de aplicar este principio debe tenerse en cuenta el coste, los riesgos, el estado de la técnica o el contexto, naturaleza y fines del tratamiento. Y eso porque cada tratamiento o sistema es diferente y se tratarán datos distintos.
Lo que exige el RGPD es que la protección de los datos sea más específica y centrada en cada caso concreto.
De manera práctica, en el momento de crear o contratar una nueva aplicación o servicio que suponga un nuevo tratamiento de datos personales, debemos tener en cuenta:
- Cuestiones jurídicas
- Aspectos técnicos
- Necesidades especiales de protección de esos datos personales
De esa forma disminuimos los costes al evitar tener que volver a diseñar ese sistema para acomodarlo a las circunstancias específicas. Tener que solucionar fallos una vez diseñado el servicio e implantado en la empresa nos puede salir bastante caro.
Es importante que las medidas que apliquemos sean adecuadas al tipo de datos que vamos a tratar.
Impedimentos en la aplicación
Las principales dificultades con las que se encuentran las empresas a la hora de aplicar el principio de Privacidad desde el diseño son:
- Mentalidad reactiva en lugar de proactiva: estamos acostumbrados a esperar a solucionar los problemas una vez que estos se producen. Debemos cambiar nuestra mentalidad y aplicar las medidas necesarias para que esos riesgos no se produzcan.
- Elevado coste: las empresas no consideran prioritaria la inversión para proteger la privacidad.
- No se considera preferente la privacidad de los usuarios: al desarrollar un nuevo servicio o aplicación, los propios desarrolladores no consideran como prioritario establecer opciones que garanticen la privacidad de los usuarios y utilizan ingresos que deberían estar destinados a ello para otras funciones que les reporten mayores ingresos.
Ejemplo
Veamos a través de un ejemplo cómo una empresa puede aplicar la privacidad desde el diseño y por defecto.
La empresa App a tu medida S.L., dedicada al desarrollo de software, va a crear una aplicación destinada a gestionar el control de la jornada laboral en las empresas. En ella se van a registrar los datos personales de los trabajadores.
La aplicación se comercializará a otras empresas pero ellos serán los encargados de su mantenimiento y del almacenamiento de la información recogida.
La empresa App a tu medida S.L. debe tener en cuenta para aplicar el principio de Privacidad desde el diseño y por defecto lo siguiente:
- Verificar el tipo de datos que van a tratarse
- Aplicar sistemas predeterminados que aseguren una privacidad total de los usuarios
- Los ajustes de privacidad de la aplicación deben estar predeterminados desde el principio con la máxima privacidad
- Antes de lanzar esa aplicación, efectuar pruebas con datos ficticios
La aplicación deberá facilitarse a los usuarios con los mayores ajustes de privacidad y será el propio usuario en que los modifique si lo desea.
Uno de los principales requisitos en la nueva era digital es proteger la privacidad de las personas y la seguridad de la información.
Para ello es fundamental la concienciación de las empresas para establecer sistemas que garanticen esa protección y eviten riesgos. Y es importante también contar con profesionales en esta materia que les asesoren en los análisis iniciales de los productos y servicios.