Privacidad desde el Diseño y por Defecto, más que una obligación de Protección de Datos (I)

7 principios de privacidad desde el diseño

Si algo tenemos todos claro, es que el Reglamento General de Protección de Datos (RGPD) y todas las legislaciones afines en materia de protección de datos como la LOPDgdd vinieron para quedarse y para cada vez más llevar a cabo nuevas regulaciones de acuerdo a como avancen las tecnologías y el mundo a nuestro alrededor.

Uno de los artículos más representativos que trajo consigo el RGPD fue el artículo 25 relativo a la privacidad desde el diseño y por defecto y que nos indican que el Responsable de Tratamiento está obligado a aplicar las medidas de seguridad adecuadas desde el momento en el que tenemos que determinar los medios del tratamiento y en el propio tratamiento. Así mismo, también se deben aplicar las medidas técnicas y organizativas necesarias para garantizar que, por defecto, sólo sean objeto de tratamiento los datos que sean necesarios para los fines específicos del tratamiento. Para conocer más a fondo cómo podemos aplicar la privacidad desde el diseño y por defecto la Agencia Española de Protección de Datos ya ha presentado dos guías muy representativas: Guía de Privacidad desde el Diseño y la Guía de Protección de Datos por Defecto a las que nos referiremos más adelante y queremos contribuir a comprender lo que supone aplicar la privacidad desde el diseño y por defecto a través de una serie de post en nuestro blog.

Cabe destacar que el concepto de privacidad desde el diseño no es nuevo sino que tiene su origen en la década de los 90 siendo desarrollado por la Comisionada de protección de datos de Ontario, Ann Cavoukian. Así, se reconocía la importancia de incorporar los principios de privacidad dentro de los procesos de diseño, operación y gestión de los sistemas de la organización para alcanzar un marco de protección integral en lo que a protección de datos se refiere. Y se presentaban los 7 Principios Fundacionales de la Privacidad desde el Diseño que son la base desde la que deberemos trabajar en nuestras organizaciones:

7 principios de privacidad desde el diseño
7 principios de privacidad desde el diseño y por defecto (imagen extraída de la Guía de Privacidad desde el Diseño de la AEPD)

 

Los 7 Principios desde el Diseño nos marcan el camino a seguir en nuestras organizaciones cada vez que vamos a diseñar un nuevo servicio, aplicación o producto en la misma y tendremos que tenerlos siempre en cuenta para proteger la privacidad adecuadamente y cumplir con el Reglamento General de Protección de Datos. En muchos casos, no siempre se están llevando a cabo los pasos adecuados en las organizaciones ni se tienen en cuenta a la hora de desarrollar un nuevo proyecto por lo que, como base, vamos a conocer en qué consisten estos 7 principios:

  • Proactivo, no reactivo; preventivo, no correctivo, es decir, anticiparnos a los eventos antes de que ocurran diseñando desde cero e identificando los riesgos a los derechos y libertades de los interesados para minimizarlos. Debemos, por tanto, aplicar medidas proactivas que se anticipen a las amenazas.
  • Privacidad como configuración predeterminada buscando proporcionar al usuario el máximo nivel de privacidad desde el inicio automáticamente de forma que el usuario no tenga que modificar nada para proteger su privacidad de la forma más fuerte posible. Además, se considerará la minimización de los datos en todas las etapas de tratamiento.
  • Privacidad incorporada en la fase de diseño formando parte integrar de todos los sistemas, productos, servicios y aplicaciones y también de los procesos de la organización. Debemos tener en cuenta que la privacidad debe estar integrada en los requisitos de diseño.
  • Funcionalidad total, pensamiento todos ganan: en muchas ocasiones encontraremos perfiles que consideren el cumplimiento de la privacidad como un impedimento y esto no debe ser así. Hay que buscar un equilibrio donde coexistan los diferentes intereses y balancearlos siempre cumpliendo con la legislación.
  • Aseguramiento de la privacidad en todo el ciclo de vida no sólo teniéndola en cuenta en el diseño sino analizando todas las operaciones que se van a llevar a cabo (recogida, registro, clasificación, conservación, difusión, supresión…)
  • Visibilidad y transparencia, es decir, debemos poder demostrar que garantizamos la privacidad para demostrar la diligencia y la responsabilidad proactiva. De esta forma, conseguiremos la confianza de los usuarios gracias a la demostración de nuestra transparencia en el tratamiento de sus datos personales.
  • Respeto a la privacidad de los usuarios y enfoque centrado en el usuario garantizando los derechos y libertades de los usuarios y anticipándonos a las necesidades de estos en el diseño de los procesos, productos, servicios y aplicaciones.

 

¿Y cómo trasladamos esto de una forma práctica en nuestra organización?

Lo haremos aplicando el concepto de Privacy Engineering o ingeniería de la privacidad donde traduciremos de una forma práctica y operativa los principios de privacidad desde el diseño dentro del ciclo de vida de los sistemas de información. Para ello deberemos:

  • Definir los requisitos de privacidad
  • Diseñar e implementar la privacidad
  • Verificar y validar la privacidad
Ingeniería de la Privacidad
Ingeniería de la Privacidad (Imagen extraída de la Guía de Privacidad desde el Diseño de la AEPD)

 

Estos aspectos, traducidos de una forma práctica nos llevan a:

NIVEL ALTO

Estrategias de Privacidad: identificar aquellas tácticas a seguir durante las diferentes etapas del procesamiento de datos encaminadas a garantizar los objetivos de privacidad y el cumplimiento de los principios de tratamiento. Requisitos de Privacidad.

NIVEL MEDIO

Patrones de Diseño: soluciones reutilizables empleadas en la fase de diseño y que son aplicables para resolver problemas comunes y habituales de la privacidad que se presentan de forma reiterada en el desarrollo de productos y sistemas. Catálogo de Soluciones Reutilizables.

NIVEL BAJO

Privacy Enhancing Technologies (PETs): tecnologías que mejoran la privacidad utilizadas para implementar los patrones de diseño de privacidad con una tecnología concreta.

En el siguiente post desarrollaremos más a fondo estos conceptos que nos servirán para conocer los pasos prácticos a tener en cuenta en nuestra propia organización cuando llevemos a cabo una nueva solución o modifiquemos las que ya utilizamos y tener siempre en cuenta la Privacidad desde el Diseño y por Defecto.

 

 

Comparte esta noticia