Siguiendo con nuestro post anterior, debemos profundizar más en lo que significa la privacidad desde el diseño y por defecto así como las estrategias, patrones de diseño y PETs de los que hablamos.
En cuanto estrategias, tenemos ocho tácticas que podemos seguir para garantizar nuestros Requisitos de Privacidad. Así, dentro de estas tácticas podremos elegir entre estrategias orientadas al tratamiento de los datos o bien orientadas a los procesos. Explicando estas, seguro que todos comprendemos lo que se pretende con las mismas:
Orientadas a Datos
- Minimizar: recoger y llevar a cabo el tratamiento de la mínima cantidad de datos posibles, es decir, cuanto menos datos tratemos menos impacto para la privacidad tendremos
- Ocultar: limitar lo posible la exposición de datos estableciendo las medidas necesarias para garantizar la protección de objetivos de confidencialidad y desvinculación.
- Separar: evitar que durante el procesamiento de diferentes datos personales pertenecientes a un individuo y utilizados de forma independiente, se pueda llegar a hacer un perfilado completo de los individuos.
- Abstraer: limitar los datos personales que son tratados… ¿en qué grado tratamos los datos?
Orientadas a Procesos
- Informar: ser transparentes en la información sobre el tratamiento de los datos personales
- Controlar: dar control a los interesados sobre la recogida, tratamiento, usos y comunicaciones realizadas sobre sus datos personales de forma que en todo momento ellos puedan elegir el tipo de tratamiento que se realiza con sus datos.
- Cumplir: asegurarnos que los tratamientos de datos personales cumplen con la legislación vigente.
- Demostrar: mantener siempre registros para demostrar el cumplimiento de la normativa de protección de datos para los usuarios y autoridades supervisoras
Y la pregunta es… ¿cómo hacemos para bajar un nivel más y aplicar estas estrategias? Aplicando Patrones ya seleccionados previamente que se nos explican en la Guía de Privacidad desde el Diseño y buscando las mejores soluciones tecnológicas que se adapten a nuestras necesidades concretas (soluciones de seudonimización, cifrado, filtros, políticas de privacidad, permisos e identidad de usuarios…). Lo ideal, es hacer un esfuerzo inicial en la búsqueda de patrones y PETs y que podamos utilizar los mismos o muy parecidos en diferentes proyectos para proteger la privacidad de nuestra información.
Si eres una empresa dedicada al desarrollo de software o vas a realizar un nuevo proyecto, aplicación o servicio, todas estas técnicas y requerimientos para proteger la privacidad debemos siempre tenerlas presentes desde el momento de comenzar nuestro proyecto. Así, si queréis conoce como integrar la privacidad dentro del proceso de desarrollo así como configuración predeterminada la Agencia Danesa de Protección de Datos tiene diseñada una Metodología de Privacidad desde el Diseño muy interesante que merece la pena conocer (no en vano han sido ellos quienes han liderado las Guidelines de la EPDB en la materia.
Si bien ya hemos profundizado con algunos de los aspectos tratados anteriormente en este post, merece la pena incidir en la Privacidad por Defecto y más aún tras la publicación de la Guía de Protección de Datos por Defecto (PDpD) de la AEPD.
Dentro de esta última guía se parte de la opinión fijada por el Comité Europeo de Protección de Datos (CEPD) en relación a las medidas de PDpD y nos marcan tres estrategias:
- Optimizar: analizar el tratamiento desde el punto de vista de protección de datos aplicando medidas en relación a los datos recogidos, extensión del tratamiento, conservación y accesibilidad.
- Configurar: llevando a cabo opciones de ajustes que permitan configurar el tratamiento de los datos personales.
- Restringir: buscando un tratamiento lo más respetuoso posible con la privacidad con opciones de configuración ajustadas por defecto a los valores que limiten los datos recogidos.
Como veis, la vinculación entre las estrategias por defecto y las añadidas anteriormente por diseño es muy estrecha estando íntimamente relacionadas tal y como recalca el CEPD. Así mismo, el CEPD nos recuerda que debemos tener en cuenta qué tipo de tratamientos llevamos a cabo con los datos personales y analizar cada fase para tratar los mínimos datos posibles.
En futuros post, profundizaremos aún más en estas últimas estrategias de Privacidad por Defecto a través de una explicación más concisa de cómo podemos aplicar cada una y ejemplos prácticos. No debemos olvidar que la privacidad por diseño y por defecto es una obligación legal establecida en el Reglamento General de Protección de Datos y, por tanto, no debemos perderlo de vista cada vez que estemos inmersos en un nuevo proyecto, adaptando uno existente o eligiendo nuevas herramientas.
