Privacy by design en el Reglamento europeo de Protección de Datos

1005
privacy design proteccion de datos

En esta serie de artículos en que vamos desgranando las novedades que introduce el Reglamento europeo de Protección de Datos, hoy toca hablar de la llamada “Privacy by design” o, lo que es lo mismo, “Privacidad desde el diseño”.

¿Qué significa Privacidad desde el diseño? ¿Por qué se regula expresamente en esta normativa europea? ¿Qué supone para las empresas su aplicación? ¿Se trata de un nuevo principio o de un derecho fundamental? A estas y otras preguntas intentaré responder en este post.

¿Qué es la Privacidad por diseño?

Todos los activos información útiles de cualquier empresa debe de estar organizados y adecuadamente protegidos y para esto es necesario que todas las personas que manejan esa información posean una formación adecuada, al tiempo que estén instaurados unos procedimientos claros para su uso e información en tiempo real. Tanto los instrumentos informáticos de seguridad como la gestión eficiente de la empresa y el factor humano juegan un papel decisivo en la protección de la información. Establecer y conservar la confianza de los usuarios en la protección de los datos personales es esencial en cualquier empresa. Sin privacidad, un servicio no conseguirá la confianza del usuario, del cliente, del proveedor y, por tanto, su modelo de negocio será imposible

Hay que proteger los datos personales considerando todo el ciclo vital de la tecnología, por tanto y por defecto hay que fijar a priori este criterio, tanto en grandes como en pequeñas empresas, y realizar un análisis previo de la privacidad y sus consecuencias en todos los productos y servicios, junto con las necesidades de seguridad, utilización, accesibilidad, para conseguir en las empresas reducir los peligros y las sanciones económicas, civiles y penales, aumentar las ventas y  preservar la reputación corporativa de las empresas, y por ende su futuro y permanencia.

Implantación en las empresas

La protección de los datos de carácter personal es esencial para empresas que, ubicadas en España o en otro país, utilicen datos de carácter personal en su negocio tales como creadores de aplicaciones, software, o patentes que empleen  datos personales,  para entidades que comercialicen bienes o servicios a través de Internet,  empresas que se realicen actividades de marketing, y en concreto, marketing digital, así  como entidades del sector público en sus vínculos con usuarios y clientes.

Para proceder a implantar estas medidas, y garantizar una adecuada observancia de la legalidad, se debe tener en cuenta lo que se conoce como privacidad desde el diseño o a medida o privacy by design.

¿Qué supone para las empresas esta Privacy by design?

Esta Privacidad desde el diseño supone que a la hora de determinar los requisitos del diseño de la aplicación o sistemas que debamos usar dentro de nuestra empresa y/o desde el momento en que se recopila un dato, es esencial considerar las necesidades especiales de protección de la privacidad de la información junto con el resto de aspectos técnicos y no técnicos. De esta manera, se garantiza la privacidad y control de la información de la organización.

Por ello, teniendo en cuenta estos aspectos desde el principio, se impedirá tener que redefinir los sistemas continuamente en lo referido a este aspecto, y por tanto, un aumento en el coste de su mantenimiento, ya que muchas veces son asuntos difíciles de salvar después de que el diseño básico haya sido confeccionado. La magnitud de las medidas de privacidad tiene que ser proporcionada a la sensibilidad de los datos. Además, la protección y privacidad de la información debe considerarse dentro de la organización como una forma de funcionamiento por defecto.

Regulación de la Privacidad por diseño en el Reglamento europeo de Protección de Datos

El hecho de que la privacidad por diseño se establezca como obligación legal exigible tras la entrada en vigor del Reglamento Europeo de Protección de Datos ha sido estimado como un factor muy positivo, ya que va a actuar como elemento coercitivo para concienciar a las compañías y a las organizaciones de la necesidad de imponer medidas de prevención correctas, desde la propia percepción del tratamiento, fortaleciendo así una buena práctica que actúa en favor de la competitividad individual de las organizaciones y de la conservación de un entorno más fuerte respecto a gestión de la información y la seguridad de los sistemas informáticos.

De igual forma que otras exigencias recogidas en esta normativa europea, el fomento de los principios reclamables de privacidad por defecto y desde el diseño, tiene cierta dosis de imprecisión, en cuanto a su aplicación práctica, que los legisladores tendrán que completar y definir.

La instauración práctica de la privacidad desde el diseño y por defecto, obliga a las Administraciones Públicas a proporcionar los recursos necesarios para realizar actuaciones orientadas a sensibilizar y ayudar a las empresas en la formación necesaria, fundamentalmente en el sector de la pequeña y mediana empresa, y el conocimiento práctico preciso, desde una perspectiva de concienciación positiva, para implantar las medidas preventivas desde el propio diseño de la actividad, proceso, negocio, sistema, herramienta de gestión de datos, etc. con el fin de proporcionar las garantías suficientes para proteger la privacidad y el derecho fundamental a la protección de datos personales.

Principios de Privacy by design

La fuerza de las medidas de privacidad tiende a estar en consonancia con la sensibilidad de los datos, estableciendo siete principios en los que debe basarse esta Privacidad desde el diseño. Estos principios son:

Proactivo, no Reactivo; Preventivo no Correctivo.

El encuadre de Privacidad por el Diseño está representado por medidas proactivas, en vez de reactivas. Preve y previene supuestos de ataques a la privacidad con anterioridad a que estos ocurran. Privacidad por el Diseño no espera a que los riesgos se produzcan, ni establece remedios para solucionar infracciones de privacidad una vez que ya tuvieron lugar, su objetivo es impedir que se produzcan. Es decir, Privacidad por el Diseño llega antes del suceso, no después.

Privacidad como la Configuración Predeterminada.

La Privacidad por el Diseño pretende otorgar el máximo grado de privacidad garantizando que los datos personales estén asegurados de forma automática en cualquier sistema de IT o en cualquier práctica de negocios. Si una la persona no adopta una acción, aun así la privacidad permanece intacta. No se exige ninguna acción por parte de la persona para proteger la privacidad.

Privacidad Incrustada en el Diseño.

La Privacidad por el Diseño está grabada en el diseño y la arquitectura de los sistemas de Tecnologías de Información y en las prácticas de negocios. No está adherida como un suplemento, después del incidente. La consecuencia es que la privacidad pasa a ser un componente esencial de la funcionalidad central. La privacidad es parte total del sistema, sin mermar su funcionalidad.

Funcionalidad Total

“Todos ganan”, no “Si alguien gana, otro pierde” Privacidad por el Diseño busca adecuar todos los intereses y objetivos legítimos de una manera “ganar-ganar”, no a través de un método obsoleto de “si alguien gana, otro pierde”, donde se efectúan privilegios innecesarios. Privacidad por el Diseño impide la hipocresía de las falsas dualidades, tales como privacidad versus seguridad, mostrando que sí se puede tener ambas a la vez.

Seguridad Extremo-a-Extremo – Protección de ciclo de vida entero.

La Privacidad por el Diseño se propaga de forma segura a través del ciclo de vida completo de los datos afectados. Las medidas de seguridad fuertes son fundamentales para la privacidad, de principio a fin. Esto asegura que todos los datos son conservados de forma segura, y luego destruidos también con seguridad al final del proceso, sin dilación. Por lo tanto, la Privacidad por el Diseño garantiza un tratamiento seguro del ciclo de vida de la información, desde la cuna hasta la tumba, desde un extremo hacia el otro.

Visibilidad y Transparencia.

La Privacidad por el Diseño pretende proteger a todos los involucrados y, cualquiera que sea la práctica de negocios o tecnología afectada, esté actuando según las promesas y objetivos declarados, sujeta a supervisión independiente. Sus partes, componentes y operaciones se mantienen visibles y transparentes, a usuarios y a proveedores. Recuerde, confíe pero verifique.

Respeto por la Privacidad de los Usuarios.

Hay que sustentar una perspectiva centrada en el usuario por encima de todo, la Privacidad por el Diseño exige que los arquitectos y operadores mantengan en un nivel superior los intereses de las personas, ofreciendo medidas de privacidad robustas, notificación adecuada, y permitiendo opciones accesibles para el usuario. Por tanto, el usuario en el centro de las prioridades.

Principales barreras para aplicarlo

Entre los principales impedimentos que pueden existir a la hora de aplicar este principio de Privacy by design podemos destacar:

  • Los obstáculos que existen en la dirección de las organizaciones para preveer los riesgos y los beneficios de la protección de datos. La inversión precisa no se entiende como justificada.
  • Por razones similares, las empresas proveedoras de soluciones software no ven en la introducción de funcionalidad dirigida a preservar la privacidad una utilidad competitiva, por lo que el software distribuido carece de este tipo de funcionalidad.
  • Las seguridad de  la información (y aún más las protección de datos) no se incluye aún de forma generalizada como elemento constitutivo importante en el ciclo de desarrollo de software utilizado por las organizaciones.
  • Las organizaciones suelen tener dudas sobre cómo implantar soluciones tangibles para cumplir con los requisitos de control de la normativa de Protección de Datos. A esta situación ayuda la ausencia de modelos prácticos a nivel internacional que guíen a las organizaciones en la introducción efectiva de controles.

Resumiendo…

Es fundamental para las empresas disponer de expertos  que sigan el principio de privacidad por defecto en el análisis inicial de los productos y servicios de la misma. De este modo, la empresa podrá protegerse contra posibles reclamaciones, elaborar políticas claras para asegurar los datos confidenciales, y  realizar las evaluaciones técnicas precisas, evitando sanciones y restringiendo las responsabilidades penales y civiles de la empresa y sus directivos, crear planes de acción en casos de crisis para vigilar las posibles las violaciones de seguridad, fijar junto a los departamentos de IT las políticas a aplicar y las medidas a tomar contra posibles incidentes de seguridad o cibernéticos.

La privacidad y la seguridad se han transformado por tanto en un apoyo esencial en cualquier modelo de negocio digital y no digital. La protección de datos es un reto que se debe reglamentar desde el principio y de forma proactiva en las empresas a través de profesionales expertos en privacidad, seguridad y ciberseguridad.

Privacy by design en el Reglamento europeo de Protección de Datos
4.4 (88%) 5 votos

Dejar respuesta