En esta serie de artículos en que vamos desgranando las novedades que introduce el Reglamento europeo de Protección de Datos, hoy toca hablar de la llamada «Privacy by design» o, lo que es lo mismo, Privacidad desde el diseño. ¿Qué significa Privacidad desde el diseño? ¿Por qué se regula expresamente en esta normativa europea? ¿Qué supone para las empresas su aplicación? ¿Se trata de un nuevo principio o de un derecho fundamental?
¿Qué es la Privacidad desde el diseño?
La privacidad desde el diseño y por defecto consiste en aplicar todas las medidas técnicas y organizativas necesarias para garantizar la seguridad e integridad de los datos de los interesados antes realizar un tratamiento de sus datos personales.
Todos los activos información útiles de cualquier empresa debe de estar organizados y adecuadamente protegidos y para esto es necesario que todas las personas que manejan esa información posean una formación adecuada, al tiempo que estén instaurados unos procedimientos claros para su uso e información en tiempo real.
Implantación en las empresas
La protección de los datos de carácter personal es esencial para empresas que, ubicadas en España o en otro país, utilicen datos de carácter personal en su negocio tales como creadores de aplicaciones, software, o patentes que empleen datos personales, para entidades que comercialicen bienes o servicios a través de Internet, empresas que se realicen actividades de marketing, y en concreto, marketing digital, así como entidades del sector público en sus vínculos con usuarios y clientes.
Todas las empresas que manejen datos personales deben protegerlos considerando todo el ciclo vital de la tecnología.
Para proceder a implantar estas medidas, y garantizar una adecuada observancia de la legalidad, se debe tener en cuenta lo que se conoce como privacidad desde el diseño o a medida o privacy by design.
¿Qué supone para las empresas esta Privacy by design?
Esta Privacidad desde el diseño supone que a la hora de determinar los requisitos del diseño de la aplicación o sistemas que debamos usar dentro de nuestra empresa y/o desde el momento en que se recopila un dato, es esencial considerar las necesidades especiales de protección de la privacidad de la información junto con el resto de aspectos técnicos y no técnicos. De esta manera, se garantiza la privacidad y control de la información de la organización.
Por ello, teniendo en cuenta estos aspectos desde el principio, se impedirá tener que redefinir los sistemas continuamente en lo referido a este aspecto, y por tanto, un aumento en el coste de su mantenimiento, ya que muchas veces son asuntos difíciles de salvar después de que el diseño básico haya sido confeccionado.
La magnitud de las medidas de privacidad tiene que ser proporcionada a la sensibilidad de los datos. Además, la protección y privacidad de la información debe considerarse dentro de la organización como una forma de funcionamiento por defecto.
¿Quiénes están obligados a proteger los datos desde el diseño?
La obligación de proteger los datos desde el diseño corresponde a todos los responsables del tratamiento, independientemente del tipo de datos tratados, del tamaño de la empresa o la naturaleza de ese tratamiento.
Esto significa que deben aplicar las adecuadas medidas de seguridad, además de en el propio tratamiento, al establecer los medios de tratamiento que se van a utilizar.
La privacidad desde el diseño es un requisito exigido por el RGPD y su incumplimiento es sancionable.
Pero además de los responsables del tratamiento, están obligado a cumplir este principio los desarrolladores de aplicaciones o productos, los fabricantes de dispositivos y los proveedores de servicios. Estos deben tener en cuenta la protección de datos en el momento de diseñar los servicios, productos y aplicaciones. Y el responsable del tratamiento debe elegir aquellos encargados, productos y servicios que garanticen el cumplimiento de los requisitos del RGPD, entre ellos la privacidad desde el diseño.
Regulación de la Privacidad por diseño en el RGPD
El hecho de que la privacidad por diseño se establezca como obligación legal exigible tras la entrada en vigor del Reglamento Europeo de Protección de Datos ha sido estimado como un factor muy positivo, ya que va a actuar como elemento coercitivo para concienciar a las compañías y a las organizaciones de la necesidad de imponer medidas de prevención correctas, desde la propia percepción del tratamiento, fortaleciendo así una buena práctica que actúa en favor de la competitividad individual de las organizaciones y de la conservación de un entorno más fuerte respecto a gestión de la información y la seguridad de los sistemas informáticos.
En caso de incumplimiento del RGPD las empresas no sólo se enfrentarán a sanciones por valor de millones de euros, sino a una pérdida reputacional que ponga más en tela de juicio todavía las políticas de privacidad en Europa.
De igual forma que otras exigencias recogidas en esta normativa europea, el fomento de los principios reclamables de privacidad por defecto y desde el diseño, tiene cierta dosis de imprecisión, en cuanto a su aplicación práctica, que los legisladores tendrán que completar y definir.
La instauración práctica de la privacidad desde el diseño y por defecto, obliga a las Administraciones Públicas a proporcionar los recursos necesarios para realizar actuaciones orientadas a sensibilizar y ayudar a las empresas en la formación necesaria, fundamentalmente en el sector de la pequeña y mediana empresa, y el conocimiento práctico preciso, desde una perspectiva de concienciación positiva, para implantar las medidas preventivas desde el propio diseño de la actividad, proceso, negocio, sistema, herramienta de gestión de datos, etc. con el fin de proporcionar las garantías suficientes para proteger la privacidad y el derecho fundamental a la protección de datos personales.
Principios de Privacy by design
La fuerza de las medidas de privacidad tiende a estar en consonancia con la sensibilidad de los datos, estableciendo siete principios en los que debe basarse esta Privacidad desde el diseño. Estos principios son:
Objetivos de seguridad y privacidad
A la hora de diseñar sistemas de confianza y seguros se ha tenido en cuenta el análisis de los riesgos y el establecimiento de respuestas a las amenazas que afectan a los objetivos de seguridad relacionados con la privacidad:
- Confidencialidad: impedir accesos no autorizados a los sistemas
- Integridad: evitar modificaciones de la información no autorizadas
- Disponibilidad: asegurar que sea posible acceder a los datos cuando sea necesario
Pero también existen otro tipo de riesgos que pueden ocurrir a la hora de tratar los datos y es necesario que sean identificados. Dentro de esos riesgos podemos destacar:
- Recopilación excesiva de datos
- Pérdida de autonomía en la toma de decisiones
- Discriminación de las personas
- Re-identificación
- Desconocimiento de los usuarios del alcance y riesgos de un tratamiento incorrecto o no legitimado
Teniendo en cuenta estos riesgos para la privacidad, las empresas deben ampliar los análisis de riesgos que tenga en cuenta tanto los riesgos derivados de un tratamiento no autorizado como aquellos surgidos de un tratamiento legítimo.
Para ello, en los análisis es preciso incluir tres nuevos objetivos de protección de la privacidad que analizamos a continuación.
Desvinculación
Con esto se pretende que el tratamiento de datos en un determinado sistema no pueda vincularse con los datos personales de otro sistema. Con ello se reduce el riesgo de tratamientos no autorizados y la elaboración de perfiles relacionando información correspondiente a diferentes conjuntos de datos.
La desvinculación garantiza los principios de minimización de datos, limitación de la finalidad y limitación del plazo de conservación.
Transparencia
Con ello se pretende que los afectados puedan entender siempre los motivos de la recopilación, tratamiento y uso de sus datos personales. Las partes deben tener a su disposición en cualquier momento la información sobre las finalidades y las condiciones organizativas, técnicas y legales aplicables.
Control
Con este objetivo se garantiza que las partes afectadas por el tratamiento de datos puedan intervenir en cualquier momento en ese tratamiento para aplicar las necesarias medidas correctivas. Esto está relacionado con la posibilidad de ejercicio de sus derechos por los interesados, la presentación de reclamación o la revocación de consentimientos. Con esto se cumplen los principios de exactitud y responsabilidad proactiva exigidos en el RGPD.
Objetivos de Protección de la privacidad
DESVINCULACIÓN | TRANSPARENCIA | CONTROL |
Minimización de datos Limitación del plazo de conservación Integridad y confidencialidad |
Licitud, lealtad y transparencia Limitación de la finalidad |
Limitación de la finalidad Exactitud Integridad y confidencialidad Responsabilidad proactiva |
Estrategias de diseño de la privacidad
Las estrategias para diseñar la privacidad en los tratamientos de datos se dividen en dos categorías:
- Las dirigidas al tratamiento de datos:
- Minimizar
- Ocultar
- Separar
- Abstraer
- Las orientadas a los procesos:
- Informar
- Controlar
- Cumplir
- Demostrar
Veamos cada una de ellas.
Minimizar
Esta estrategia pretende que se recopilen y traten la menor cantidad de datos posible para evitar tratar datos innecesarios. Las tácticas que pueden utilizarse son:
- Seleccionar una muestra de personas y datos necesarios según un criterio determinado.
- Excluir aquellos individuos y datos que sean irrelevantes para el tratamiento realizado.
- Eliminar parcialmente los datos cuando ya no sean necesarios estableciendo mecanismos de borrado automático.
Además, únicamente debemos compartir aquellos datos que sean estrictamente necesarios.
Ocultar
Con esta estrategia limitaremos la exposición de los datos garantizando su confidencialidad y desvinculación. Las tácticas a llevar a cabo en este caso son:
- Restringir el acceso a los datos personales mediante controles de acceso.
- Ofuscar: hacer ininteligibles los datos personales para los no autorizados a través de técnicas de cifrado.
- Disociar los datos para impedir su vinculación.
- Agrupar la información referida a varias personas mediante técnicas de generalización y supresión.
Separar
Con esta estrategia se pretende evitar el riesgo de que puedan elaborarse perfiles completos de los individuos mediante tratamientos independientes. Las tácticas a utilizar son:
- Aislar la información recogida en distintas bases de datos
- Distribuir los datos personales que correspondan a diferentes tratamientos en unidades de tramitación y gestión independientes.
Abstraer
Con ello se pretende también limitar al máximo el detalle de los datos personales tratados. Pueden utilizarse las siguientes tácticas:
- Sumarizar: generaliza los valores de los atributos utilizando intervalos o rangos de valores, en lugar de utilizar el valor concreto del campo.
- Agrupar en categorías la información de un grupo de registros en vez de usar la información detallada de las personas que están en el grupo.
- Modificar el dato real o usar valores aproximados en vez de trabajar con el valor exacto del dato personal.
Informar
Con ella se aplica el principio de transparencia que exige que los afectados estén informados en todo momento sobre el tratamiento de sus datos personales. Estos afectados deben conocer el tipo de información que se trata, la finalidad y los terceros a los que se va a comunicar dicha información. Las tácticas a utilizar para cumplir esta estrategia son:
- Proporcionar a los interesados toda la información exigida en el RGPD.
- Facilitar esa información relativa al tratamiento de forma concisa, transparente, inteligible y de fácil acceso utilizando un lenguaje claro y sencillo.
- Comunicar a los interesados el tratamiento de sus datos personales si estos no se han obtenido de ellos. También se comunicarán las cesiones que se vayan a realizar a terceros y las violaciones de seguridad que afecten a esos datos.
Controlar
La intención de esta estrategia es facilitar a los interesados el control sobre el tratamiento de sus datos a través de medios que les permitan ejercer sus derechos, revocar el consentimiento otorgado o modificar las opciones de privacidad. Para ello se usan las siguientes tácticas:
- Solicitar el consentimiento expreso de los usuarios cuando no exista otra base de legitimación y permitirles su revocación en cualquier momento.
- Alertar al usuario de que se están recopilando sus datos personales.
- Aplicar medios que permitan a los usuarios actualizar o modificar los datos proporcionados.
- Facilitar mecanismos para que los usuarios puedan solicitar el borrado de sus datos personales.
Cumplir
Esta estrategia garantiza que se cumple la normativa de Protección de datos en los tratamientos. Las tácticas a usar son:
- Elaborar una política de Protección de datos que refleje las cláusulas de privacidad notificadas a los interesados. Y realizar una formación y concienciación de todos los empleados en esta materia.
- Mantener esa política establecida a través de procedimientos e implantación de medidas de seguridad técnicas y organizativas.
- Garantizar el cumplimiento y la eficacia de esa política de privacidad y de los procedimientos y medidas aplicados.
En esto juega un papel fundamental el Delegado de Protección de datos, ya que debe supervisar el cumplimiento de la normativa y asesorar al responsable del tratamiento.
Demostrar
El responsable del tratamiento debe ser capaz de demostrar ante las autoridades de control y ante los interesados que cumple todos los requisitos establecidos en el RGPD. Se trata de aplicar el principio de responsabilidad proactiva o Accountability recogido en el RGPD. Esta estrategia puede llevarse a cabo con las siguientes tácticas:
- Registrar todas las decisiones que se han tomado, explicando quién, cuándo y porqué se tomaron.
- Auditar sistemática e independientemente el cumplimiento de la política de Protección de datos.
- Documentar los resultados de las auditorías y cualquier incidente producido en el tratamiento de datos. Y ponerlos a disposición de la autoridad de control si lo solicita.
- Realizar los correspondientes análisis de riesgos y Evaluaciones de impacto.
Principales barreras para aplicarlo
Entre los principales impedimentos que pueden existir a la hora de aplicar este principio de Privacy by design podemos destacar:
- Los obstáculos que existen en la dirección de las organizaciones para preveer los riesgos y los beneficios de la protección de datos. La inversión precisa no se entiende como justificada.
- Por razones similares, las empresas proveedoras de soluciones software no ven en la introducción de funcionalidad dirigida a preservar la privacidad una utilidad competitiva, por lo que el software distribuido carece de este tipo de funcionalidad.
- Las seguridad de la información (y aún más las protección de datos) no se incluye aún de forma generalizada como elemento constitutivo importante en el ciclo de desarrollo de software utilizado por las organizaciones.
- Las organizaciones suelen tener dudas sobre cómo implantar soluciones tangibles para cumplir con los requisitos de control de la normativa de Protección de Datos. A esta situación ayuda la ausencia de modelos prácticos a nivel internacional que guíen a las organizaciones en la introducción efectiva de controles.
Resumiendo…
Es fundamental para las empresas disponer de expertos que sigan el principio de privacidad por defecto en el análisis inicial de los productos y servicios de la misma.
De este modo, la empresa podrá:
- protegerse contra posibles reclamaciones,
- elaborar políticas claras para asegurar los datos confidenciales,
- realizar las evaluaciones técnicas precisas, evitando sanciones y restringiendo las responsabilidades penales y civiles de la empresa y sus directivos,
- crear planes de acción en casos de crisis para vigilar las posibles las violaciones de seguridad,
- fijar junto a los departamentos de IT las políticas a aplicar y las medidas a tomar contra posibles incidentes de seguridad o cibernéticos.
La privacidad y la seguridad se han transformado por tanto en un apoyo esencial en cualquier modelo de negocio digital y no digital. La protección de datos es un reto que se debe reglamentar desde el principio y de forma proactiva en las empresas a través de profesionales expertos en privacidad, seguridad y ciberseguridad.
Guía AEPD
La AEPD ha publicado una Guía de Privacidad desde el diseño. En ella se proporcionan pautas para facilitar la incorporación de los principios de protección de datos y los requisitos de privacidad a nuevos productos o servicios desde el momento en el que comienzan a diseñarse.