Ayuda Ley Protección Datos

Privacidad desde el diseño en el Reglamento europeo de Protección de Datos

En esta serie de artículos en que vamos desgranando las novedades que introduce el Reglamento europeo de Protección de Datos, hoy toca hablar de la llamada «Privacy by design» o, lo que es lo mismo, Privacidad desde el diseño. ¿Qué significa Privacidad desde el diseño? ¿Por qué se regula expresamente en esta normativa europea? ¿Qué supone para las empresas su aplicación? ¿Se trata de un nuevo principio o de un derecho fundamental?

¿Qué es la Privacidad desde el diseño?

La privacidad desde el diseño y por defecto consiste en aplicar todas las medidas técnicas y organizativas necesarias para garantizar la seguridad e integridad de los datos de los interesados antes realizar un tratamiento de sus datos personales.

Todos los activos información útiles de cualquier empresa debe de estar organizados y adecuadamente protegidos y para esto es necesario que todas las personas que manejan esa información posean una formación adecuada, al tiempo que estén instaurados unos procedimientos claros para su uso e información en tiempo real.

Implantación en las empresas

La protección de los datos de carácter personal es esencial para empresas que, ubicadas en España o en otro país, utilicen datos de carácter personal en su negocio tales como creadores de aplicaciones, software, o patentes que empleen  datos personales,  para entidades que comercialicen bienes o servicios a través de Internet,  empresas que se realicen actividades de marketing, y en concreto, marketing digital, así  como entidades del sector público en sus vínculos con usuarios y clientes.

Todas las empresas que manejen datos personales deben protegerlos considerando todo el ciclo vital de la tecnología.

Para proceder a implantar estas medidas, y garantizar una adecuada observancia de la legalidad, se debe tener en cuenta lo que se conoce como privacidad desde el diseño o a medida o privacy by design.

¿Qué supone para las empresas esta Privacy by design?

Esta Privacidad desde el diseño supone que a la hora de determinar los requisitos del diseño de la aplicación o sistemas que debamos usar dentro de nuestra empresa y/o desde el momento en que se recopila un dato, es esencial considerar las necesidades especiales de protección de la privacidad de la información junto con el resto de aspectos técnicos y no técnicos. De esta manera, se garantiza la privacidad y control de la información de la organización.

Por ello, teniendo en cuenta estos aspectos desde el principio, se impedirá tener que redefinir los sistemas continuamente en lo referido a este aspecto, y por tanto, un aumento en el coste de su mantenimiento, ya que muchas veces son asuntos difíciles de salvar después de que el diseño básico haya sido confeccionado.

La magnitud de las medidas de privacidad tiene que ser proporcionada a la sensibilidad de los datos. Además, la protección y privacidad de la información debe considerarse dentro de la organización como una forma de funcionamiento por defecto.

¿Quiénes están obligados a proteger los datos desde el diseño?

La obligación de proteger los datos desde el diseño corresponde a todos los responsables del tratamiento, independientemente del tipo de datos tratados, del tamaño de la empresa o la naturaleza de ese tratamiento.

Esto significa que deben aplicar las adecuadas medidas de seguridad, además de en el propio tratamiento, al establecer los medios de tratamiento que se van a utilizar.

La privacidad desde el diseño es un requisito exigido por el RGPD y su incumplimiento es sancionable.

Pero además de los responsables del tratamiento, están obligado a cumplir este principio los desarrolladores de aplicaciones o productos, los fabricantes de dispositivos y los proveedores de servicios. Estos deben tener en cuenta la protección de datos en el momento de diseñar los servicios, productos y aplicaciones. Y el responsable del tratamiento debe elegir aquellos encargados, productos y servicios que garanticen el cumplimiento de los requisitos del RGPD, entre ellos la privacidad desde el diseño.

Regulación de la Privacidad por diseño en el RGPD

El hecho de que la privacidad por diseño se establezca como obligación legal exigible tras la entrada en vigor del Reglamento Europeo de Protección de Datos ha sido estimado como un factor muy positivo, ya que va a actuar como elemento coercitivo para concienciar a las compañías y a las organizaciones de la necesidad de imponer medidas de prevención correctas, desde la propia percepción del tratamiento, fortaleciendo así una buena práctica que actúa en favor de la competitividad individual de las organizaciones y de la conservación de un entorno más fuerte respecto a gestión de la información y la seguridad de los sistemas informáticos.

En caso de incumplimiento del RGPD las empresas no sólo se enfrentarán a sanciones por valor de millones de euros, sino a una pérdida reputacional que ponga más en tela de juicio todavía las políticas de privacidad en Europa.

De igual forma que otras exigencias recogidas en esta normativa europea, el fomento de los principios reclamables de privacidad por defecto y desde el diseño, tiene cierta dosis de imprecisión, en cuanto a su aplicación práctica, que los legisladores tendrán que completar y definir.

La instauración práctica de la privacidad desde el diseño y por defecto, obliga a las Administraciones Públicas a proporcionar los recursos necesarios para realizar actuaciones orientadas a sensibilizar y ayudar a las empresas en la formación necesaria, fundamentalmente en el sector de la pequeña y mediana empresa, y el conocimiento práctico preciso, desde una perspectiva de concienciación positiva, para implantar las medidas preventivas desde el propio diseño de la actividad, proceso, negocio, sistema, herramienta de gestión de datos, etc. con el fin de proporcionar las garantías suficientes para proteger la privacidad y el derecho fundamental a la protección de datos personales.

Principios de Privacy by design

La fuerza de las medidas de privacidad tiende a estar en consonancia con la sensibilidad de los datos, estableciendo siete principios en los que debe basarse esta Privacidad desde el diseño. Estos principios son:

Objetivos de seguridad y privacidad

A la hora de diseñar sistemas de confianza y seguros se ha tenido en cuenta el análisis de los riesgos y el establecimiento de respuestas a las amenazas que afectan a los objetivos de seguridad relacionados con la privacidad:

Pero también existen otro tipo de riesgos que pueden ocurrir a la hora de tratar los datos y es necesario que sean identificados. Dentro de esos riesgos podemos destacar:

Teniendo en cuenta estos riesgos para la privacidad, las empresas deben ampliar los análisis de riesgos que tenga en cuenta tanto los riesgos derivados de un tratamiento no autorizado como aquellos surgidos de un tratamiento legítimo.

Para ello, en los análisis es preciso incluir tres nuevos objetivos de protección de la privacidad que analizamos a continuación.

Desvinculación

Con esto se pretende que el tratamiento de datos en un determinado sistema no pueda vincularse con los datos personales de otro sistema. Con ello se reduce el riesgo de tratamientos no autorizados y la elaboración de perfiles relacionando información correspondiente a diferentes conjuntos de datos.

La desvinculación garantiza los principios de minimización de datos, limitación de la finalidad y limitación del plazo de conservación.

Transparencia

Con ello se pretende que los afectados puedan entender siempre los motivos de la recopilación, tratamiento y uso de sus datos personales. Las partes deben tener a su disposición en cualquier momento la información sobre las finalidades y las condiciones organizativas, técnicas y legales aplicables.

Control

Con este objetivo se garantiza que las partes afectadas por el tratamiento de datos puedan intervenir en cualquier momento en ese tratamiento para aplicar las necesarias medidas correctivas. Esto está relacionado con la posibilidad de ejercicio de sus derechos por los interesados, la presentación de reclamación o la revocación de consentimientos. Con esto se cumplen los principios de exactitud y responsabilidad proactiva exigidos en el RGPD.

Objetivos de Protección de la privacidad

DESVINCULACIÓN TRANSPARENCIA CONTROL
Minimización de datos
Limitación del plazo de conservación
Integridad y confidencialidad
Licitud, lealtad y transparencia
Limitación de la finalidad
Limitación de la finalidad
Exactitud
Integridad y confidencialidad
Responsabilidad proactiva

Estrategias de diseño de la privacidad

Las estrategias para diseñar la privacidad en los tratamientos de datos se dividen en dos categorías:

Veamos cada una de ellas.

Minimizar

Esta estrategia pretende que se recopilen y traten la menor cantidad de datos posible para evitar tratar datos innecesarios. Las tácticas que pueden utilizarse son:

Además, únicamente debemos compartir aquellos datos que sean estrictamente necesarios.

Ocultar

Con esta estrategia limitaremos la exposición de los datos garantizando su confidencialidad y desvinculación. Las tácticas a llevar a cabo en este caso son:

Separar

Con esta estrategia se pretende evitar el riesgo de que puedan elaborarse perfiles completos de los individuos mediante tratamientos independientes. Las tácticas a utilizar son:

Abstraer

Con ello se pretende también limitar al máximo el detalle de los datos personales tratados. Pueden utilizarse las siguientes tácticas:

Informar

Con ella se aplica el principio de transparencia que exige que los afectados estén informados en todo momento sobre el tratamiento de sus datos personales. Estos afectados deben conocer el tipo de información que se trata, la finalidad y los terceros a los que se va a comunicar dicha información. Las tácticas a utilizar para cumplir esta estrategia son:

Controlar

La intención de esta estrategia es facilitar a los interesados el control sobre el tratamiento de sus datos a través de medios que les permitan ejercer sus derechos, revocar el consentimiento otorgado o modificar las opciones de privacidad. Para ello se usan las siguientes tácticas:

Cumplir

Esta estrategia garantiza que se cumple la normativa de Protección de datos en los tratamientos. Las tácticas a usar son:

En esto juega un papel fundamental el Delegado de Protección de datos, ya que debe supervisar el cumplimiento de la normativa y asesorar al responsable del tratamiento.

Demostrar

El responsable del tratamiento debe ser capaz de demostrar ante las autoridades de control y ante los interesados que cumple todos los requisitos establecidos en el RGPD. Se trata de aplicar el principio de responsabilidad proactiva o Accountability recogido en el RGPD. Esta estrategia puede llevarse a cabo con las siguientes tácticas:

Principales barreras para aplicarlo

Entre los principales impedimentos que pueden existir a la hora de aplicar este principio de Privacy by design podemos destacar:

Resumiendo…

Es fundamental para las empresas disponer de expertos  que sigan el principio de privacidad por defecto en el análisis inicial de los productos y servicios de la misma.

De este modo, la empresa podrá:

La privacidad y la seguridad se han transformado por tanto en un apoyo esencial en cualquier modelo de negocio digital y no digital. La protección de datos es un reto que se debe reglamentar desde el principio y de forma proactiva en las empresas a través de profesionales expertos en privacidad, seguridad y ciberseguridad.

Guía AEPD

La AEPD ha publicado una Guía de Privacidad desde el diseño. En ella se proporcionan pautas para facilitar la incorporación de los principios de protección de datos y los requisitos de privacidad a nuevos productos o servicios desde el momento en el que comienzan a diseñarse.

¿Necesitas cumplir el RGPD?

Solicita varios presupuestos