Privacidad desde el diseño en el Reglamento europeo de Protección de Datos

Ana González

hace 8 años

En esta serie de artículos en que vamos desgranando las novedades que introduce el Reglamento europeo de Protección de Datos, hoy toca hablar de la llamada «Privacy by design» o, lo que es lo mismo, Privacidad desde el diseño. ¿Qué significa Privacidad desde el diseño? ¿Por qué se regula expresamente en esta normativa europea? ¿Qué supone para las empresas su aplicación? ¿Se trata de un nuevo principio o de un derecho fundamental?

¿Qué es la Privacidad desde el diseño?

La privacidad desde el diseño y por defecto consiste en aplicar todas las medidas técnicas y organizativas necesarias para garantizar la seguridad e integridad de los datos de los interesados antes realizar un tratamiento de sus datos personales.

Todos los activos información útiles de cualquier empresa debe de estar organizados y adecuadamente protegidos y para esto es necesario que todas las personas que manejan esa información posean una formación adecuada, al tiempo que estén instaurados unos procedimientos claros para su uso e información en tiempo real.

Implantación en las empresas

La protección de los datos de carácter personal es esencial para empresas que, ubicadas en España o en otro país, utilicen datos de carácter personal en su negocio tales como creadores de aplicaciones, software, o patentes que empleen datos personales, para entidades que comercialicen bienes o servicios a través de Internet, empresas que se realicen actividades de marketing, y en concreto, marketing digital, así como entidades del sector público en sus vínculos con usuarios y clientes.

Todas las empresas que manejen datos personales deben protegerlos considerando todo el ciclo vital de la tecnología.

Para proceder a implantar estas medidas, y garantizar una adecuada observancia de la legalidad, se debe tener en cuenta lo que se conoce como privacidad desde el diseño o a medida o privacy by design.

¿Qué supone para las empresas esta Privacy by design?

Esta Privacidad desde el diseño supone que a la hora de determinar los requisitos del diseño de la aplicación o sistemas que debamos usar dentro de nuestra empresa y/o desde el momento en que se recopila un dato, es esencial considerar las necesidades especiales de protección de la privacidad de la información junto con el resto de aspectos técnicos y no técnicos. De esta manera, se garantiza la privacidad y control de la información de la organización.

Por ello, teniendo en cuenta estos aspectos desde el principio, se impedirá tener que redefinir los sistemas continuamente en lo referido a este aspecto, y por tanto, un aumento en el coste de su mantenimiento, ya que muchas veces son asuntos difíciles de salvar después de que el diseño básico haya sido confeccionado.

La magnitud de las medidas de privacidad tiene que ser proporcionada a la sensibilidad de los datos. Además, la protección y privacidad de la información debe considerarse dentro de la organización como una forma de funcionamiento por defecto.

¿Quiénes están obligados a proteger los datos desde el diseño?

La obligación de proteger los datos desde el diseño corresponde a todos los responsables del tratamiento, independientemente del tipo de datos tratados, del tamaño de la empresa o la naturaleza de ese tratamiento.

Esto significa que deben aplicar las adecuadas medidas de seguridad, además de en el propio tratamiento, al establecer los medios de tratamiento que se van a utilizar.

La privacidad desde el diseño es un requisito exigido por el RGPD y su incumplimiento es sancionable.

Pero además de los responsables del tratamiento, están obligado a cumplir este principio los desarrolladores de aplicaciones o productos, los fabricantes de dispositivos y los proveedores de servicios. Estos deben tener en cuenta la protección de datos en el momento de diseñar los servicios, productos y aplicaciones. Y el responsable del tratamiento debe elegir aquellos encargados, productos y servicios que garanticen el cumplimiento de los requisitos del RGPD, entre ellos la privacidad desde el diseño.

Regulación de la Privacidad por diseño en el RGPD

El hecho de que la privacidad por diseño se establezca como obligación legal exigible tras la entrada en vigor del Reglamento Europeo de Protección de Datos ha sido estimado como un factor muy positivo, ya que va a actuar como elemento coercitivo para concienciar a las compañías y a las organizaciones de la necesidad de imponer medidas de prevención correctas, desde la propia percepción del tratamiento, fortaleciendo así una buena práctica que actúa en favor de la competitividad individual de las organizaciones y de la conservación de un entorno más fuerte respecto a gestión de la información y la seguridad de los sistemas informáticos.

En caso de incumplimiento del RGPD las empresas no sólo se enfrentarán a sanciones por valor de millones de euros, sino a una pérdida reputacional que ponga más en tela de juicio todavía las políticas de privacidad en Europa.

De igual forma que otras exigencias recogidas en esta normativa europea, el fomento de los principios reclamables de privacidad por defecto y desde el diseño, tiene cierta dosis de imprecisión, en cuanto a su aplicación práctica, que los legisladores tendrán que completar y definir.

La instauración práctica de la privacidad desde el diseño y por defecto, obliga a las Administraciones Públicas a proporcionar los recursos necesarios para realizar actuaciones orientadas a sensibilizar y ayudar a las empresas en la formación necesaria, fundamentalmente en el sector de la pequeña y mediana empresa, y el conocimiento práctico preciso, desde una perspectiva de concienciación positiva, para implantar las medidas preventivas desde el propio diseño de la actividad, proceso, negocio, sistema, herramienta de gestión de datos, etc. con el fin de proporcionar las garantías suficientes para proteger la privacidad y el derecho fundamental a la protección de datos personales.

Principios de Privacy by design

La fuerza de las medidas de privacidad tiende a estar en consonancia con la sensibilidad de los datos, estableciendo siete principios en los que debe basarse esta Privacidad desde el diseño. Estos principios son:

Proactivo, no Reactivo; Preventivo no Correctivo

El encuadre de Privacidad por el Diseño está representado por medidas proactivas, en vez de reactivas. Preve y previene supuestos de ataques a la privacidad con anterioridad a que estos ocurran. Privacidad por el Diseño no espera a que los riesgos se produzcan, ni establece remedios para solucionar infracciones de privacidad una vez que ya tuvieron lugar, su objetivo es impedir que se produzcan. Es decir, Privacidad por el Diseño llega antes del suceso, no después.

Privacidad como la Configuración Predeterminada

La Privacidad por el Diseño pretende otorgar el máximo grado de privacidad garantizando que los datos personales estén asegurados de forma automática en cualquier sistema de IT o en cualquier práctica de negocios. Si una la persona no adopta una acción, aun así la privacidad permanece intacta. No se exige ninguna acción por parte de la persona para proteger la privacidad.

Privacidad Incrustada en el Diseño

La Privacidad por el Diseño está grabada en el diseño y la arquitectura de los sistemas de Tecnologías de Información y en las prácticas de negocios. No está adherida como un suplemento, después del incidente. La consecuencia es que la privacidad pasa a ser un componente esencial de la funcionalidad central. La privacidad es parte total del sistema, sin mermar su funcionalidad.

Funcionalidad Total

“Todos ganan”, no “Si alguien gana, otro pierde” Privacidad por el Diseño busca adecuar todos los intereses y objetivos legítimos de una manera “ganar-ganar”, no a través de un método obsoleto de “si alguien gana, otro pierde”, donde se efectúan privilegios innecesarios. Privacidad por el Diseño impide la hipocresía de las falsas dualidades, tales como privacidad versus seguridad, mostrando que sí se puede tener ambas a la vez.

Seguridad Extremo-a-Extremo – Protección de ciclo de vida entero

La Privacidad por el Diseño se propaga de forma segura a través del ciclo de vida completo de los datos afectados. Las medidas de seguridad fuertes son fundamentales para la privacidad, de principio a fin. Esto asegura que todos los datos son conservados de forma segura, y luego destruidos también con seguridad al final del proceso, sin dilación. Por lo tanto, la Privacidad por el Diseño garantiza un tratamiento seguro del ciclo de vida de la información, desde la cuna hasta la tumba, desde un extremo hacia el otro.

Visibilidad y Transparencia

La Privacidad por el Diseño pretende proteger a todos los involucrados y, cualquiera que sea la práctica de negocios o tecnología afectada, esté actuando según las promesas y objetivos declarados, sujeta a supervisión independiente. Sus partes, componentes y operaciones se mantienen visibles y transparentes, a usuarios y a proveedores. Recuerde, confíe pero verifique.

Respeto por la Privacidad de los Usuarios

Hay que sustentar una perspectiva centrada en el usuario por encima de todo, la Privacidad por el Diseño exige que los arquitectos y operadores mantengan en un nivel superior los intereses de las personas, ofreciendo medidas de privacidad robustas, notificación adecuada, y permitiendo opciones accesibles para el usuario. Por tanto, el usuario en el centro de las prioridades.

Objetivos de seguridad y privacidad

A la hora de diseñar sistemas de confianza y seguros se ha tenido en cuenta el análisis de los riesgos y el establecimiento de respuestas a las amenazas que afectan a los objetivos de seguridad relacionados con la privacidad:

Confidencialidad: impedir accesos no autorizados a los sistemas
Integridad: evitar modificaciones de la información no autorizadas
Disponibilidad: asegurar que sea posible acceder a los datos cuando sea necesario

Pero también existen otro tipo de riesgos que pueden ocurrir a la hora de tratar los datos y es necesario que sean identificados. Dentro de esos riesgos podemos destacar:

Recopilación excesiva de datos
Pérdida de autonomía en la toma de decisiones
Discriminación de las personas
Re-identificación
Desconocimiento de los usuarios del alcance y riesgos de un tratamiento incorrecto o no legitimado

Teniendo en cuenta estos riesgos para la privacidad, las empresas deben ampliar los análisis de riesgos que tenga en cuenta tanto los riesgos derivados de un tratamiento no autorizado como aquellos surgidos de un tratamiento legítimo.

Para ello, en los análisis es preciso incluir tres nuevos objetivos de protección de la privacidad que analizamos a continuación.

Desvinculación

Con esto se pretende que el tratamiento de datos en un determinado sistema no pueda vincularse con los datos personales de otro sistema. Con ello se reduce el riesgo de tratamientos no autorizados y la elaboración de perfiles relacionando información correspondiente a diferentes conjuntos de datos.

La desvinculación garantiza los principios de minimización de datos, limitación de la finalidad y limitación del plazo de conservación.

Transparencia

Con ello se pretende que los afectados puedan entender siempre los motivos de la recopilación, tratamiento y uso de sus datos personales. Las partes deben tener a su disposición en cualquier momento la información sobre las finalidades y las condiciones organizativas, técnicas y legales aplicables.

Control

Con este objetivo se garantiza que las partes afectadas por el tratamiento de datos puedan intervenir en cualquier momento en ese tratamiento para aplicar las necesarias medidas correctivas. Esto está relacionado con la posibilidad de ejercicio de sus derechos por los interesados, la presentación de reclamación o la revocación de consentimientos. Con esto se cumplen los principios de exactitud y responsabilidad proactiva exigidos en el RGPD.

Objetivos de Protección de la privacidad

DESVINCULACIÓN	TRANSPARENCIA	CONTROL
Minimización de datos Limitación del plazo de conservación Integridad y confidencialidad	Licitud, lealtad y transparencia Limitación de la finalidad	Limitación de la finalidad Exactitud Integridad y confidencialidad Responsabilidad proactiva

Estrategias de diseño de la privacidad

Las estrategias para diseñar la privacidad en los tratamientos de datos se dividen en dos categorías:

Las dirigidas al tratamiento de datos:
- Minimizar
- Ocultar
- Separar
- Abstraer
Las orientadas a los procesos:
- Informar
- Controlar
- Cumplir
- Demostrar

Veamos cada una de ellas.

Minimizar

Esta estrategia pretende que se recopilen y traten la menor cantidad de datos posible para evitar tratar datos innecesarios. Las tácticas que pueden utilizarse son:

Seleccionar una muestra de personas y datos necesarios según un criterio determinado.
Excluir aquellos individuos y datos que sean irrelevantes para el tratamiento realizado.
Eliminar parcialmente los datos cuando ya no sean necesarios estableciendo mecanismos de borrado automático.

Además, únicamente debemos compartir aquellos datos que sean estrictamente necesarios.

Ocultar

Con esta estrategia limitaremos la exposición de los datos garantizando su confidencialidad y desvinculación. Las tácticas a llevar a cabo en este caso son:

Restringir el acceso a los datos personales mediante controles de acceso.
Ofuscar: hacer ininteligibles los datos personales para los no autorizados a través de técnicas de cifrado.
Disociar los datos para impedir su vinculación.
Agrupar la información referida a varias personas mediante técnicas de generalización y supresión.

Separar

Con esta estrategia se pretende evitar el riesgo de que puedan elaborarse perfiles completos de los individuos mediante tratamientos independientes. Las tácticas a utilizar son:

Aislar la información recogida en distintas bases de datos
Distribuir los datos personales que correspondan a diferentes tratamientos en unidades de tramitación y gestión independientes.

Abstraer

Con ello se pretende también limitar al máximo el detalle de los datos personales tratados. Pueden utilizarse las siguientes tácticas:

Sumarizar: generaliza los valores de los atributos utilizando intervalos o rangos de valores, en lugar de utilizar el valor concreto del campo.
Agrupar en categorías la información de un grupo de registros en vez de usar la información detallada de las personas que están en el grupo.
Modificar el dato real o usar valores aproximados en vez de trabajar con el valor exacto del dato personal.

Informar

Con ella se aplica el principio de transparencia que exige que los afectados estén informados en todo momento sobre el tratamiento de sus datos personales. Estos afectados deben conocer el tipo de información que se trata, la finalidad y los terceros a los que se va a comunicar dicha información. Las tácticas a utilizar para cumplir esta estrategia son:

Proporcionar a los interesados toda la información exigida en el RGPD.
Facilitar esa información relativa al tratamiento de forma concisa, transparente, inteligible y de fácil acceso utilizando un lenguaje claro y sencillo.
Comunicar a los interesados el tratamiento de sus datos personales si estos no se han obtenido de ellos. También se comunicarán las cesiones que se vayan a realizar a terceros y las violaciones de seguridad que afecten a esos datos.

Controlar

La intención de esta estrategia es facilitar a los interesados el control sobre el tratamiento de sus datos a través de medios que les permitan ejercer sus derechos, revocar el consentimiento otorgado o modificar las opciones de privacidad. Para ello se usan las siguientes tácticas:

Solicitar el consentimiento expreso de los usuarios cuando no exista otra base de legitimación y permitirles su revocación en cualquier momento.
Alertar al usuario de que se están recopilando sus datos personales.
Aplicar medios que permitan a los usuarios actualizar o modificar los datos proporcionados.
Facilitar mecanismos para que los usuarios puedan solicitar el borrado de sus datos personales.

Cumplir

Esta estrategia garantiza que se cumple la normativa de Protección de datos en los tratamientos. Las tácticas a usar son:

Elaborar una política de Protección de datos que refleje las cláusulas de privacidad notificadas a los interesados. Y realizar una formación y concienciación de todos los empleados en esta materia.
Mantener esa política establecida a través de procedimientos e implantación de medidas de seguridad técnicas y organizativas.
Garantizar el cumplimiento y la eficacia de esa política de privacidad y de los procedimientos y medidas aplicados.

En esto juega un papel fundamental el Delegado de Protección de datos, ya que debe supervisar el cumplimiento de la normativa y asesorar al responsable del tratamiento.

Demostrar

El responsable del tratamiento debe ser capaz de demostrar ante las autoridades de control y ante los interesados que cumple todos los requisitos establecidos en el RGPD. Se trata de aplicar el principio de responsabilidad proactiva o Accountability recogido en el RGPD. Esta estrategia puede llevarse a cabo con las siguientes tácticas:

Registrar todas las decisiones que se han tomado, explicando quién, cuándo y porqué se tomaron.
Auditar sistemática e independientemente el cumplimiento de la política de Protección de datos.
Documentar los resultados de las auditorías y cualquier incidente producido en el tratamiento de datos. Y ponerlos a disposición de la autoridad de control si lo solicita.
Realizar los correspondientes análisis de riesgos y Evaluaciones de impacto.

Principales barreras para aplicarlo

Entre los principales impedimentos que pueden existir a la hora de aplicar este principio de Privacy by design podemos destacar:

Los obstáculos que existen en la dirección de las organizaciones para preveer los riesgos y los beneficios de la protección de datos. La inversión precisa no se entiende como justificada.
Por razones similares, las empresas proveedoras de soluciones software no ven en la introducción de funcionalidad dirigida a preservar la privacidad una utilidad competitiva, por lo que el software distribuido carece de este tipo de funcionalidad.
Las seguridad de la información (y aún más las protección de datos) no se incluye aún de forma generalizada como elemento constitutivo importante en el ciclo de desarrollo de software utilizado por las organizaciones.
Las organizaciones suelen tener dudas sobre cómo implantar soluciones tangibles para cumplir con los requisitos de control de la normativa de Protección de Datos. A esta situación ayuda la ausencia de modelos prácticos a nivel internacional que guíen a las organizaciones en la introducción efectiva de controles.

Resumiendo…

Es fundamental para las empresas disponer de expertos que sigan el principio de privacidad por defecto en el análisis inicial de los productos y servicios de la misma.

De este modo, la empresa podrá:

protegerse contra posibles reclamaciones,
elaborar políticas claras para asegurar los datos confidenciales,
realizar las evaluaciones técnicas precisas, evitando sanciones y restringiendo las responsabilidades penales y civiles de la empresa y sus directivos,
crear planes de acción en casos de crisis para vigilar las posibles las violaciones de seguridad,
fijar junto a los departamentos de IT las políticas a aplicar y las medidas a tomar contra posibles incidentes de seguridad o cibernéticos.

La privacidad y la seguridad se han transformado por tanto en un apoyo esencial en cualquier modelo de negocio digital y no digital. La protección de datos es un reto que se debe reglamentar desde el principio y de forma proactiva en las empresas a través de profesionales expertos en privacidad, seguridad y ciberseguridad.

Guía AEPD

La AEPD ha publicado una Guía de Privacidad desde el diseño. En ella se proporcionan pautas para facilitar la incorporación de los principios de protección de datos y los requisitos de privacidad a nuevos productos o servicios desde el momento en el que comienzan a diseñarse.

¿Necesitas cumplir el RGPD?

Solicita varios presupuestos