El concepto de Privacy by Design es uno de los más importantes de los que recoge el Reglamento General de Protección de Datos. Funciona como una especie de pilar básico para que todas las empresas consideren la privacidad y la protección de datos como un elemento fundamental en sus prácticas. En este artículo te explicamos más a fondo en qué consiste esto del Privacy by Design y cómo se debe implantar en la empresa.

¿Qué es Privacy by design?

El origen del Privacy by Design se remonta a una metodología de trabajo iniciada por la Comisionada de Información y Privacidad de Ontario, Ann Cavoukian, en los años 90. En esa época Cavoukian fue consciente de los grandes avances de la tecnología y de las redes de comunicaciones, y de las implicaciones que esto podría tener para la recopilación y circulación indiscriminada de datos personales de los usuarios.

En base a este nuevo escenario, esta especialista en privacidad señaló la necesidad de establecer determinadas pautas para que las empresa actuasen de una forma ética e incluyeran el respeto a la privacidad de los usuarios como uno de los puntos centrales a la hora de ofrecer sus productos o servicios.

Con el paso del tiempo, el Privacy by Design no solo se ha convertido en una serie de criterios basados en buenas intenciones, sino que ha pasado a ser uno de los elementos centrales del RGPD (Reglamento General de Protección de Datos):.

El Privacy by Design en España se traduce como «privacidad desde el diseño«, a lo que la normativa española también añade «y por defecto«. Básicamente, se trata de que la privacidad y protección de datos ha de formar parte fundamental en el diseño de cualquier actuación por parte de una empresa y que, por defecto, cumpla con una serie de requisitos recogidos en las normativas de protección de datos.

Por tanto, y resumiendo los párrafos anteriores, podríamos decir que la definición de Privacy by Design es todo el conjunto de medidas técnicas y organizativas que la empresa ha de poner en marcha para garantizar la privacidad y protección de los datos de los usuarios de acuerdo a las normativas vigentes.

Privacy by design en el RGPD

La protección de datos desde el diseño y por defecto es un concepto al que se alude de forma continua en el RGPD. Sin embargo, podemos encontrar las principales obligaciones que establece en los artículos 25, 42 y 78.

ArtículoS 25 y 78

El artículo 25.1 del RGPD señala que el responsable del tratamiento debe aplicar todas las medidas técnicas y organizativas apropiadas para aplicar de forma efectiva los principios de protección de datos, tanto a la hora de determinar los medios para el tratamiento como a la hora de realizar el tratamiento en sí.

Estas medidas han de tener en cuenta factores como el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos que el tratamiento de datos puede suponer para los usuarios. En base a estos criterios se han de elaborar las medidas adecuadas, que incluirán los procesos de anonimización o minimización de datos pertinentes.

A su vez, el artículo 25.2 del RGPD hace referencia a la protección de datos por defecto, señalando que el responsable del tratamiento ha de aplicar las medidas técnicas y organizativas necesarias para garantizar que, por defecto, solo se tratarán aquellos datos personales imprescindibles para cumplir con la finalidad del tratamiento.Estas exigencias se hacen extensibles tanto a la cantidad de datos recabados como a su plazo de conservación o el acceso de terceros a dichos datos.

El artículo 42 del RGPD se refiere a la posibilidad de que las empresas recurran a un organismo de certificación como elementos que acrediten su cumplimiento de las obligaciones a las que se refieren los artículos 25.1 y 25.2. Estos organismos serán creados y autorizados por los Estados miembros, las autoridades de control, el Comité Europeo o la Comisión Europea, y sus criterios de actuación han de tener en cuenta las características específicas de las pequeñas, medianas y grandes empresas.

Por último, el artículo 78 del RGPD señala la posibilidad de la persona física o jurídica de solicitar una tutela jurídica efectiva ante las decisiones tomadas por las autoridades de control. En este sentido, señala que el interesado tendrá derecho derecho a la tutela judicial en caso de que la autoridad de control pertinente no de luz verde a una reclamación o no responda a dicha reclamación en un plazo de tres meses. Las acciones contra la autoridad de control se deben ejercitar en los tribunales estatales del Estado miembro en el que ésta se encuentre.

Directrices de la Privacidad desde el Diseño

Después de estas normas generales, vamos a profundizar un poco más en las directrices concretas que establece la privacidad desde el diseño y por defecto.

Proactiva no reactiva; preventiva no correctiva

Las actuaciones en materia de privacidad o protección de datos por parte de las empresas no deben responder a fallos o errores, ni tener un carácter correctivo. Al contrario, las medidas se deben aplicar de forma proactiva, de manera que se puedan prever y anticipar aquellos eventos que podrían poner en riesgo la privacidad de los usuarios. Para ello es necesario llevar a cabo una monitorización constante, analizar los riesgos, implementar medidas correctivas y tomar precauciones para que las situaciones de riesgo no se vuelvan a producir.

La privacidad es la configuración predeterminada

Los servicios ofrecidos a los usuarios deben ofrecer de inicio la máxima protección al usuario. Es decir, la configuración predeterminada del servicio ha de ser la que ofrezca mayores garantías para la protección de datos del interesado, sin necesidad de que este realice ajustes en la configuración de la privacidad.

Privacidad integrada en el diseño

La privacidad ha de formar parte de la estructura básica de los productos o servicios ofrecidos. Es decir, se trata de considerar la protección de datos de los usuarios como una parte fundamental desde la creación de dichos productos o servicios, y no como un agregado o un elemento secundario.

Funcionalidad completa

Todas las opciones de protección de datos han de estar disponibles desde el primer momento a través de una funcionalidad completa. Es decir, no deben existir funciones o ventajas adicionales para aquellos que cambien la configuración de privacidad. Al contrario, la protección al usuario debe ser la máxima de base, y será el propio interesado quien tenga la oportunidad de establecer una configuración de privacidad más laxa si así lo desea.

Seguridad completa durante el ciclo de vida

Se basa en el concepto de la seguridad de punto a punto. Esto significa que la protección a la privacidad del usuario ha de extenderse durante todo el período de tratamiento de datos, desde su recogida hasta su destrucción. Los datos nunca han de mantenerse en bases de datos no usadas o en dispositivos antiguos, ni tampoco se permitirá el acceso de terceros a dicha información sin consentimiento.

Visibilidad y transparencia

El usuario tiene derecho a ser informado en todo momento acerca de a información que se recoge sobre él, durante cuando tiempo se va a conservar, la finalidad del tratamiento o si la información se va a ceder a terceros. En este sentido, el usuario también tiene derecho a recurrir a entidades independientes para la elaboración de auditorías que confirmen que sus datos están siendo tratados de acuerdo a la normativa y que su información está debidamente protegida.

¿Que supone para las empresas?

El Privacy by Design, como el RGPD en general, establece nuevas exigencias y obligaciones para las empresas en materia de protección de datos. Ahora el interesado tiene mucho más poder de decisión sobre la forma en la que se utiliza su información, y las empresa deben adaptarse a estos nuevos requisitos.

Esto implica que el Privacy by Design supone la necesidad de implantar nuevas formas de trabajar en las empresas. La privacidad deja de ser un elemento secundario para convertirse en un pilar central fundamental e indisoluble del resto de prácticas empresariales.

Ejemplo de aplicación

Imaginemos que la empresa XYZ está dedicada al desarrollo de software y tiene un proyecto para crear una app orientada a empresas para controlar la jornada laboral de los trabajadores.

Para respetar los principios del Privacy by Design, la empresa XYZ ha de tener en cuenta una serie de cuestiones:

  • Identificar desde el inicio los datos que se van a tratar.
  • Informar sobre la finalidad del tratamiento, la cesión de datos a terceros (las empresas que compren la app o socios de la desarrolladora, por ejemplo) o el plazo de conservación de los datos.
  • Aplicar las medidas necesarias para garantizar la protección de datos de los usuarios y la confidencialidad de la información.
  • Configurar los ajustes de privacidad de forma que ofrezcan por defecto la máxima privacidad.
  • Realizar auditorías y análisis previos con datos ficticios para asegurarse, antes de que la app salga al mercado, que cumple con lo dispuesto en el RGPD sobre la privacidad by design.

En resumen, el Privacy by Design no funciona como un concepto aislado, sino que es todo un conjunto de pautas de actuación que se han de implantar en todo proceso de la empresa, con el objetivo de garantizar la privacidad y protección de datos de los usuarios..

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.