[{"@context":"http:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/ayudaleyprotecciondatos.es\/2020\/11\/11\/privacy-by-design\/#BlogPosting","mainEntityOfPage":"https:\/\/ayudaleyprotecciondatos.es\/2020\/11\/11\/privacy-by-design\/","headline":"Privacy by Design. Todo lo que necesitas saber","name":"Privacy by Design. Todo lo que necesitas saber","description":"\u00bfQu\u00e9 significa el concepto de Privacy by Design? \u00bfC\u00f3mo deben adaptarse las empresas a los requisitos de la privacidad desde el dise\u00f1o y por defecto?","datePublished":"2020-11-11","dateModified":"2020-11-19","author":{"@type":"Person","@id":"https:\/\/ayudaleyprotecciondatos.es\/author\/ferkurt21\/#Person","name":"Fernando Tablado","url":"https:\/\/ayudaleyprotecciondatos.es\/author\/ferkurt21\/","image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/44a22e5e73783cc104da9c4ab11587bc?s=96&d=blank&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/44a22e5e73783cc104da9c4ab11587bc?s=96&d=blank&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"AyudaLeyProteccionDatos","logo":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2020\/11\/privacy-by-design.jpg","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2020\/11\/privacy-by-design.jpg","height":813,"width":1400},"url":"https:\/\/ayudaleyprotecciondatos.es\/2020\/11\/11\/privacy-by-design\/","about":["LOPDGDD & RGPD","PRIVACIDAD"],"wordCount":1756,"articleBody":" if (typeof BingeIframeRan === \"undefined\") { window.addEventListener(\"message\", receiveMessage, false); function receiveMessage(event) { try { var parsed = JSON.parse(event.data) if (parsed.context === \"iframe.resize\") { var iframes = document.getElementsByClassName(\"binge-iframe\"); for (let i = 0; i < iframes.length; ++i) { if (iframes[i].src == parsed.src || iframes[i].contentWindow === event.source) { iframes[i].height = parsed.height; } iframes[i].style.opacity = 1; } } } catch (error) { } } var BingeIframeRan = true; } El concepto de Privacy by Design es uno de los m\u00e1s importantes de los que recoge el Reglamento General de Protecci\u00f3n de Datos. Funciona como una especie de pilar b\u00e1sico para que todas las empresas consideren la privacidad y la protecci\u00f3n de datos como un elemento fundamental en sus pr\u00e1cticas. En este art\u00edculo te explicamos m\u00e1s a fondo en qu\u00e9 consiste esto del Privacy by Design y c\u00f3mo se debe implantar en la empresa.\u00bfQu\u00e9 es Privacy by design?Privacy by design en el RGPDArt\u00edculoS 25 y 78Directrices de la Privacidad desde el Dise\u00f1oProactiva no reactiva; preventiva no correctivaLa privacidad es la configuraci\u00f3n predeterminadaPrivacidad integrada en el dise\u00f1oFuncionalidad completaSeguridad completa durante el ciclo de vidaVisibilidad y transparencia\u00bfQue supone para las empresas?Ejemplo de aplicaci\u00f3n\u00bfQu\u00e9 es Privacy by design?El origen del Privacy by Design se remonta a una metodolog\u00eda de trabajo iniciada por la Comisionada de Informaci\u00f3n y Privacidad de Ontario, Ann Cavoukian, en los a\u00f1os 90. En esa \u00e9poca Cavoukian fue consciente de los grandes avances de la tecnolog\u00eda y de las redes de comunicaciones, y de las implicaciones que esto podr\u00eda tener para la recopilaci\u00f3n y circulaci\u00f3n indiscriminada de datos personales de los usuarios.En base a este nuevo escenario, esta especialista en privacidad se\u00f1al\u00f3 la necesidad de establecer determinadas pautas para que las empresa actuasen de una forma \u00e9tica e incluyeran el respeto a la privacidad de los usuarios como uno de los puntos centrales a la hora de ofrecer sus productos o servicios.Con el paso del tiempo, el Privacy by Design no solo se ha convertido en una serie de criterios basados en buenas intenciones, sino que ha pasado a ser uno de los elementos centrales del RGPD (Reglamento General de Protecci\u00f3n de Datos):.El Privacy by Design en Espa\u00f1a se traduce como \u00abprivacidad desde el dise\u00f1o\u00ab, a lo que la normativa espa\u00f1ola tambi\u00e9n a\u00f1ade \u00aby por defecto\u00ab. B\u00e1sicamente, se trata de que la privacidad y protecci\u00f3n de datos ha de formar parte fundamental en el dise\u00f1o de cualquier actuaci\u00f3n por parte de una empresa y que, por defecto, cumpla con una serie de requisitos recogidos en las normativas de protecci\u00f3n de datos.Por tanto, y resumiendo los p\u00e1rrafos anteriores, podr\u00edamos decir que la definici\u00f3n de Privacy by Design es todo el conjunto de medidas t\u00e9cnicas y organizativas que la empresa ha de poner en marcha para garantizar la privacidad y protecci\u00f3n de los datos de los usuarios de acuerdo a las normativas vigentes.Privacy by design en el RGPDLa protecci\u00f3n de datos desde el dise\u00f1o y por defecto es un concepto al que se alude de forma continua en el RGPD. Sin embargo, podemos encontrar las principales obligaciones que establece en los art\u00edculos 25, 42 y 78.Art\u00edculoS 25 y 78El art\u00edculo 25.1 del RGPD se\u00f1ala que el responsable del tratamiento debe aplicar todas las medidas t\u00e9cnicas y organizativas apropiadas para aplicar de forma efectiva los principios de protecci\u00f3n de datos, tanto a la hora de determinar los medios para el tratamiento como a la hora de realizar el tratamiento en s\u00ed.Estas medidas han de tener en cuenta factores como el estado de la t\u00e9cnica, el coste de la aplicaci\u00f3n y la naturaleza, \u00e1mbito, contexto y fines del tratamiento, as\u00ed como los riesgos que el tratamiento de datos puede suponer para los usuarios. En base a estos criterios se han de elaborar las medidas adecuadas, que incluir\u00e1n los procesos de anonimizaci\u00f3n o minimizaci\u00f3n de datos pertinentes.A su vez, el art\u00edculo 25.2 del RGPD hace referencia a la protecci\u00f3n de datos por defecto, se\u00f1alando que el responsable del tratamiento ha de aplicar las medidas t\u00e9cnicas y organizativas necesarias para garantizar que, por defecto, solo se tratar\u00e1n aquellos datos personales imprescindibles para cumplir con la finalidad del tratamiento.Estas exigencias se hacen extensibles tanto a la cantidad de datos recabados como a su plazo de conservaci\u00f3n o el acceso de terceros a dichos datos.El art\u00edculo 42 del RGPD se refiere a la posibilidad de que las empresas recurran a un organismo de certificaci\u00f3n como elementos que acrediten su cumplimiento de las obligaciones a las que se refieren los art\u00edculos 25.1 y 25.2. Estos organismos ser\u00e1n creados y autorizados por los Estados miembros, las autoridades de control, el Comit\u00e9 Europeo o la Comisi\u00f3n Europea, y sus criterios de actuaci\u00f3n han de tener en cuenta las caracter\u00edsticas espec\u00edficas de las peque\u00f1as, medianas y grandes empresas.Por \u00faltimo, el art\u00edculo 78 del RGPD se\u00f1ala la posibilidad de la persona f\u00edsica o jur\u00eddica de solicitar una tutela jur\u00eddica efectiva ante las decisiones tomadas por las autoridades de control. En este sentido, se\u00f1ala que el interesado tendr\u00e1 derecho derecho a la tutela judicial en caso de que la autoridad de control pertinente no de luz verde a una reclamaci\u00f3n o no responda a dicha reclamaci\u00f3n en un plazo de tres meses. Las acciones contra la autoridad de control se deben ejercitar en los tribunales estatales del Estado miembro en el que \u00e9sta se encuentre.Directrices de la Privacidad desde el Dise\u00f1oDespu\u00e9s de estas normas generales, vamos a profundizar un poco m\u00e1s en las directrices concretas que establece la privacidad desde el dise\u00f1o y por defecto.Proactiva no reactiva; preventiva no correctivaLas actuaciones en materia de privacidad o protecci\u00f3n de datos por parte de las empresas no deben responder a fallos o errores, ni tener un car\u00e1cter correctivo. Al contrario, las medidas se deben aplicar de forma proactiva, de manera que se puedan prever y anticipar aquellos eventos que podr\u00edan poner en riesgo la privacidad de los usuarios. Para ello es necesario llevar a cabo una monitorizaci\u00f3n constante, analizar los riesgos, implementar medidas correctivas y tomar precauciones para que las situaciones de riesgo no se vuelvan a producir.La privacidad es la configuraci\u00f3n predeterminadaLos servicios ofrecidos a los usuarios deben ofrecer de inicio la m\u00e1xima protecci\u00f3n al usuario. Es decir, la configuraci\u00f3n predeterminada del servicio ha de ser la que ofrezca mayores garant\u00edas para la protecci\u00f3n de datos del interesado, sin necesidad de que este realice ajustes en la configuraci\u00f3n de la privacidad.Privacidad integrada en el dise\u00f1oLa privacidad ha de formar parte de la estructura b\u00e1sica de los productos o servicios ofrecidos. Es decir, se trata de considerar la protecci\u00f3n de datos de los usuarios como una parte fundamental desde la creaci\u00f3n de dichos productos o servicios, y no como un agregado o un elemento secundario.Funcionalidad completaTodas las opciones de protecci\u00f3n de datos han de estar disponibles desde el primer momento a trav\u00e9s de una funcionalidad completa. Es decir, no deben existir funciones o ventajas adicionales para aquellos que cambien la configuraci\u00f3n de privacidad. Al contrario, la protecci\u00f3n al usuario debe ser la m\u00e1xima de base, y ser\u00e1 el propio interesado quien tenga la oportunidad de establecer una configuraci\u00f3n de privacidad m\u00e1s laxa si as\u00ed lo desea.Seguridad completa durante el ciclo de vidaSe basa en el concepto de la seguridad de punto a punto. Esto significa que la protecci\u00f3n a la privacidad del usuario ha de extenderse durante todo el per\u00edodo de tratamiento de datos, desde su recogida hasta su destrucci\u00f3n. Los datos nunca han de mantenerse en bases de datos no usadas o en dispositivos antiguos, ni tampoco se permitir\u00e1 el acceso de terceros a dicha informaci\u00f3n sin consentimiento.Visibilidad y transparenciaEl usuario tiene derecho a ser informado en todo momento acerca de a informaci\u00f3n que se recoge sobre \u00e9l, durante cuando tiempo se va a conservar, la finalidad del tratamiento o si la informaci\u00f3n se va a ceder a terceros. En este sentido, el usuario tambi\u00e9n tiene derecho a recurrir a entidades independientes para la elaboraci\u00f3n de auditor\u00edas que confirmen que sus datos est\u00e1n siendo tratados de acuerdo a la normativa y que su informaci\u00f3n est\u00e1 debidamente protegida.\u00bfQue supone para las empresas?El Privacy by Design, como el RGPD en general, establece nuevas exigencias y obligaciones para las empresas en materia de protecci\u00f3n de datos. Ahora el interesado tiene mucho m\u00e1s poder de decisi\u00f3n sobre la forma en la que se utiliza su informaci\u00f3n, y las empresa deben adaptarse a estos nuevos requisitos.Esto implica que el Privacy by Design supone la necesidad de implantar nuevas formas de trabajar en las empresas. La privacidad deja de ser un elemento secundario para convertirse en un pilar central fundamental e indisoluble del resto de pr\u00e1cticas empresariales.Ejemplo de aplicaci\u00f3nImaginemos que la empresa XYZ est\u00e1 dedicada al desarrollo de software y tiene un proyecto para crear una app orientada a empresas para controlar la jornada laboral de los trabajadores.Para respetar los principios del Privacy by Design, la empresa XYZ ha de tener en cuenta una serie de cuestiones:Identificar desde el inicio los datos que se van a tratar.Informar sobre la finalidad del tratamiento, la cesi\u00f3n de datos a terceros (las empresas que compren la app o socios de la desarrolladora, por ejemplo) o el plazo de conservaci\u00f3n de los datos.Aplicar las medidas necesarias para garantizar la protecci\u00f3n de datos de los usuarios y la confidencialidad de la informaci\u00f3n.Configurar los ajustes de privacidad de forma que ofrezcan por defecto la m\u00e1xima privacidad.Realizar auditor\u00edas y an\u00e1lisis previos con datos ficticios para asegurarse, antes de que la app salga al mercado, que cumple con lo dispuesto en el RGPD sobre la privacidad by design.En resumen, el Privacy by Design no funciona como un concepto aislado, sino que es todo un conjunto de pautas de actuaci\u00f3n que se han de implantar en todo proceso de la empresa, con el objetivo de garantizar la privacidad y protecci\u00f3n de datos de los usuarios.."},{"@context":"http:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/#breadcrumbitem","name":"Ayuda Ley Protecci\u00f3n Datos"}},{"@type":"ListItem","position":2,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/2020\/11\/11\/privacy-by-design\/#breadcrumbitem","name":"Privacy by Design. Todo lo que necesitas saber"}}]}]