privacidad_desde_el_diseño

This post is also available in: English

En su Guía de Privacidad desde el Diseño, publicada recientemente, la Agencia Española de Protección de Datos aborda la importancia de lograr un marco de protección integral en materia de protección de datos. Para ello desarrolla diversos objetivos, estrategias y patrones de diseño de la privacidad y define las tecnologías concretas para su implementación.

En primer lugar, la Guía define el concepto de “protección por diseño” como la exigencia de atender a los requisitos de privacidad desde que comienza el diseño de cualesquiera productos o servicios que vayan a requerir el tratamiento de datos personales. Esta obligación, establecida en el artículo 25 del Reglamento General de Protección de Datos (RGPD), impone al responsable del tratamiento la aplicación de medidas técnicas y organizativas apropiadas no solo durante el propio tratamiento de datos personales, sino desde “el momento de determinar los medios de tratamiento”.

Pese a que el tenor literal del RGPD solo se refiere al responsable del tratamiento como sujeto obligado a garantizar la protección desde el diseño, señala la Guía que del considerando 78 y del artículo 28 del RGPD se infiere que también es aplicable a otros sujetos que intervienen en el tratamiento, tales como proveedores, prestadores de servicios o fabricantes, si bien recae sobre el responsable (o los corresponsables) la obligación última de seleccionar aquellos productos y encargados que cumplan con este deber.

En cuanto a los objetivos perseguidos por la privacidad desde el diseño, sienta la Guía que es preciso atender a los siete principios fundacionales definidos por la ex Comisionada de Información y Privacidad de la provincia canadiense de Ontario Ann Cavoukian, de conformidad con los cuales:

  • la privacidad desde el diseño ha de ser un principio proactivo, no reactivo, y preventivo, no correctivo, es decir, exige adelantarse a la materialización del riesgo;
  • se ha de concebir la privacidad como configuración determinada, como fin último, lo cual se logra mediante la minimización de datos durante todo el tratamiento;
  • se ha de incorporar la privacidad en la fase de diseño del tratamiento;
  • se ha de alcanzar la funcionalidad total mediante el pensamiento “todos ganan”, evitando pensar que vaya a darse una dicotomía por la cual ganar privacidad implique perder otra funcionalidad;
  • se ha de garantizar la privacidad durante todas las etapas del tratamiento, a través de la implementación de las medidas adecuadas en cada momento;
  • se han de adoptar los principios de visibilidad y transparencia para probar ante la autoridad de control la diligencia y la responsabilidad proactiva; y
  • se ha de respetar la privacidad de los usuarios cuyos datos son tratados, siendo el fin último la garantía de sus derechos y libertades.

En línea con lo expuesto, la Guía clasifica en dos categorías las ocho estrategias de diseño de la privacidad que se han de seguir. De una parte, distingue cuatro estrategias de carácter técnico encaminadas al tratamiento de los datos, consistentes en “minimizar”, “ocultar”, “separar” y “abstraer”; y de otra parte diferencia cuatro estrategias organizativas conducentes a la definición de procesos para gestionar de manera responsable los datos personales, consistentes en “informar”, “controlar”, “cumplir” y “demostrar”.

Con el fin de integrar los antedichos objetivos y estrategias de privacidad en los productos y servicios, la Guía define y desarrolla numerosos patrones de diseño de privacidad y, para su implementación, describe finalmente las tecnologías específicas que han de utilizarse: las denominadas Privacy Enhancing Technologies o “PETS”.   

En conclusión, la Guía sienta los mecanismos para implementar de manera eficiente y eficaz los principios de privacidad, con el fin de garantizar su integración en productos y servicios desde la fase inicial de su diseño. Esta disciplina es la Privacidad desde el Diseño, que no ha de entenderse como un obstáculo, sino como una innovación necesaria.

Autores: Alejandro Negro y Paula Conde

This post is also available in: English

Autores:

Consejero

43 artículos

Alejandro Negro

alejandro.negro@cuatrecasas.com

Prácticas

12 artículos



paula.conde@cuatrecasas.com