L’AEPD ha publicat una guia per a facilitar l’aplicació de la privacitat des del disseny. Aquesta guia està dirigida tant a responsables de tractament com a proveïdors i prestadors de serveis, desenvolupadors de productes i aplicacions o fabricants de dispositius.
Aquest document pretén facilitar la inclusió de la privacitat des del moment en què es dissenya un sistema, producte, servei o procés. És per això que tradueix els principis de la protecció de dades i els transforma en mesures de seguretat concretes, tant en la fase de concepció del producte o servei com en la de desenvolupament.
Així mateix, concedeix la categoria de requisit legal a un concepte (el de privacitat per disseny) que si bé ja es coneixia per endavant gràcies a la Resolució de 27/10/2010, no estava dotat d’aquesta força, adquirint-la arran de l’entrada en vigor del RGPD (art. 25).
Per a saber si s’està respectant la privacitat en el disseny del nostre sistema, producte, servei o procés és precís tenir clars els conceptes al respecte, dels que us passem unes directrius, segons l’establert a la Guia, per a facilitar l’aplicació de la privacitat des del disseny.
Què és la privacitat des del disseny?
El RGPD estableix que per a protegir els drets i llibertats de les persones físiques en relació al tractament de dades, els Responsables del tractament han d’adoptar mesures tècniques i organitzatives apropiades. Aquestes mesures han de complir en particular amb els principis que marca el RGPD i han d’estar integrades dins dels processos de disseny, operació i gestió dels sistemes de l’organització per aconseguir una protecció integral.
Quins són els Principis Fundacionals de la Privacitat des del disseny?
– Proactivitat: significa avançar-se a l’amenaça, no posar pedaços. Això implica identificar els riscos des de zero. Perquè això pugui dur-se a terme, la Direcció és qui ha d’impulsar-ho, acompanyat d’una cultura empresarial que es tradueixi en accions per part de tots els treballadors.
– Privacitat com a configuració predeterminada: l’interessat (client, pacient, treballador, etc.) ha de tenir la seva privacitat garantida. Per això hem de dur a terme el principi de minimització de dades al llarg del cicle de vida del tractament d’aquesta dada, és a dir, des de la recollida, durant l’ús, mentre es conserva i si es difon.
Cal tenir clares les finalitats que persegueix el tractament per a veure quina recollida de dades és la més adequada.
– Privacitat incorporada a la fase del disseny: la privacitat ha d’estar integrada en els sistemes, aplicacions, productes i serveis. Per això hem de dur a terme l’anàlisi de riscos i, en els casos obligatoris, l’avaluació d’impacte.
– Funcionalitat total: Win win: la privacitat no implica perdre altres funcionalitats, hem de dur a terme la coexistència dels interessos del subjecte amb els de l’entitat, avaluant primer que és el que pot solucionar els interessos perseguits per ambdós.
– Privacitat durant tot el cicle de vida: la seguretat de la informació imposa confidencialitat, integritat, disponibilitat i resiliència dels sistemes que els protegeix. La privacitat garantitza, a més, la desvinculació, la transparència i la capacitat d’intervenció i control en el tractament per part del subjecte de la dada.
Les mesures que cal considerar per a protegir la informació són:
– Pseudonimització.
– Classificació de l’accés a la dada segons perfil.
– Xifrat per a què en el cas de pèrdua o robatori les dades siguin “il.legibles”.
– Destrucció segura.
– Visibilitat i transparència: garantia de privacitat demostrable. El considerant 39 del RGPD recull que les persones han tenir clar quines dades es recopilen i per a què: transparència.
La transparència es pot aconseguir en base a:
– Publicació de les polítiques de privacitat.
– Clàusules informatives concises i clares.
– Establiment de mecanismes de comunicació senzills.
– Difusió de la persona encarregada de la privacitat dins de l’organització.
– Enfocament centrat en el subjecte de les dades: per a què el subjecte tingui una privacitat garantida de les seves dades, el disseny dels processos interns ha d’estar focalitzat en la informació als usuaris de la seva privacitat, facilitar tota la informació adequada per aconseguir el consentiment, donar a l’usuari accés a les seves dades i a les finalitats del tractament i, establir mecanismes d’exercici dels drets eficients.
El RGPD recull com a requisit legal dins de l’article 25 el principi d’integrar les garanties per a la protecció dels drets i llibertats dels ciutadans en relació amb les seves dades des de les primeres etapes del desenvolupament del tractament. És a dir, que no serveix de res no seguir amb els principis nomenats i no realitzar la privacitat en tot el cicle de vida.
Estic obligat a fer-ho?
L’article 25 del RGPD imposa l’obligació d’implementar la protecció de dades des del disseny a tots els responsables del tractament, sense distinció de mida o tipus de dades. És aquesta figura la que haurà d’encoratjar als proveïdors i prestadors de serveis, desenvolupadors de productes i aplicacions o fabricants de dispositius que esculli per a què, en base al considerant 78 i art. 28 RGPD, siguin capaços de complir i garantir la protecció de dades des del disseny i per defecte en els serveis que li prestin.
D’igual manera, per a què la privacitat i la seguretat siguin el màxim de segures i confiables, el RGPD estableix per als responsables i encarregats del tractament els principis rectors de la privacitat, en l’art. 5 RGPD: licitud, lleialtat i transparència; limitació de la finalitat; minimització de dades; exactitud; limitació del termini de conservació; integritat i confidencialitat; units al de responsabilitat proactiva o accountability.
Els objectius de seguretat orientats a la privacitat són: la confidencialitat (evitant accesos no autoritzats), la integritat (protegint de modificacions no autoritzades) i disponibilitat (garantir que les dades estiguin disponibles quan sigui necessari). Aquests aconsegueixen analitzar els riscos i donar resposta a les amenaces, però hem d’incloure tres nous objectius de protecció de la privacitat:
– Desvinculació: persegueix que les dades d’un domini no es barregin amb les d’un altre domini. Això serveix per a frenar el risc d’usos no autoritzats i inclús de creació de perfils.
– Transparència: la informació sobre les finalitats i les condicions legals, tècniques i organitzatives aplicables ha d’estar disponible abans, durant i després del tractament a totes les parts implicades. Així minimitzem l’afectació als principis de lleialtat i transparència.
– Control: els subjectes poden intervenir en qualsevol moment del procés. Establint l’exercici de drets, les reclamacions pertinents, l’avaluació del compliment de la normativa, entre altres. Tot això ajuda a respectar els principis d’exactitud i responsabilitat proactiva.