Privacidad desde el diseño


La AEPD ha publicado una guía para facilitar la aplicación de la privacidad desde el diseño. Esta guía está dirigida tanto a responsables de tratamiento como a proveedores y prestadores de servicios, desarrolladores de productos y aplicaciones o fabricantes de dispositivos.

Este documento pretende facilitar la inclusión de la privacidad desde el momento en que se diseña un sistema, producto, servicio o proceso. Es por ello que traduce los principios de la protección de datos y los transforma en medidas de seguridad concretas, tanto en la fase de concepción del producto o servicio como en la de desarrollo. 

Asimismo, concede la categoría de requisito legal a un concepto (el de privacidad por diseño) que si bien ya se conocía de antemano por la Resolución de 27/10/2010, no estaba dotado de esta fuerza, adquiriéndola tras la entrada en vigor del RGPD (art. 25).
Para saber si se está respetando la privacidad en el diseño de nuestro  sistema, producto, servicio o proceso es preciso tener claros los conceptos al respecto, de los que os pasamos unas directrices, según lo establecido en la Guía, para facilitar la aplicación de la privacidad desde el diseño.

¿Qué es la privacidad desde el diseño?

El RGPD establece que para proteger los derechos y libertades de las personas físicas en relación al tratamiento de datos, los Responsables del tratamiento deben adoptar medidas técnicas y organizativas apropiadas. Estas medidas deben cumplir en particular con los principios que marca el RGPD y deben estar integradas dentro de los procesos de diseño, operación y gestión de los sistemas de la organización para conseguir una protección integral. 

¿Cuáles son los Principios Fundacionales de la Privacidad desde el diseño?

– Proactividad: significa avanzarse a la amenaza, no poner parches. Ello implica identificar los riesgos desde cero. Para que ello pueda llevarse a cabo, la Dirección es quien debe impulsarlo, acompañado de una cultura empresarial que se traduzca en acciones por parte de todos los trabajadores. 

– Privacidad como configuración predeterminada: el interesado (cliente, paciente, trabajador, etc.) debe tener su privacidad garantizada. Para ello debemos llevar a cabo el principio de minimización de datos a lo largo del ciclo de vida del tratamiento de ese dato, es decir, desde la recogida, durante el uso, mientras se conserva y si se difunde. 
Debemos tener claras las finalidades que persigue el tratamiento para ver qué recogida de datos es la más adecuada. 

– Privacidad incorporada en la fase del diseño: la privacidad debe estar integrada en los sistemas, aplicaciones, productos y servicios. Para ello llevaremos a cabo el análisis de riesgos y, en los casos obligatorios, la evaluación de impacto. 

– Funcionalidad total: Win win: la privacidad no implica perder otras funcionalidades, debemos llevar a cabo la coexistencia de los intereses del sujeto con los de la entidad, evaluando primero que es lo que puede solucionar los intereses perseguidos por ambos. 

– Privacidad durante todo el ciclo de vida: la seguridad de la información impone confidencialidad, integridad, disponibilidad y resiliencia de los sistemas que los cobija. La privacidad garantiza, además, la desvinculación, la transparencia y la capacidad de intervención y control en el tratamiento por parte del sujeto del dato.
Las medidas que cabe considerar para proteger la información son:
 – Seudonimización.
   – Clasificación del acceso al dato según perfil.
   – Cifrado para que en el caso de pérdida o robo los datos sean “ilegibles”.
   – Destrucción segura

– Visibilidad y transparencia: garantía de privacidad demostrable. El considerando 39 del RGPD recoge que las personas deben tener claro que datos se recopilan y para qué: transparencia.
La transparencia se puede conseguir en base a:
     – Publicación de las políticas de privacidad.
     – Cláusulas informativas concisas y claras.
     – Establecimiento de mecanismos de comunicación sencillos.
     – Difusión de la persona encargada de la privacidad dentro de la organización.

– Enfoque centrado en el sujeto de los datos: para que el sujeto tenga una privacidad garantizada de sus datos, el diseño de los procesos internos debe estar focalizado en la información a los usuarios de su privacidad, facilitar toda la información adecuada para conseguir el consentimiento, dar al usuario acceso a sus datos y a las finalidades del tratamiento y, establecer mecanismos de ejercicio de los derechos eficientes. 

El RGPD recoge como requisito legal dentro del artículo 25 el principio de integrar las garantías para la protección de los derechos y libertades de los ciudadanos en relación con sus datos desde las primeras etapas del desarrollo del tratamiento. Es decir, que no sirve de nada no seguir con los principios nombrados y no realizar la privacidad en todo el ciclo de vida. 

¿Estoy obligado a hacerlo?

El artículo 25 del RGPD impone la obligación de implementar la protección de datos desde el diseño a todos los responsables del tratamiento, sin distinción de tamaño o tipo de datos. Es esta figura la que deberá alentar a los proveedores y prestadores de servicios, desarrolladores de productos y aplicaciones o fabricantes de dispositivos que elija para que, en base al considerando 78 y art. 28 RGPD, sean capaces de cumplir y garantizar la protección de datos desde el diseño y por defecto en los servicios que le presten.

De igual manera, para que la privacidad y la seguridad sean el máximo de seguras y confiables, el RGPD establece para los responsables y encargados del tratamiento los principios rectores de la privacidad, en el art. 5 RGPD: licitud, lealtad y transparencia; limitación de la finalidad; minimización de datos; exactitud; limitación del plazo de conservación; integridad y confidencialidad; unidos al de responsabilidad proactiva o accountability. 

Los objetivos de seguridad orientados a la privacidad son: la confidencialidad (evitando accesos no autorizados), la integridad (protegiendo de modificaciones no autorizadas) y disponibilidad (garantizar que los datos estén disponibles cuando sea necesario). Estos consiguen analizar los riesgos y dar respuesta a las amenazas, pero debemos incluir tres nuevos objetivos de protección de la privacidad: 

– Desvinculación: persigue que los datos de un dominio no se mezclen con los de otro dominio. Ello sirve para frenar el riesgo de usos no autorizados e incluso creación de perfiles. 

– Transparencia: la información sobre las finalidades y las condiciones legales, técnicas y organizativas aplicables debe estar disponible antes, durante y después del tratamiento a todas las partes implicadas. Así minimizamos la afectación a los principios de lealtad y transparencia. 

– Control: los sujetos puedan intervenir en cualquier momento del proceso. Estableciendo el ejercicio de derechos, las reclamaciones pertinentes, la evaluación del cumplimiento de la normativa, entre otros. Todo ello ayuda a respetar los principios de exactitud y responsabilidad proactiva.