En Reglamento General de Protección de Datosrgpd) introdujo varios cambios en la forma en que las organizaciones abordan la protección de datos, uno de los cuales es la consagración legal de la privacidad desde el diseño (PdD) en el artículo 25.
Pero, ¿qué significa privacidad desde el diseño, por qué lo exige rgpd y cómo puede aplicarse?
Siga leyendo para descubrirlo.
¿Qué es la privacidad desde el diseño?
La privacidad desde el diseño (PdD) es el concepto según el cual la privacidad debe incorporarse a los sistemas y procesos desde el principio, en lugar de ser una ocurrencia tardía o un añadido, para proteger la intimidad del usuario y evitar violaciones masivas de datos.
Fue propuesto por primera vez en la década de 1990 por Ann Cavoukian, ex Comisaria de Privacidad de Ontario, y desde entonces ha sido reconocido como una buena práctica respaldada por autoridades de protección de datos de todo el mundo.
Incorporar la PdD a los sistemas y procesos en las primeras fases de su proyecto (así como a lo largo de su ciclo de vida) ofrece grandes ventajas:
- Puede prevenir las filtraciones de datos incorporando de forma proactiva salvaguardias de la privacidad en los sistemas que mitiguen el riesgo de filtración de datos.
- Puede ayudarle a cumplir los requisitos legales y reglamentarios.
- Le ayuda a demostrar su compromiso con la protección de la privacidad de los clientes, lo que genera confianza en ellos.
La aplicación de la PdD requiere integrar la privacidad de los datos en la cultura de su empresa.
Puede conseguirlo concienciando y dando prioridad a las cuestiones relacionadas con la privacidad de los datos, e integrando la privacidad de los datos en la fase de diseño del desarrollo del producto o servicio y abordándola en cada etapa del proceso.
Privacidad por diseño y la rgpd
rgpd se aplica a cualquier tratamiento de datos personales por parte de una organización dentro de la UE o cuando el tratamiento de datos personales afecte a personas físicas en la UE, independientemente de dónde tenga su sede la organización.
Contiene dos conjuntos de requisitos, denominados "protección de datos desde el diseño" y "protección de datos por defecto", ambos una clara aplicación de la PdD.
El artículo 25 establece que:
El responsable del tratamiento aplicará, tanto en el momento de la determinación de los medios para el tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, destinadas a aplicar de manera efectiva los principios de protección de datos, como la minimización de datos, y a integrar en el tratamiento las garantías necesarias para cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.
Lo que significa "en el momento de determinar los medios para el tratamiento" es que debe tener en cuenta la protección de datos cuando desarrolle sus sistemas y procedimientos de recogida y tratamiento de datos, no una vez que los tenga.
La rgpd ya no es la única ley de protección de datos que contiene principios de PdD.
La Ley de Protección de Datos Personales y Documentos Electrónicos(PIPEDA) de Canadá obliga a las empresas a designar a un empleado responsable del tratamiento de datos, limitar la recogida de datos y aplicar procedimientos para eliminar de forma segura los datos innecesarios.
Además, las leyes de Brasil(LGPD), India (DPDP) y Suiza también han incorporado principios de "protección de datos incorporada" similares a la rgpd.
Los 7 principios fundamentales de la privacidad desde el diseño
El concepto de PdD se basa en siete principios que pueden ayudarle a tomar mejores decisiones en materia de seguridad de datos. Estos principios son:
1. Proactivo, no reactivo; preventivo, no correctivo
La PdD comienza con el reconocimiento del valor y los beneficios de una aplicación proactiva, temprana y coherente de las prácticas de privacidad.
El primer principio sostiene que la privacidad debe estar al principio del proceso de planificación. Antes de diseñar un sistema y un proceso de tratamiento de datos, hay que averiguar qué riesgos para la privacidad plantea el tratamiento de los datos, decidir qué medidas son necesarias para minimizar o eliminar esos riesgos e incorporarlas al sistema.
Si su práctica de seguridad se limita a responder a las infracciones cuando se producen, está siendo reactivo.
En resumen: no espere a que se produzcan riesgos para la privacidad; prevenga.
2. Privacidad por defecto
Según el segundo principio, la privacidad debe ser lo primero en todo lo que hagas, y puedes maximizarla garantizando la protección automática de los datos personales.
Puede lograrlo limitando el intercambio de datos, desarrollando sistemas para identificar y recopilar la cantidad y el alcance mínimos de los datos que necesita, y eliminando o anonimizando los datos que ya no necesita. También significa utilizar funciones de inclusión y exclusión voluntarias y protecciones para los datos de los consumidores.
Por ejemplo, si tiene previsto utilizar una herramienta de análisis de datos de terceros para comprender mejor la eficacia de sus campañas de marketing y esta herramienta recopila información de los dispositivos de los visitantes de su sitio web, debe desactivarla por defecto. De este modo, cumplirá con el principio de minimización de datos y no recopilará estos datos hasta que obtenga el consentimiento.
Debe ofrecer el máximo nivel de protección de la privacidad a los consumidores, rebajar el perfil de riesgo de seguridad de los datos y tomar medidas prácticas para reducir la posibilidad de que se produzcan violaciones de datos.
3. Privacidad integrada en el diseño
El tercer principio consiste en integrar la privacidad en el diseño, desarrollo e implantación de un producto, proceso o sistema desde el principio. Hay que integrar la privacidad en el diseño de los sistemas informáticos y las prácticas empresariales, y las empresas deben utilizar el cifrado y la autenticación y comprobar periódicamente las vulnerabilidades.
Por ejemplo, cuando se contrata una nueva plataforma de gestión de relaciones con los clientes para almacenar y procesar sus datos personales, es necesario disponer de procesos y controles que garanticen que esta nueva herramienta tratará los datos personales de conformidad con la legislación sobre privacidad.
Este principio es un recordatorio de que la privacidad debe considerarse una función esencial del producto e incorporarse a los sistemas desde el principio como parte integrante de la funcionalidad principal, sin comprometer la funcionalidad.
4. Funcionalidad completa - Suma positiva, no suma cero
El cuarto principio de la PdD aborda todos los intereses y objetivos legítimos de una manera positiva en la que todos ganan, en lugar de un enfoque de suma cero con compromisos innecesarios.
No hay que ver la privacidad de los datos como una contrapartida a otros intereses. Se puede tener privacidad, ingresos y crecimiento, ¡no es necesario sacrificar uno por los otros!
La integración de la privacidad en una tecnología, proceso o sistema concreto debe hacerse de forma que no comprometa la funcionalidad y optimice todos los requisitos.
5. Seguridad de extremo a extremo: protección de todo el ciclo de vida
Según el quinto principio, los datos deben ser seguros en todas las etapas, desde su recogida hasta su utilización, divulgación y destrucción.
El cifrado y la autenticación son las normas en todas las etapas, pero hay que ir más allá en otras. Por ejemplo, solo debes recopilar los datos que necesites y para los que tengas una base legal.
Además, debe aplicar una serie de medidas de seguridad, incluidas restricciones físicas, electrónicas y organizativas.
Por ejemplo, la transferencia de datos personales a terceros puede presentar riesgos de seguridad, ya que los ciberatacantes pueden intentar interceptar las comunicaciones para obtener acceso no autorizado a los datos. Un factor de riesgo es la transferencia de datos a través de redes públicas inseguras. Las organizaciones pueden establecer y aplicar políticas y controles internos para garantizar que todos los empleados transfieran datos únicamente utilizando dispositivos específicos y a través de redes seguras de la empresa.
Además, debe emplear métodos de borrado/destrucción rgpd para una protección de extremo a extremo cuando elimine datos.
Recuerde que la privacidad sigue a los datos allá donde vayan.
6. Visibilidad y transparencia
La recogida de datos personales conlleva un deber de diligencia.
El sexto principio se basa en la idea de que informar a los interesados no sólo genera su confianza, sino que también ayuda a garantizar que se es responsable del tratamiento de los datos. Argumenta la necesidad de una política de privacidad bien redactada y un mecanismo para que los interesados expresen sus quejas, hagan preguntas y soliciten cambios.
La visibilidad y la transparencia son esenciales para crear responsabilidad y confianza. Por tanto, los interesados deben conocer y divulgar sus prácticas de protección (y tratamiento) de datos, y la información debe ser abierta y fácil de entender.
7. Respeto de la intimidad del usuario: centrarse en el usuario
El último principio establece que todo debe seguir centrado en el usuario.
Afirma que los datos en poder de una organización pertenecen en última instancia al consumidor y las organizaciones deben garantizar que los interesados estén debidamente informados sobre cómo se recogen y utilizan sus datos.
Por ejemplo, al basarse en el consentimiento para procesar datos individuales, debe tratar a las personas de forma justa, proporcionarles información suficiente de forma fácil de entender y evitar engañarlas para que den su consentimiento.
Imagine que cuando los usuarios se inscriben en un seminario web gratuito en su plataforma web y rellenan un formulario, aceptan compartir sus datos con intermediarios de datos porque hay una casilla marcada previamente y difícil de ver al final del formulario de inscripción. Esto sería una práctica desleal que explota a los usuarios. Además, también debe permitir a las personas ejercer sus derechos de privacidad establecidos en diversas leyes de privacidad, como el derecho de acceso y el derecho de supresión.
Facultar a los interesados para que desempeñen un papel activo en la gestión de sus propios datos puede ser el control más eficaz contra el uso indebido de la privacidad y los datos personales.
¿Quién debe tener en cuenta la privacidad desde el diseño?
La PdD es especialmente importante si usted es un responsable del tratamiento de datos que entra en el ámbito de aplicación de la rgpd. La rgpd exige que las características de protección de datos sean adecuadas y apropiadas tanto para los procesos que utiliza como para los datos que recopila.
El apartado 2 del artículo 25 establece explícitamente:
El responsable del tratamiento debe aplicar las medidas técnicas y organizativas adecuadas para garantizar que, por defecto, sólo se traten los datos personales que sean necesarios para cada finalidad específica del tratamiento.
Aparte de las implicaciones de rgpd , la PdD se considera ahora una buena práctica para todas las organizaciones que procesan datos.
La aplicación de los principios de la privacidad desde el diseño demuestra que usted reconoce el valor de los datos personales, y que la privacidad y el control personal sobre los datos es una libertad que desea preservar.
Si aborda la protección de datos desde una perspectiva de diseño, puede asegurarse de que forme parte integral de sus operaciones y de que su organización esté preparada para el futuro, tanto desde el punto de vista del cliente como desde el punto de vista legal.
La aplicación de los principios de PdD ya no es sólo una buena práctica; es un requisito legal para los responsables del tratamiento de datos, especialmente en la UE en virtud rgpd.
Mediante la adopción proactiva de estos principios, las organizaciones pueden mitigar los riesgos, garantizar el cumplimiento de la normativa y generar una confianza duradera con sus clientes.
Para comprender mejor la creciente demanda de privacidad de datos, consulte las últimas estadísticas sobre privacidad de datos para mantenerse informado sobre tendencias y mejores prácticas.
Más sobre el autor
Escrito por Ali Talip Pınarbaşı, CIPP/E, & LLM
Ali es un abogado especializado en derecho de la privacidad de datos con sede en Londres y con un máster en derecho de la privacidad de la UE en el King's College de Londres. Cuenta con seis años de experiencia asesorando a empresas sobre cómo cumplir las leyes de protección de datos. Más sobre el autor
