La privacidad desde el Diseño y por Defecto

Cuando hablamos de protección de datos tendemos a asociarlo a dar nuestro consentimiento para recibir publicidad por e-mail o, a retirarlo para dejar de recibir las tan molestas llamadas que tratan de vendernos cualquier servicio. Sin embargo, la protección de datos va mucho más allá.

Uno de los pilares fundamentales en materia de protección de datos que reforzó el Reglamento (UE) 2016/679 General de Protección de Datos, (RGPD), es la Privacidad desde el Diseño y por Defecto.

¿Qué es la Privacidad desde el Diseño y por Defecto? Es un principio que exige que al desarrollar, diseñar, seleccionar y usar aplicaciones, servicios y productos que traten datos personales, debe tenerse en cuenta el Derecho a la protección de datos desde el inicio, es decir, desde la fase en la que se está definiendo el proyecto y, deberá continuar durante todo el proceso de integración y desarrollo final. Debemos asegurarnos que todas las personas que intervengan en este proceso (desarrolladores/as, arquitectos/as, diseñadores/as…) cumplan sus obligaciones en materia de protección de datos.

En palabras de la Agencia Española de Protección de Datos, este principio implica que «la privacidad debe formar parte integral e indisoluble de los sistemas, aplicaciones, productos y servicios, así como de las prácticas de negocio y procesos de la organización».

Para entender bien este principio es preciso analizarlo de forma separada:

Por un lado, la Privacidad desde el Diseño exige que, desde la fase inicial de definición del proyecto, se establezcan los requisitos de privacidad que deben acompañarlo. Por ejemplo:

– Análisis de los fines del tratamiento y la legitimación: verificar que los tratamientos de los datos personales previstos son posibles en el contexto en el que se plantea el proceso. Es decir, analizar si tenemos una base jurídica que nos permita tratar los datos personales y si su tratamiento es pertinente.

– Análisis de riesgos: identificar los riesgos que tanto el tratamiento de datos como el uso de la tecnología elegida tiene para las personas interesadas.

– Aplicación de medidas técnicas y organizativas: en función de los riesgos identificados para la privacidad y los derechos de las personas, implementar las adecuadas medidas de seguridad para paliar los mismos.

Por otro lado, la Privacidad por Defecto exige que, en todas las fases del proyecto en las que se traten datos personales, se apliquen las máximas garantías de privacidad de manera automática. Con ello lo que se pretende es que, si existen varias configuraciones de privacidad, deberán implementarse por defecto aquellas que ofrezcan mayores garantías para la privacidad de las personas cuyos datos van a ser tratados. Este fin se puede alcanzar de varias formas, por ejemplo:

– Limitando la cantidad de datos personales a recabar. Deberán recabarse los datos personales estrictamente necesarios para que el producto o servicio sea posible y pueda cumplir su finalidad.

– Restringir el acceso a los datos. El acceso solo ha de estar permitido a aquellas personas que lo precisen para el desarrollo de sus funciones.

– Descentralizar y agrupar los datos personales: Impedir que todos los datos que se tienen de una determinada persona estén en un solo sistema. Esto evita que, en caso de una brecha de seguridad, toda su información se vea comprometida.

En definitiva, lo que pretende la norma es que la privacidad y la protección de los datos personales esté presente en todas las organizaciones desde el principio y hasta el final, y que se apliquen las medidas técnicas y organizativas necesarias para garantizar la seguridad de la información y el Derecho fundamental a la protección de datos de las personas interesadas.

Firma invitada

Nombres destacados del sector TIC opinan sobre las principales tendencias de la industria.

Recent Posts

Tendencias en almacenamiento HDD para 2025, una perspectiva completa

En esta tribuna, Rainer W. Kaese, director sénior de Desarrollo de Negocio de HDD de…

6 días ago

IA generativa: cinco razones por las que lo más pequeño puede ser más inteligente

En esta tribuna, Enric Delgado, director de Client Engineering Team de España, Portugal, Grecia e…

1 semana ago

Pensando en pequeño para pensar en grande: la arquitectura modular de AMD impulsa la sostenibilidad

En esta tribuna, Justin Murrill, director de Responsabilidad Corporativa en AMD, explica cómo la arquitectura…

1 semana ago

Observabilidad: La herramienta de la que todos hablan…

En esta tribuna, Mario Carranza, especialista en observabilidad de CPO WOCU-Monitoring, explica cómo la observabilidad…

2 semanas ago

Cómo combatir los ataques de los Estados-Nación y de los ciberdelincuentes: trabajando desde dentro de la amenaza

Adam Meyers, responsable de operaciones contra adversarios en CrowdStrike, explica cómo combatir las amenazas transversales…

2 semanas ago

El impacto de la IA generativa en las cadenas de suministro de la industria manufacturera

Ana Belén González Bartolomé, Head of Manufacturing, Logistics, Energy, and Utilities para España, Portugal e…

3 semanas ago