La privacidad desde el Diseño y por Defecto

Cuando hablamos de protección de datos tendemos a asociarlo a dar nuestro consentimiento para recibir publicidad por e-mail o, a retirarlo para dejar de recibir las tan molestas llamadas que tratan de vendernos cualquier servicio. Sin embargo, la protección de datos va mucho más allá.

Uno de los pilares fundamentales en materia de protección de datos que reforzó el Reglamento (UE) 2016/679 General de Protección de Datos, (RGPD), es la Privacidad desde el Diseño y por Defecto.

¿Qué es la Privacidad desde el Diseño y por Defecto? Es un principio que exige que al desarrollar, diseñar, seleccionar y usar aplicaciones, servicios y productos que traten datos personales, debe tenerse en cuenta el Derecho a la protección de datos desde el inicio, es decir, desde la fase en la que se está definiendo el proyecto y, deberá continuar durante todo el proceso de integración y desarrollo final. Debemos asegurarnos que todas las personas que intervengan en este proceso (desarrolladores/as, arquitectos/as, diseñadores/as…) cumplan sus obligaciones en materia de protección de datos.

En palabras de la Agencia Española de Protección de Datos, este principio implica que «la privacidad debe formar parte integral e indisoluble de los sistemas, aplicaciones, productos y servicios, así como de las prácticas de negocio y procesos de la organización».

Para entender bien este principio es preciso analizarlo de forma separada:

Por un lado, la Privacidad desde el Diseño exige que, desde la fase inicial de definición del proyecto, se establezcan los requisitos de privacidad que deben acompañarlo. Por ejemplo:

– Análisis de los fines del tratamiento y la legitimación: verificar que los tratamientos de los datos personales previstos son posibles en el contexto en el que se plantea el proceso. Es decir, analizar si tenemos una base jurídica que nos permita tratar los datos personales y si su tratamiento es pertinente.

– Análisis de riesgos: identificar los riesgos que tanto el tratamiento de datos como el uso de la tecnología elegida tiene para las personas interesadas.

– Aplicación de medidas técnicas y organizativas: en función de los riesgos identificados para la privacidad y los derechos de las personas, implementar las adecuadas medidas de seguridad para paliar los mismos.

Por otro lado, la Privacidad por Defecto exige que, en todas las fases del proyecto en las que se traten datos personales, se apliquen las máximas garantías de privacidad de manera automática. Con ello lo que se pretende es que, si existen varias configuraciones de privacidad, deberán implementarse por defecto aquellas que ofrezcan mayores garantías para la privacidad de las personas cuyos datos van a ser tratados. Este fin se puede alcanzar de varias formas, por ejemplo:

– Limitando la cantidad de datos personales a recabar. Deberán recabarse los datos personales estrictamente necesarios para que el producto o servicio sea posible y pueda cumplir su finalidad.

– Restringir el acceso a los datos. El acceso solo ha de estar permitido a aquellas personas que lo precisen para el desarrollo de sus funciones.

– Descentralizar y agrupar los datos personales: Impedir que todos los datos que se tienen de una determinada persona estén en un solo sistema. Esto evita que, en caso de una brecha de seguridad, toda su información se vea comprometida.

En definitiva, lo que pretende la norma es que la privacidad y la protección de los datos personales esté presente en todas las organizaciones desde el principio y hasta el final, y que se apliquen las medidas técnicas y organizativas necesarias para garantizar la seguridad de la información y el Derecho fundamental a la protección de datos de las personas interesadas.