Conoce Atico34 - Solicita presupuesto
Glosario

ISO 31700: el estándar de la privacidad desde el diseño

La privacidad desde el diseño es una de las obligaciones que contempla el RGPD para el tratamiento de datos personales, de aplicación en las diferentes etapas del ciclo de vida de productos o servicios. En enero de 2023, la Organización Internacional de Normalización (ISO) publicaba el primer estándar de la privacidad desde el diseño, la ISO 31700. En este artículo repasamos sus claves principales.

¿Qué es la ISO 31700?

La ISO 31700 es una nueva norma sobre privacidad desde el diseño para bienes y servicios de consumo, donde el derecho a la privacidad de los consumidores es el eje central de los requisitos que contiene y establece para cualquier tipo de entidad que quiera aplicarla.

La ISO 31700 consta de dos partes:

  1. ISO 31700-1:2023, donde se establecen requisitos de alto nivel para aplicar la privacidad desde el diseño en los bienes y servicios de consumo.
  2. ISO 31700-2:2023, en el que se recogen casos de uso para ayudar a comprender y aplicar los requisitos.

Publicada en enero de 2023 por la ISO, se convierte en el nuevo estándar que pueden aplicar las organizaciones a la hora de adoptar la privacidad desde el diseño en el desarrollo de productos, procesos, sistemas, software y servicios, teniendo como prioridad la privacidad de los consumidores a lo largo de todo el ciclo de vida de un producto o servicio, desde su concepción y desarrollo, pasando por su comercialización y uso, hasta el momento en que deja de utilizarse.

La ISO 31700 se basa en los principios de la privacidad desde el diseño y los pone en práctica a través de una serie de requisitos para las organizaciones. Estos siete principios son:

  • Enfoque proactivo y preventivo.
  • Privacidad por defecto en la configuración de productos y servicios.
  • Privacidad desde la fase de diseño de productos y servicios.
  • Funcionalidad total, con independencia de la configuración de privacidad.
  • Seguridad de end-to-end (seguridad en todo el ciclo de vida de los datos).
  • Visibilidad y transparencia.
  • Respeto a la privacidad de los usuarios.

Asimismo, la norma menciona las graves consecuencias que para los consumidores y usuarios puede tener la vulneración de su privacidad, además de la pérdida de confianza que estas vulneraciones pueden acarrear para las organizaciones.

¿Para qué sirve la ISO 31700?

El objetivo principal de la ISO 31700-1 es establecer una serie de requisitos de alto nivel para que la privacidad desde el diseño se aplique en todo el ciclo de vida de los productos y bienes de consumo, incluyendo los datos que genera el consumidor al usar el producto o servicio.

Se trata, por lo tanto, de poner el foco sobre el respeto a la privacidad de los consumidores, incluida su privacidad digital, desarrollando de manera más detallada los principios de la privacidad desde el diseño y centrándose en la gestión y mitigación de los riesgos de privacidad, teniendo en cuenta como el diseño de nuevos productos y servicios, su comercialización y uso, así como su eliminación, pueden afectar a la información personal identificable (IPI) de consumidores y usuarios.

La ISO 31700 busca lograr una mayor confianza de los consumidores en los productos y servicios que adquieren o contratan, no solo porque es necesario para cumplir la ley (recordemos, la privacidad desde el diseño es una obligación contemplada en el RGPD), sino también porque es una demanda de los propios consumidores, cada vez más concienciados con la protección de su privacidad.

Asimismo, adoptar y aplicar la ISO 31700 en la organización, sirve como prueba de cumplimiento del requisito de privacidad desde el diseño que establece el RGPD, ya que se documentan todos los procesos.

tarifas proteccion datos

Principios de la ISO 31700

La ISO 31700 se sustenta sobre tres principios rectores:

  • Capacitación y transparencia: Consiste en promover un diseño de productos y servicios de consumo más respetuosos con la privacidad de los consumidores, capaces de generar mayor confianza y de satisfacer sus necesidades de privacidad y protección de datos. Así mismo, a la hora de diseñar soluciones para la gestión de la privacidad desde el diseño, se tendrá en cuenta la propia perspectiva de los consumidores, su contexto y necesidades, es decir, se debe tener en cuenta el tipo de consumidores a quienes se dirigen los productos y servicios y sus capacidades para entender y gestionar las opciones de privacidad.
  • Institucionalización y responsabilidad: Dado el mundo cada vez más interconectado en el que vivimos, donde plataformas, aplicaciones y dispositivos se comunican entre sí, la privacidad desde el diseño debe focalizarse en la perspectiva del consumidor para crear normas sólidas de privacidad, tanto para su protección como para el tratamiento de datos. Asimismo, la privacidad desde el diseño también implica la rendición de cuentas, la responsabilidad y el liderazgo. Quienes están al frente de las organizaciones deben comprometerse con la privacidad desde el diseño para que esta se aplique en todos los productos o servicios que se desarrollen.
  • Ecosistema y ciclo de vida: La privacidad desde el diseño debe aplicarse desde un enfoque holístico, en el que se integren todos los factores contextuales necesarios (tipo de consumidores, uso del producto o servicio, datos procesados, etc.), puesto que organizaciones y tecnologías operan de manera conjunta, creando ecosistemas de información cada vez más amplios.

Principales características de la ISO 31700

La principal característica de la ISO 31700 es que pone el foco en la necesidad de que los productos o servicios dispongan por defecto de controles y ajustes de privacidad orientados al consumidor, capaces de proporcionar un nivel adecuado de privacidad, sin que esto suponga una carga extra para los propios consumidores, es decir, privacidad por defecto.

iso 31700

Estructura de la ISO 31700

Dejando a un lado las secciones del preámbulo, introducción, alcance, normativas de referencia y los términos y definiciones, la estructura de la ISO 31700 se divide en cinco secciones:

  • General:
    • Diseño de capacidades que permitan a los consumidores hacer valores sus derechos de privacidad.
    • Desarrollo de capacidades para determinar las preferencias de privacidad de los consumidores.
    • Diseño de interfaces persona-ordenador (HCI) para la privacidad.
    • Asignación de funciones y autoridades pertinentes.
    • Establecimiento de responsabilidades multifuncionales.
    • Desarrollo del conocimiento, la destreza y la capacidad en materia de privacidad.
    • Garantizar el conocimiento de los controles de privacidad.
    • Gestión de la documentación y la información.
  • Requisitos de comunicación con el consumidor:
    • Suministro de información sobre privacidad
    • Responsabilidad por el suministro de información sobre privacidad
    • Respuesta a las consultas y reclamaciones de los consumidores.
    • Comunicación a una población de consumidores diversa.
    • Preparación de comunicaciones sobre violación de datos.
  • Requisitos para la gestión de riesgos:
    • Evaluación de los riesgos para la privacidad.
    • Evaluación de las capacidades de terceros en materia de privacidad.
    • Establecimiento y documentación de los requisitos para los controles de privacidad.
    • Supervisión y actualización de la evaluación de riesgos.
    • Inclusión de los riesgos para la privacidad en el diseño de la resiliencia de ciberseguridad.
  • Desarrollo, despliegue y funcionamiento de los controles diseñados de privacidad:
    • Integración del diseño y la operación de controles de privacidad en los ciclos de vida de desarrollo y gestión de productos.
    • Diseño de controles de privacidad.
    • Implantación de controles de privacidad.
    • Diseño de pruebas de controles de privacidad.
    • Gestión de la transición de los controles de privacidad.
    • Gestión del funcionamiento de los controles de privacidad.
    • Preparación y gestión de una violación de la privacidad.
    • Funcionamiento de los controles de privacidad para los procesos y productos de los que depende el producto en cuestión a lo largo del ciclo de vida de la IPI.
  • Requisitos para el final del ciclo de vida de la IPI:
    • Diseño de controles de privacidad para la retirada y el fin de uso del producto.

¿Cómo aplicar la ISO 31700?

Para aplicar la ISO 31700 se recomienda seguir los siguientes pasos:

  • A la hora de aplicar la privacidad desde el diseño, se deben tener en cuenta los ciclos de vida de la IPI del consumidor y los ciclos de vida de los productos y servicios, para entender qué datos se generan a lo largo de los mismos y qué riesgos para la privacidad pueden darse.
  • Combinar la ISO 31700 con la norma ISO 27701 de sistemas de gestión de privacidad de la información y el marco de privacidad NIST.
  • Incluir en el diseño de productos y servicios funciones que permitan a consumidores y usuarios tener un mayor control sobre sus preferencias de privacidad, un sistema que permita que sean ellos mismos quienes decidan qué información comporten. Sin olvidar que los ajustes de privacidad, por defecto, siempre deberían ser los máximos.
  • Convertir la privacidad desde el diseño en un elemento transversal para la organización, que debe estar presente en todo desarrollo.
  • Elaborar elementos o materiales o vías de comunicación con los consumidores o usuarios claras y fáciles de comprender y usar, para que estos sepan que pueden configurar en todo momento los ajustes de privacidad de sus productos o servicios. Esto implica que la empresa debe conocer los distintos tipos de consumidores o usuarios a los que se dirigen sus productos o servicios y ser capaz de comunicarse con transparencia con cada uno de ellos.
  • Realizar análisis de riesgos para la privacidad de los consumidores o usuarios cuando se desarrolla un nuevo producto o servicio. Y realizar evaluaciones de impacto sobre la privacidad cuando del análisis de riesgos se concluya un elevado nivel de riesgo para la privacidad.
  • Integrar controles de privacidad en todas las operaciones y procesos de la empresa, así como en el ciclo de vida de productos y servicios.

Asimismo, para la aplicación de la ISO 31700 es necesario adoptar medidas de ciberseguridad y seguridad de la información, comunicar las vulneraciones de datos personales que se puedan sufrir y pongan en riesgo la IPI de los consumidores y usuarios y la gestión de proveedores, es decir, realizar las comprobaciones debidas para asegurar que los proveedores de la empresa respetan y aplican también los principios de la privacidad desde el diseño.

En definitiva, con la publicación de la ISO 31700, las organizaciones cuentan con un nuevo estándar al que acudir para guiarse en la aplicación de la privacidad desde el diseño en sus productos o servicio y tratamientos de datos personales, además de acreditarlo de cara a las autoridades de control.