¡Pide presupuesto en 2 min! ✓
Glosario

¿Qué es el Privacy by Design?

7 Mins read

El Reglamento Europeo de Protección de Datos , RGPD, ya está aquí.

Y como toda nueva normativa, trae consigo nuevos principios y conceptos no contemplados anteriormente, como el Accountability o la Privacidad desde el Diseño.

¿No tienes claro que significa ninguno de ellos?

¡No te preocupes! A continuación te vamos a explicar qué es la Privacidad desde el Diseño o Privacy by Design.

No obstante, aprovecho para recomendarte la lectura del artículo sobre el principio de Accountability.

Privacy by design

Uno de los principales cambios que trae consigo el nuevo Reglamento Europeo de Protección de Datos es el concepto estructurador de Privacidad desde el Diseño y por Defecto o Privacy by Design.

¿Qué es?

Con el avance de las nuevas tecnologías, y sobre todo el hecho de que cada vez damos más de nuestros datos a las empresas, está claro que la protección de datos y la intimidad están unidas en todo el ciclo de vida de dichas tecnologías, desde el momento en el que se plantea su diseño hasta su definitivo despliegue y utilización por el público general.

Antes la práctica habitual en el diseño de un nuevo producto o servicio era, sacarlo al mercado y luego analizar la cuestión legal una vez en funcionamiento.

¡Cuidado! Ahora, lo que viene a enunciar este nuevo concepto es que se debe abordar la cuestión técnica y tener en cuenta las leyes de privacidad en el momento del diseño de la app o software, no después.

Principios de la Privacidad desde el Diseño

principios privacidad desde el diseño

 

Este concepto se estructura a través de los siguientes principios:

Preventivo, no Correctivo; Proactivo, no Reactivo

Este concepto se basa en medidas proactivas, es decir, previene y anticipa problemas de privacidad antes de que ocurran.

Es decir, no espera a que los riesgos se materialicen.

No ofrece tampoco remedios para resolver los problemas una vez que han ocurrido, ya que su finalidad es prevenir antes de que ocurran.

Privacidad como Configuración Predeterminada

La clave de este principio es que un producto o servicio desarrollado bajo este concepto, no requiere ninguna acción por parte del usuario para proteger sus privacidad.

Aunque la persona no realice ninguna acción la privacidad se mantiene intacta, ya que se encuentra predeterminada.

Los datos personales deben estar automáticamente protegidos en cualquier sistema tecnológico.

Privacidad Incrustada en el Diseño

La privacidad debe convertirse en una parte esencial del producto o servicio que se está desarrollando.

La protección de datos personales es parte integral del sistema, y no debe influir en su funcionalidad.

Funcionalidad Total

Es habitual escuchar que “si se garantizara totalmente la privacidad del usuario no sería tan barato o tal útil el servicio”.

Muchas entidades intentan que pongamos en riesgo nuestra privacidad porque nos dicen que así conseguimos nuevas funcionalidades, mejores experiencias, etc.

El Privacy by Design viene a acabar con todo esos falsos anuncios, demostrando que un producto o servicio puede estar plenamente operativo con todas las funcionalidades activas, sin dejar de lado la privacidad de los usuarios.

Seguridad Extremo a Extremo

Se pretende que la privacidad englobe el ciclo de vida completo del sistema o servicio.

Es decir, desde el primer momento, antes de que el primer dato personal sea recolectado, hasta la eliminación del servicio, la privacidad ha sido constante.

La Privacidad desde el Diseño garantiza que durante la vida de instrumento tecnológico la información sea segura, desde el “nacimiento” hasta el “fallecimiento”, desde un “extremo a otro”.

Visibilidad y Transparencia

Se busca asegurar a todos los involucrados que cualquiera que sea la tecnología o práctica que se utilice, esta:

  • está funcionando bajo los objetivos declarados
  • puede someterse si es necesario a una verificación independiente
  • sus componentes y operaciones permanecen visibles y transparentes a usuarios y proveedores

Por lo tanto lo que se busca es que se confíe en el sistema, y que se pueda verificar siempre que solicite.

Respeto por la Privacidad de los Usuarios

La clave del Privacy by Design se encuentra en que los diseñadores y operadores de la plataforma o app mantengan en una posición predominante, los intereses de las personas.

Se debe mantener al usuario en el centro de las prioridades.

Normativa

Este concepto no lo encontramos en un artículo en concreto sino que se hace mención a él en diferentes apartados del RGPD.

Considerando 78 del RGPD

“…A fin de poder demostrar la conformidad con el presente Reglamento, el responsable del tratamiento debe adoptar políticas internas y aplicar medidas que cumplan en particular los principios de protección de datos desde el diseño y por defecto…”

Es decir, se deberá aplicar las medidas técnicas y de organización apropiadas para que la entidad pueda demostrar a los usuarios el cumplimiento de todos y cada uno de los requisitos de la normativa.

Artículo 25.1 del RGPD

“…teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, concebidas para aplicar de forma efectiva los principios de protección de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados…”

Por tanto se impone al Responsable del tratamiento que:

  • Establezca medidas técnicas
  • Diseñe medidas organizativas

Que sean adecuadas para que se aplique la protección de datos de forma eficaz.

Medidas para aplicar este principio

Está claro que este principio es clave para el cumplimiento del RGPD.

Por lo que, a la hora de fijar las medidas, habrá que tener en cuenta:

  • La naturaleza, ámbito, contexto y finalidad del tratamiento
  • Los riesgos de diversa probabilidad y gravedad (no sólo respecto al riesgo alto)
  • Estado de la técnica
  • Coste

¿Por qué?

Porque no todos los sistemas son iguales, como tampoco son iguales los datos que se van a recoger.

Por lo tanto lo que vemos es que el RGPD nos lleva a una protección de datos mucho más particular y específica.

¿Y para las empresas?¿Todo esto que supone?

Teniendo un enfoque más práctico, ¿qué va suponer esto para mi empresa?

Pues que a la hora de diseñar o contratar una plataforma o aplicación con incidencia en la privacidad deberemos tener en cuenta:

  • Las necesidades especiales para proteger la información privada
  • Aspectos técnicos
  • Aspectos jurídicos

Con esto evitaremos tener que estar rediseñando los sistemas para adaptarlos a este ámbito, por lo que reduciremos los costes,  ya que puede resultar bastante caro tener que salvar errores después de que ya se ha diseñado o implementado el servicio o plataforma en la entidad.

¡Importante a tener en cuenta! Las medidas que se adopten deberán ser en proporcionales y en función de la sensibilidad de los datos que se pretenden recoger o tratar.

Principales dificultades a la hora de aplicar el PbD

Existen diversos problemas por los cuales , hoy en día es difícil aplicar el Privacy by Design en la mayoría de las entidades.

Cambio de mentalidad

Por desgracia, casi siempre se apuesta por valorar el riesgo y solucionarlo después de que ha ocurrido.

A partir  de ahora habrá que ser proactivo y establecer las medidas necesarias desde el primer momento para que los riesgos no se materialicen.

El coste no justifica su implantación

La inversión que supone la protección de la privacidad muchas veces no se considera prioritaria para las entidades, y desde la dirección de las mismas obvian estas necesidades.

No se ve prioritaria la privacidad de los usuarios

Muchas veces los culpables son los propios diseñadores de la plataforma los que no ven prioritaria la introducción de funcionalidades que pretendan preservar totalmente la privacidad, ya que ven necesarios los recursos que deberían ser destinados aquí, a otras funcionalidades que les podrían llegar a ser más competitivos y por lo tanto generar más ingresos.

¡Pero esto tiene que cambiar!

Ejemplo de cómo aplicar la privacidad desde el diseño en una empresa

La empresa Deportitis S.A., está diseñando una aplicación móvil a través de la cual los usuarios puedan organizar partidos de sus deportes favoritos con otros usuarios, pudiendo marcar sus preferencias de deportes, horarios, lugar para la celebración del partido, etc.

Si Deportitis al basarse en el concepto de Privacy By Design para desarrollar la aplicación deberá seguir los siguientes pasos

  1. Analizar los datos que se van a tratar y ver que consideración tienen.
  2. Establecer mecanismos predeterminados que velen por la máxima privacidad para el usuario
  3. Los ajustes de privacidad del usuario saldrán de partida con la máxima privacidad. Deberá ser el usuario el que los modifique si desea tener menos (Aunque siempre cumpliendo un mínimo)
  4. Realizar antes del lanzamiento de la aplicación pruebas con datos no reales.

En definitiva, no deberemos ser nosotros los que decidamos la privacidad del usuario, deberemos darle la aplicación con los máximos ajustes de privacidad y será él el que decida si bajarlos o no.

En conclusión

La privacidad de los usuarios y la seguridad de la información se ha convertido en un asunto clave en la nueva era digital.

Todos aquellos que traten datos personales de terceros deben concienciarse de:

  • Tratar los datos de la forma más segura posible
  • Diseñar procedimientos que desde el principio velen por la privacidad del usuario
  • Evitar riesgos relativos a la seguridad de la información

Por lo tanto es fundamental para las empresas que dispongan de expertos en la materia que les ayuden a diseñar desde el primer momento los procedimientos y ejecutar análisis iniciales de los productos y servicios.

 

Esperamos haber ayudado a clarificarte el significado de la Privacidad desde el Diseño, que incorpora el RGPD.

No obstante, al ser un concepto general te pueden surgir dudas de como aplicarlo a tu entidad en particular.

Si es así ponte en contacto con nosotros, en el Tlf 91 489 64 19 o acércarte a la oficina más cercana de Grupo Ático34, uno de nuestros consultores estará encantado de atenderte

 

Related posts
Glosario

Economía sumergida. Definición, causas y consecuencias

10 Mins read
Existen actividades de carácter financiero que se escapan al control del Estado y que afectan directamente al Producto Interior Bruto del país….
Glosario

¿Qué es el curriculum oculto y cuál es su importancia en la enseñanza?

13 Mins read
El plan de estudios visible es lo que se nos dice que enseñemos: matemáticas, ciencias, idiomas, etc. Pero hay mucho más que…
Glosario

Soft Law o derecho blando y su papel en el derecho internacional

10 Mins read
¿Has oído hablar de soft law o ley blanda? ¿Conoces las diferencias entre soft law y hard law? Aquí te contamos en…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.