AD 22/2021
Privacidad desde el Diseño: ¿Cómo aplicarlo en la práctica?
Keywords: Privacidad desde el diseño, cumplimiento, requisitos de privacidad, datos personales
RESUMEN: La protección de la privacidad va más allá del mero cumplimiento normativo y es cada vez más notable su valor añadido como elemento de competitividad y confianza de cara a los usuarios. Integrar la privacidad en los productos, servicios o procesos que requieren el tratamiento de datos no debe ser entendido como una ardua tarea o un inconveniente si no como una ventaja. El presente artículo, destaca el valor de identificar los elementos de privacidad a fin de definir y aplicar los requisitos de cumplimiento y garantías de refuerzo para la protección de los datos personales desde el diseño y por defecto.
I.- El valor de la privacidad.
La privacidad, al margen de ser una cuestión de cumplimiento normativo, se ha convertido en un elemento de competitividad y valor añadido.
De hecho, es cada vez más habitual que la publicidad de determinados productos o servicios tecnológicos ensalcen como valor de diferenciación la protección de la privacidad, priorizando esta característica como una funcionalidad en sí misma, incluso en detrimento de la experiencia de usuario[1]. Pero integrar la privacidad en un producto, servicio o proceso no debe afectar a su plena funcionalidad o usabilidad, si no formar parte de los intereses perseguidos en igual instancia que los demás objetivos comerciales.
Los usuarios, somos cada vez más conscientes del valor de nuestros datos. La reacción a los cambios en los Términos y Condiciones de Whatsapp, en lo que respecta al tratamiento de la información de los usuarios, aun cuando no fuesen dirigidos a residentes europeos, es buena prueba de ello.
No cabe duda, por lo tanto, que ofrecer productos y servicios respetuosos con el derecho a la privacidad de los usuarios y la protección de la información es esencial para ser competitivo y generar confianza en el mercado. Algo que, por otro lado, no debería resultar excepcional, teniendo en cuenta que el derecho a la protección de datos es un derecho fundamental.
Y ello, con el riesgo añadido de sanción en caso de incumplimiento, que, en supuesto de infracciones graves pueden llegar a alcanzar los 20 millones de euros o hasta el 4% del volumen de negocio del total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.
Desde luego no faltan razones para integrar la protección de datos en el “ADN” de cualquier actividad.
II.- La privacidad desde el diseño.
La mejor forma de integrar la privacidad como una característica de los productos o servicios es analizar el proyecto desde la perspectiva de protección de datos desde el momento inicial del cualquier proyecto (privacidad desde el diseño y por defecto).
El Reglamento Europeo de Protección de Datos (RGPD)[2], establece la obligación de aplicar medidas técnicas y organizativas apropiadas con el fin de incorporar de forma efectiva los principios de protección de datos e integrar las garantías necesarias para cumplir los requisitos de la normativa y proteger los derechos de los interesados, en el momento de determinar los medios del tratamiento y durante el desarrollo del tratamiento en sí mismo. y por defecto (de forma predeterminada durante todo el proceso).
Cumplir con dicha obligación requiere la integración de la privacidad de forma proactiva, desde el planteamiento inicial de todos los procesos y proyectos y durante su desarrollo, manteniéndose de forma predeterminada durante todo el ciclo de tratamiento de los datos de carácter personal, como un elemento esencial, no adicional.
Pero habitualmente la preocupación por la privacidad surge cuando el proyecto ya está avanzado, lo que provoca que su análisis y adecuación a la normativa sobre protección de datos se perciba como un obstáculo e inconveniente.
La identificación tardía de los elementos que requieren la aplicación de medidas para proteger la privacidad de los interesados, además de provocar que su incorporación posterior pueda retrasar o paralizar el proyecto, genera mayores riesgos de incumplimiento, ya que será más probable que se obvien elementos que afectan al tratamiento de los datos sobre los que hubiese sido necesario aplicar garantías de protección y cumplimiento.
Sin embargo, identificar desde el planteamiento inicial los elementos que afectan a la privacidad de los usuarios y los requisitos de cumplimiento que deben incorporarse, adoptando medidas preventivas en lugar de correctivas, permitirá tener un conocimiento más profundo de las actividades del tratamiento que requiere el desarrollo del proyecto (ya sea un producto, un servicio o un procedimiento interno) y de sus características, minimizando los riesgos para los derechos de los interesados, generando confianza en el público al que ira dirigido y evitando las sanciones por infracción de la normativa y el daño reputacional asociado.
Además, incorporar las garantías adecuadas para la protección de datos desde el diseño evitará tener que redefinir los sistemas y procesos continuamente y, por lo tanto, incurrir en costes futuros asociados a la implantación de estos requisitos.
III. ¿Cómo integrar la protección de la privacidad desde el diseño?
1º IDENTIFICAR LOS ELEMENTOS QUE AFECTAN A LA PRIVACIDAD.
En primer lugar, será imprescindible identificar en la fase de diseño o planificación del proyecto los elementos que afectan o podrían afectar a la privacidad. Para ello, es importante plantearse, al menos, las siguientes cuestiones básicas:
¿Necesito tratar datos personales?
¿Para qué finalidades? ¿Cuál es mi objetivo principal y cuales son secundarios?
¿Qué datos voy a recopilar?
¿Todos los datos son necesarios?
¿Quiénes se verán afectados por el tratamiento?
¿Cuál es el canal de recogida/obtención de los datos?
¿Dónde se almacenarán y tratarán los datos?
¿Quién va a tener acceso a los datos?
2º) DEFINIR LOS REQUISITOS DE CUMPLIMIENTO E INTEGRAR LAS MEDIDAS DE PROTECCIÓN Y GARANTÍAS.
Conocer los elementos básicos del tratamiento de datos que va a requerir el proyecto que se prevé desarrollar permitirá definir los requisitos de cumplimiento y tenerlos en cuenta como necesidades inherentes al proyecto. La protección de la privacidad no debe quedar en segundo plano en favor de otros intereses comerciales, ni estar enfrentada a la eficiencia o funcionalidad del producto, servicio o proceso que se prevé llevar a cabo. Y para ello, es más práctico empezar desde la base, previendo los requisitos de privacidad junto al resto de elementos y necesidades del producto, servicio o proceso en desarrollo a fin de aplicar las medidas adecuadas de protección.
Por ejemplo: la determinación de la base jurídica de legitimación de cada finalidad del tratamiento prevista deberá tenerse en cuenta en el diseño del canal de recogida de los datos, valorando si debemos integrar un mecanismo de obtención del consentimiento, cómo vamos a informar, en qué términos, etc. Si el desarrollo y puesta en marcha del proyecto requiere la participación de terceros que van a acceder o tratar de cualquier forma los datos de los usuarios/interesados, la categoría en la que interviene y como se relacionará con la entidad que realiza el desarrollo o con quien disfrute del servicio o producto resultante, deberá haber sido analizada y regularizada previamente.
Adicionalmente a los requisitos de cumplimiento en sentido estricto, tener una visión amplia del tratamiento de datos previsto permitirá aplicar garantías adicionales de protección por relación a los principios relativos al tratamiento, recogidos en el artículo 5 del RGPD y, en particular
- diseñar los productos, servicios o procesos de forma que se reduzca al máximo el tratamiento de datos personales, tratando únicamente aquellos datos que resulten necesarios para los fines previstos (principio de minimización de datos y limitación de la finalidad);
- prever un sistema de supresión o bloqueo seguro de la información, por relación a los plazos de conservación de los datos, necesarios para cada finalidad prevista (limitación del plazo de conservación);
- Aplicar medidas técnicas, organizativas y de seguridad por defecto como el cifrado, la anonimización y/o seudonimización de los datos personales.
- Incorporar mecanismos que permitan al usuario tener el control de sus datos, como medidas de transparencia reforzada.
El esquema seguido para realizar este análisis debe consolidar una metodología interna, adaptado a la naturaleza y necesidades de cada entidad.
No hay excusas. La privacidad debe ser entendida como una ventaja y no como un inconveniente. Los datos, bien usados y con las garantías adecuadas, son el motor de la innovación.
Nelia Álvarez
19 de febrero de 2021
[1]‘The Big Shift’: Internal Facebook Memo Tells Employees to Do Better on Privacy: http://archive.vn/seUul#selection-1031.0-1041.135
[2] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.
Nelia Álvarez Garcia es Abogada especializada en protección de datos y derecho digital y forma parte del equipo de Tecnología, Innovación y economía Digital de Ceca Magán Abogados
