AD 48/2021
RESUMEN
La privacidad desde el diseño se incorporó a la normativa de protección de datos europea con la promesa de un nuevo paradigma de productos y servicios concebidos con foco en la privacidad de sus usuarios. Este artículo pretende cuestionar la viabilidad de su implementación y poner en valor el impacto que su cumplimiento puede generar en el ecosistema digital. Para ello, se explora su origen, evolución y aplicación, y su relevancia en la actualidad y en el futuro.
Palabras clave
Privacidad desde el diseño; privacy by design; protección de datos; GDPR; datos personales
Vivimos en una época en la que es constante la proliferación de nuevos productos y servicios digitales. En gran parte, esto se debe a la rápida digitalización experimentada en la última década y a que cada vez es más fácil y ágil construirlos y ponerlos a disposición del público. En la actualidad, la mayoría de compañías acostumbran a tener, al menos, un producto o un servicio digital. Su sofisticación puede ir desde una sencilla página web en la que ofertar sus servicios hasta un conjunto de aplicaciones móvil y web con distintas funcionalidades.
Esta tendencia no para de incrementarse, por lo que, como profesionales, es cada vez más importante conocer la amplia normativa que afecta al diseño, desarrollo y uso de estos productos. Para ello, ya conocemos (y hay literatura de sobra) la LSSI [1], los aspectos más accionables del RGPD [2] y la LOPDGDD [3], sin embargo, ha pasado un poco desapercibido un principio tan estructural como ineludible para un cumplimiento real: la privacidad desde el diseño o privacy by design.
En este artículo podrás conocer su origen y significado, su aplicación dentro de la normativa, su integración dentro de compañías y equipos, y reflexiones sobre su relevancia en la actualidad.
I. Origen y definición
El concepto de privacidad desde el diseño no es nuevo. Se desarrolló por Ann Cavoukian, en su momento la comisaria de información y privacidad de Ontario (Canadá). Originalmente, su finalidad consistía en la integración de la privacidad durante todo el proceso de ingeniería de sistemas.
Se formalizó en el año 1995 tras la publicación del informe del Comisionado de Información y Privacidad de Ontario titulado “Privacy Enhacing Technologies: The Path to Anonimity”[4] . Aunque no fue hasta 2009 cuando se publicó el marco de aplicación original de la privacidad desde el diseño elaborado por Ann Cavoukian [5], que sigue siendo la referencia del concepto de privacidad que tenemos en la actualidad. Este marco de aplicación fue reconocido como un estándar internacional en 2010, cuando fue aprobado por la Asamblea Internacional de Comisiones de Privacidad y Autoridades de Protección de Datos [6]. Así, se reconocía oficialmente la importancia de incorporar los principios de privacidad dentro de los procesos de diseño y en la operación y gestión de los sistemas de las organizaciones, pero aún no era vinculante. No obstante, su reconocimiento sentó los pilares de la integración de la privacidad en estos procesos.
En 2016, la privacidad desde el diseño se incorporó al RGPD y desde entonces forma parte de la normativa de protección de datos personales a nivel europeo, resultando vinculante para los casos incluidos en su ámbito de aplicación. Igualmente, el principio se ha extendido a otras normativas, sobre todo, en forma de recomendaciones reconocidas a nivel global.
En la actualidad, el contexto es distinto que en 1997 y el significado original de la privacidad desde el diseño ha evolucionado, adaptándose al refuerzo de la normativa y las necesidades que han surgido en relación con el uso normalizado de productos y servicios que tratan datos personales de maneras cada vez más complejas. En el contexto de la protección de datos personales en la Unión Europea, el significado de la privacidad desde el diseño o privacy by design (también denominado data protection by design) es el siguiente:
“ (la privacidad desde el diseño es) la práctica de considerar los requisitos de privacidad desde las primeras etapas del diseño de productos y servicios. Por lo tanto, le confiere la categoría de requisito legal al principio de integrar las garantías para la protección de los derechos y libertades de los ciudadanos con relación a sus datos personales desde las primeras etapas del desarrollo de sistemas y productos.” [7]
En otras palabras, la privacidad desde el diseño consiste en tener en cuenta e integrar la privacidad de las personas en todo el proceso de diseño de productos y servicios. Como veremos, para un cumplimiento proactivo y demostrable (que es el marco exigido por el RGPD), abarca una amplia variedad de aspectos a tener en cuenta.
Como complemento, la privacidad desde el diseño está inevitablemente vinculada a otro principio que introduce el RGPD de forma conjunta: la privacidad por defecto o privacy by default. La privacidad por defecto, desde una perspectiva teórica, es uno de los principios fundacionales de la privacidad desde el diseño e implica proporcionar al usuario el máximo nivel de privacidad de forma predeterminada, es decir, los datos personales deben estar automáticamente protegidos en cualquier sistema, aplicación, producto o servicio. Por lo tanto, la privacidad desde el diseño supone, de forma implícita, el cumplimiento de la privacidad por defecto.
II. Aplicación
La privacidad desde el diseño aparece en el art. 25.1 del RGPD con la siguiente definición:
“Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.”
La inclusión de este principio en la normativa podría haberse limitado a ser otro principio que inspira una normativa y que luego, en la práctica, queda relegado a un elemento anecdótico. Por el contrario, la privacidad desde el diseño es un requerimiento legal cuyo incumplimiento es sancionable según el art. 83.4 a) RGPD y también un criterio agravante para otras infracciones como se expresa en el art. 83.2 d), por lo que parece que los legisladores sí han querido disuadir su incumplimiento.
Aún así, hay que ser realistas, la privacidad desde el diseño está integrada en la normativa como un principio de carácter amplio que no resulta tan accionable ni está tan tasado como, por ejemplo, el deber de informar, por lo que determinar y llevar a cabo todo lo que implica su cumplimiento puede ser una tarea compleja para algunos Responsables de tratamiento, al igual que valorar y justificar su incumplimiento se puede convertir en ardua tarea para los organismos sancionadores. De hecho, antes de la incorporación del principio a la normativa, ya se criticó en ocasiones la dificultad de aplicación del concepto desarrollado por Cavoukian.
El verdadero cumplimiento de la privacidad desde el diseño requiere un cambio organizacional y estructural que muchas empresas no están dispuestas a llevar a cabo. Implementar este principio puede suponer un gran esfuerzo, sin necesidad de que les reporte una gran “apariencia de privacidad”, índice que muchas compañías han demostrado seguir a la hora de adaptarse a la normativa. Es mucho más visible y sencillo adaptar la información obligatoria de protección de datos de una página web que establecer una coordinación efectiva y continuada entre distintos equipos y una supervisión precisa de los lanzamientos e iteraciones de cada producto digital.
En el ámbito comparado, hay más geografías, aunque no demasiadas, que han incorporado este principio a sus propias normativas, como ocurre con Colombia o Canadá. Por otra parte, gran cantidad de instituciones de privacidad a nivel global han reconocido este principio entre sus buenas prácticas y recomendaciones, como ocurre con Australia, EE.UU. o distintos países de Latinoamérica. Igualmente, debemos tener en cuenta que el ámbito de aplicación del RGPD ya es bastante amplio por defecto, y en consecuencia, el impacto del principio se producirá también a nivel global.
III. Implementación
En este punto, ya tenemos claro que la privacidad desde el diseño es un requerimiento legal que las compañías deben tener en cuenta como parte de su cumplimiento de la normativa de protección de datos, cuando les aplique. Sin embargo, la gran pregunta es: ¿cómo cumplir con la privacidad desde el diseño?
Como hemos visto, Ann Cavoukian estableció los principios fundacionales que conforman la privacidad desde el diseño y estos han servido como bases para inspirar su implementación en la práctica [8]. El Comité Europeo de Protección de Datos (EDPB) publicó recientemente unas Directrices [9] para ofrecer una orientación general sobre este requisito legal a nivel más exhaustivo y técnico, y la Agencia Española de Protección de Datos (AEPD) ha trasladado el marco original de Cavoukian al contexto del cumplimiento la normativa de protección de datos en su Guía de Privacidad desde el Diseño.
En líneas generales, para el cumplimiento de la privacidad desde el diseño se debe integrar sus principios fundacionales en los procesos de diseño de productos y servicios. Los principios en cuestión son los siguientes:
- Proactivo, no reactivo; preventivo, no correctivo.
En el diseño de cualquier sistema, proceso o infraestructura que vaya a utilizar datos personales debe identificarse, desde el inicio, los posibles riesgos sobre la privacidad de las personas y minimizarlos. En definitiva, hay que anticiparse a los eventos que afecten a la privacidad antes de que sucedan.
- La privacidad como configuración predeterminada
Cualquier producto o servicio que utilice datos personales debe establecer como configuración predeterminada o por defecto la que sea más privada posible para el usuario. Se espera la máxima protección de los datos personales desde el primer uso. Independientemente de que el titular de los datos pueda rebajar ese nivel de privacidad de forma voluntaria en un momento posterior.
- Privacidad incorporada en la fase de diseño
La privacidad no es una capa adicional o un módulo que se añade a algo preexistente, sino que debe estar incorporada al proceso de diseño desde el momento en el que se concibe el producto o servicio. Esta integración debe acompañar al proceso de diseño hasta la puesta a disposición del producto o servicio y durante su posterior mantenimiento.
- Funcionalidad total: pensamiento “todos ganan”
La aplicación del principio no persigue el fin de ganar privacidad a costa de perder funcionalidades, usabilidad o beneficio empresarial. El objetivo es conseguir un balance entre ambas cuestiones, a través de la búsqueda de nuevas soluciones que sean funcionales y eficaces, también desde la perspectiva de la privacidad.
- Aseguramiento de la privacidad en todo el ciclo de vida
La protección de los datos personales debe garantizarse en todas la etapas del ciclo de vida del dato. Por ejemplo: no debemos centrarnos solo en las fases de recogida o de supresión, sino mantener el mismo nivel de privacidad durante su mera conservación. Para ello, se debe valorar las medidas de seguridad que son más adecuadas en cada etapa.
- Visibilidad y transparencia
Se deben cumplir los requerimientos legales que tienen como fin informar sobre nuestro tratamiento de los datos personales y establecer mecanismos de comunicación con los titulares de los datos.
- Respeto por la privacidad de los usuarios: mantener un enfoque centrado en el usuario
El diseño de procesos, aplicaciones, productos y servicios debe tener en consideración las necesidades de los usuarios a los que se dirige, y entre ellos debe haber lugar para la garantía de los derechos sobre los datos personales de los usuarios. El usuario debe tener un papel activo en la gestión de sus propios datos y su inacción nunca debe suponer un menoscabo a la privacidad.
Una de las principales conclusiones al leer estos principios es que su cumplimiento requiere la coordinación de distintas áreas (no sólo la legal) y que, por las especificaciones a nivel técnico que se utiliza en ocasiones, así lo quieren también las instituciones. El equipo legal no debe soportar la responsabilidad sobre procesos en los que no interviene directamente y que, en muchos casos, escapan de su expertise. Al mismo tiempo y por la misma razón, tampoco tiene sentido que dicha responsabilidad recaiga en los equipos más técnicos.
Por otro lado, las organizaciones deben tener en cuenta que la materialización de la privacidad desde el diseño no puede limitarse a una supervisión o regularización final previa al lanzamiento del producto, por parte del equipo legal. Aplicar los requisitos de privacidad a posteriori del desarrollo o definición del producto es una técnica que, aparte de contraria al privacy by design, no siempre resulta eficaz ya que, aunque algunos de estos requisitos baste con añadirlos a lo ya construido (ej. deber de informar), no ocurre así en todos los casos. En ocasiones, es necesario redefinir el alcance del producto teniendo en cuenta los límites legales o realizar análisis de riesgos de mayor o menor complejidad. Por lo tanto, es esencial un apoyo legal a las áreas involucradas mantenido en el tiempo desde el inicio del proceso de diseño.
El cumplimiento de la privacidad desde el diseño requiere cumplir sus principios fundacionales, pero por su alcance puede considerarse que estas pautas son demasiado amplias para definir líneas de actuación concretas. Para orientarse en su implementación se puede contar con diversas guías y recomendaciones de instituciones tanto nacionales como internacionales, y desde diferentes perspectivas más allá de lo puramente jurídico, algunas se centran en los procesos de diseño [10] y muchas en las técnicas de ingeniería recomendadas y cómo aplicarlas [11].
Teniendo en cuenta estas conclusiones, encuentro clave para el cumplimiento las siguientes consideraciones organizacionales:
- Coordinación entre los equipos involucrados en la construcción del producto.
Dependiendo de la estructura de la empresa, habrá áreas que, con bastante probabilidad, estarán involucradas en el proceso de diseño de los productos, como los departamentos encargados del diseño, la ingeniería de sistemas o el análisis de datos. Para poder realizar una integración ágil y precisa de la privacidad desde el diseño, puede resultar muy útil para los abogados o asesores conocer sus formas de trabajar, que normalmente implican el uso de metodologías Agile y conceptos que resultan ajenos al universo legal.
Una mayor comunicación entre equipos favorece la detección de posibles riesgos clave de forma temprana y, en consecuencia, su mitigación. Por ejemplo: el conocimiento temprano de las técnicas de tratamiento de datos masivos que utilizarán los analistas de datos y un mapeo de los datos que se pretende usar pueden resolver situaciones que, en una fase más avanzada del proceso, puede suponer un bloqueo o un gasto mayor de recursos y de tiempo para la organización.
El diseño y desarrollo de productos y servicios digitales puede ser muy dinámico, por lo que el aseguramiento de su privacidad implica un acompañamiento continuo del equipo legal, que además no cesa una vez lanzada la primera versión del producto o servicio. A medio plazo, esta coordinación puede facilitarse con la elaboración y aplicación de estándares o marcos de trabajo.
- Formación básica sobre privacidad.
El hecho de que los profesionales de las áreas involucradas en los procesos conozcan los conceptos básicos de privacidad que pueden afectar a sus funciones les permitirá aplicar un pensamiento desde la privacidad desde el inicio. Esta base de conocimiento también facilitará la coordinación y la comunicación con el equipo legal, ya que sabrán consultar a tiempo, y al mismo tiempo les hará más eficientes ya que se podrán ajustar por su cuenta a los límites legales que apliquen.
La normativa ya hace referencia a técnicas concretas y recomienda ciertas medidas cuya implementación y conocimiento recae en áreas como diseño o ingeniería. Trasladar esa información a estas áreas puede resultar en un cumplimiento más eficaz y ágil. Ya ocurre con las recomendaciones del RGPD sobre cómo plasmar el deber de informar(ej. considerando 60 RGPD), y se observa con una perspectiva más amplia cuando se habla de patrones de diseño de privacidad y las PETS (privacy enhancing technologies).
Para estandarizar el proceso de diseño integrando la privacidad se utilizan patrones de diseño de la privacidad, que son soluciones reutilizables que resuelven problemas de privacidad que se presentan de forma reiterada en el desarrollo de productos y sistemas. Por otro lado, si se quiere implementar estos patrones con una tecnología concreta existen las Privacy Enhancing Technologies o PETs que son un conjunto organizado y coherente de soluciones TIC que reducen los riesgos que afectan a la privacidad. Ambos, son grandes aliados en el cumplimiento de la privacidad en el desarrollo de productos digitales. Tanto la ENISA en sus diversos informes, como la AEPD, lista varios tipos de PETs (por ejemplo: herramientas para anonimizar, herramientas para el cifrado o supresores de seguimiento) y de patrones de diseño (por ejemplo: alertas de tratamiento, iconos de privacidad, control de acceso o seudonimización de información).
Las compañías deben comprender que la integración de este principio también implicaría el cumplimiento implícito de muchos otros aspectos de la normativa. Una compañía cuyo modelo de negocio incluya una alta actividad en el desarrollo y lanzamiento de productos corre, de por sí, un alto riesgo de incumplir la normativa. Un cambio estructural que integre la privacidad desde el diseño en los procesos puede ser costoso y extendido en el tiempo para una gran corporación pero, a largo plazo, va a evitar, no solo que se sancione a la compañía por el incumplimiento de dicho principio, sino que también evitará el incumplimiento de muchas otras cuestiones de la normativa que se encuentran implícitas en el desarrollo de productos digitales.
V. Su relevancia en al actualidad
Sentadas las bases del principio, debemos aceptar que su mera existencia no implica su relevancia o influencia en el panorama actual. Como adelantamos en un apartado anterior, este principio tiene un gran alcance y su cumplimiento puede suponer un esfuerzo para algunas empresas que no tiene por qué plasmarse en “apariencia de cumplimiento”. Su cumplimiento no resulta ni rápido ni sencillo, al igual que valorar su incumplimiento.
No obstante, ya se han impuesto las primeras multas por incumplimiento de este principio. En 2019, la Autoridad Rumana de Protección de Datos sancionó a la entidad UNICREDIT BANK, S.A. por la infracción del art. 25.1 RGPD, que regula la privacidad desde el diseño, con una multa equivalente a 130.000 euros. La autoridad sancionadora consideró que la falta de implementación de las medidas necesarias durante el proceso de diseño que garantizaran la privacidad originó la revelación de datos personales durante ciertos procesos de pago, afectando a 337.042 clientes [12]. Ese mismo año, la Comisión de Protección de Datos de Berlín sancionó con una suma de 14,5 millones de euros a la compañía Deutsche Wohnen SE, dedicada al sector inmobiliario, por la infracción de ese mismo artículo. En este caso, la infracción se produce al no garantizar el ciclo de vida del dato, ya que la base de datos que utilizaban para archivar los datos personales de los inquilinos no ofrecía la posibilidad de eliminar datos que ya no fueran necesarios para el fin con el que fueron recogidos. Estaban conservando datos de inquilinos como el salario, los contratos de trabajo o seguros de salud [13]. Respecto a la cantidad de la multa, la autoridad berlinesa se justifica con que las multas en cada caso no solo deben ser efectivas y proporcionales, sino también disuasorias. Esta sanción ha sido posteriormente invalidada por un tribunal alemán por falta de actos que sustenten la infracción de este requerimiento.
Aunque pocas, las sanciones muestran cierto compromiso de las instituciones respecto al cumplimiento de este principio. Por lo tanto, es posible que su presencia en la normativa se haga cada vez más notable para las compañías. El fomento de este concepto se refuerza con discursos como el de Giovanni Buttarelli, en su momento Supervisor Europeo de Protección de Datos, en el que señaló el impacto que la privacidad desde el diseño aspira a tener en el panorama digital y destaca la importancia de conseguir una implementación efectiva, para que no quede relegado como un concepto con el que decorar discursos de instituciones y activistas [14].
Sin embargo, hoy en día hay agentes que pueden influenciar más que las instituciones: las grandes corporaciones tecnológicas. En diciembre de 2020, Apple implementó una medida en su App Store que amenaza a todas las compañías que no cumplan con sus condiciones. En concreto, requiere a los desarrolladores proporcionar información detallada sobre las prácticas de privacidad de la aplicación con el fin de marcar el grado de privacidad de las aplicaciones. En la página del producto los usuarios pueden conocer, de forma transparente, los riesgos que asumen al descargarlas, por ejemplo: los tipos de datos que recoge o si se usan para realizar un seguimiento. Por lo tanto, si la normativa no consigue que las empresas cumplan, puede que lo acabe haciendo el Mercado.
Esta tendencia no es casual, los usuarios son cada vez más conscientes de la privacidad de sus datos y no dudan en cambiar de producto si no se adecua a sus estándares de privacidad. Así ocurrió en 2020 en Estados Unidos cuando Whatsapp cambió sus términos y condiciones de uso en los que, entre otras cosas, obligaba a los usuarios a compartir su información con Facebook. Aunque, gracias a la normativa, este hecho no nos afecte en la Unión Europea, este suceso generó en países como EE.UU. un potente movimiento en el que se animaba a eliminar la aplicación y emigrar a otra aplicación de mensajería llamada Signal, que mostraba un mayor compromiso con la privacidad de los usuarios [15].
Como conclusión, son varias las cuestiones que resultan favorables respecto al futuro de la privacidad desde el diseño y, a título personal, considero que su integración real será beneficiosa tanto para usuarios como para compañías.
María Fernández Romero
8 de abril de 2021
BIBLIOGRAFÍA
- LSSI: Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
- RGPD: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos)
- LOPDGDD: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales
- Privacy Enhancing Technologies: The Path to Anonimity. Comisionado de Información y Privacidad de Ontario. 2000.
- Privacy by design: the 7 foundational principles. Ann Cavoukian. 2009
- Resolution on Privacy by Design. 32nd International Conference of
Data Protection and Privacy Commissioners (Jerusalem, Israel). 27-29 October, 2010
- Guía de Privacidad desde el Diseño (pg. 5). Agencia Española de Protección de Datos. 2019
- Privacy by design: the 7 foundational principles. Implementation and Mapping of Fair Information Practice. Ann Cavoukian. 2010.
- Guidelines 4/2019 on Article 25 Data Protection by Design and by Default. European Data Protection Board (EDPB). 2019.
- ISO standard: Consumer Protection: Privacy by Design for Consumer Goods and Services (ISO/PC317). Este estándar especifica el proceso de diseño adecuado para proporcionar productos y servicios que garanticen la privacidad de los consumidores.
- Privacy and Data Protection by Design – from policy to engineering. ENISA. 2014.
- Nota de prensa de la Autoridad Rumana de Protección de Datos sobre la multa a UNICREDIT BANK: https://www.dataprotection.ro/index.jsp?page=Comunicat_Amenda_Unicredit&lang=en
- Nota de prensa sobre la multa a Deutsche Wohnen SE: https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2019/20191105-PM-Bussgeld_DW.pdf
- Privacy by Design – Privacy Engineering. Discurso de Giovanni Buttarelli. 11th International Computers, Privacy and Data Protection Conference (CPDP). Bruselas (Bélgica). 2018.
- Artículo sobre la controversia de privacidad de Whatsapp. Whatsapp Users Urged to Download Signal, Skype Following Controversial Privacy Update. 2021.
Tras varios años ejerciendo como abogada especializada en protección de datos y Tecnologías de la Información (IT), actualmente trabaja como diseñadora de experiencia de usuario (UX) en BBVA y asesora legalmente a empresas en la creación de productos digitales de forma independiente.
