La Agencia Española de Protección de Datos publica una guía para facilitar la aplicación del principio de privacidad desde el diseño

10-2019

El objetivo de la guía es facilitar la incorporación de los principios de protección de datos y los requisitos de privacidad en nuevos productos y servicios desde el momento en el que comienzan a diseñarse

 

El Reglamento (UE) 2016/679, General de Protección de Datos, estableció la protección de datos desde el diseño y por defecto (PdD) como una obligación legal que todo responsable del tratamiento debe cumplir. Saber implementar este principio en la práctica puede resultar una tarea complicada dado el carácter genérico del mismo y la dificultad de traducirlo a soluciones tecnológicas que verdaderamente conviertan la privacidad en parte integral de los productos y/o servicios de las empresas.

La guía es un documento de carácter muy práctico que comienza definiendo los principios fundacionales de la PdD:

  1. Proactivo, no reactivo; Preventivo, no correctivo
  2. La privacidad como configuración predeterminada
  3. Privacidad incorporada en la fase de diseño
  4. Funcionalidad total: pensamiento “todos ganan”
  5. Aseguramiento de la privacidad en todo el ciclo de vida.
  6. Visibilidad y transparencia
  7. Enfoque centrado en el sujeto de los datos

Continua explicando que la PdD debe concebirse como una suma integral del enfoque al riesgo y la responsabilidad proactiva, y a los riesgos de seguridad (confidencialidad, integridad y disponibilidad), añade tres nuevos objetivos de protección: i) desvinculación, ii) transparencia y, iii) control.

Estos seis objetivos establecen un marco global de protección en el tratamiento de los datos personales y determinan, como resultado de la realización de una evaluación de los riesgos sobre su afectación, otro tipo de atributos o requisitos no funcionales que debe satisfacer el sistema y que se convierten en las entradas de los procesos de diseño de la privacidad.

Con los resultados obtenidos del análisis de riesgos, los responsables del tratamiento deben aplicar "ingeniería de la privacidad" que consiste en el uso de conocimientos y técnicas de ingeniería para gestionar los riesgos asociados a sistemas planificados y autorizados que recogen, usan y divulgan información personal. Para entender este concepto, la guía explica qué son las estrategias de privacidad, los patrones de diseño de la privacidad y las tecnologías de privacidad mejorada e incluye un amplio catálogo de diferentes estrategias para la práctica.

Asegurar la privacidad y establecer un marco de gobernanza que garantice la protección de los datos personales no representa un obstáculo para la innovación. Muy al contrario, ofrece ventajas y oportunidades para todos los participantes (responsables, proveedores, desarrolladores de productos y aplicaciones, fabricantes de dispositivos e interesados).