A finales de la semana pasada, la AEPD publicó la Guía de Privacidad desde el Diseño (la “Guía”). Aunque el concepto de Privacidad desde el Diseño (“PdD”) se incluyó en el RGPD alcanzando el estatus de requisito legal, es un viejo conocido en el ámbito de la protección de datos ya desde los años 90.

La PdD debe ser entendida como “la necesidad de considerar la privacidad y los principios de protección de datos desde la concepción de cualquier tipo de tratamiento” hasta su última instancia. Se trata de un concepto centrado en la gestión del riesgo y la  accountability que busca incorporar la privacidad a lo largo del ciclo de vida de un producto / sistema / servicio / proceso. Conlleva la aplicación de medidas de protección de la privacidad en todos los procesos y prácticas empresariales vinculados a los datos personales.

Principios fundacionales de la PdD

La Guía analiza los principios fundacionales de la PdD definidos por Ann Cavoukian:

1.      Proactivo, no reactivo; Preventivo, no correctivo La PdD implica anticiparse, es decir, prever los eventos y riesgos que afectan a la privacidad antes de que se materialicen. Los procesos que impliquen el tratamiento de datos personales deben concebirse y diseñarse desde el principio teniendo en cuenta el riesgo para los derechos y libertades de los interesados, de modo que se puedan tomar medidas proactivas.
2.      La privacidad como configuración predeterminada La PdD incluye y se combina con el principio de Privacidad por Defecto, ya que implica establecer los sistemas y procesos de forma que los datos personales queden automáticamente protegidos. Es decir, si los interesados no modifican la configuración predeterminada, deben quedar directamente protegidos. Como establece la Guía: “Este principio, llevado a términos prácticos, se fundamenta en la minimización de datos a lo largo de todas las etapas del tratamiento: recogida, uso, conservación y difusión”.
3.      Privacidad incorporada en la fase de diseño Este punto significa que los sistemas, aplicaciones, productos y servicios, así como las prácticas de negocio y procesos de la organización deben tener como base la protección de los datos personales y la intimidad, debiendo integrarse de forma natural.
4.      Funcionalidad total: pensamiento “todos ganan” / Win Win Pese a una mal extendida creencia, la privacidad no se opone al beneficio del negocio ni al uso de la información. Un enfoque en el que todos salgan ganando (win-win) es imprescindible a la hora de abordar nuevas soluciones para lograr resultados plenamente funcionales, eficaces y eficientes, tanto a nivel empresarial como de privacidad.
5.      Aseguramiento de la privacidad en todo el ciclo de vida

La protección de la privacidad debe garantizarse a lo largo de todo el ciclo de vida de los datos, y su seguridad implica la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas que los almacenan. La protección de la privacidad también garantiza la desvinculación (unlinkability), la transparencia y la capacidad de intervención y control del interesado en el tratamiento (intervenability).

Es esencial analizar todas las etapas del tratamiento y aplicar las medidas de seguridad adecuadas en cada una de ellas para lograr la protección durante el ciclo de vida completo.

6.      Visibilidad y transparencia Este principio refuerza la importancia de poder demostrar diligencia y responsabilidad proactiva (accountability).
7.      Respeto por la privacidad de los usuarios: mantener un enfoque centrado en el usuario Cualquier medida que se adopte debe centrarse en garantizar la privacidad y la protección de datos. Como se explica en la Guía, se trata de “diseñar procesos, aplicaciones, productos y servicios “con el usuario en mente”, anticipándose a sus necesidades. El usuario debe tener un papel activo en la gestión de sus propios datos y en el control de la gestión que otros hagan con ellos. Su inacción no debe suponer un menoscabo a la privacidad”.

Objetivos de privacidad y seguridad

La Guía continúa explicando cómo los objetivos tradicionales para diseñar sistemas seguros y fiables ya no son suficientes. Estos objetivos tradicionales consistían en la (a) confidencialidad, (b) integridad y (c) disponibilidad. Es decir, objetivos de seguridad centrados en los riesgos y amenazas que rodean a la privacidad.

Sin embargo, hoy en día es necesario ampliar el alcance del análisis y los objetivos. Para garantizar los principios del RGPD, también deben tenerse en cuenta los siguientes objetivos centrados en la protección de la privacidad (especialmente con vistas a la realización de evaluaciones de impacto):

  • Desvinculación (Unlinkability): “persigue que el procesamiento de la información se realice de modo que los datos personales de un dominio de tratamiento no puedan vincularse con los datos personales de otro dominio diferente o que el establecimiento de dicha vinculación suponga un esfuerzo desproporcionado”. Está relacionado con los principios de minimización de datos, limitación del plazo de conservación, e integridad y confidencialidad del RGPD.
  • Transparencia: “busca clarificar el tratamiento de los datos de modo que la recogida, el procesamiento y el uso de la información pueda ser comprendido y reproducido por cualquiera de las partes implicadas y en cualquier momento del tratamiento”. Está relacionado con los principios de limitación de la finalidad y licitud, lealtad y transparencia del RGPD.
  • Control (Intervenability): “garantiza la posibilidad de que las partes involucradas en el tratamiento de los datos personales y, principalmente, los sujetos cuyos datos son tratados, pueden intervenir en el tratamiento cuando sea necesario para aplicar medidas correctivas al procesamiento de la información”. Está relacionado con los principios de limitación de la finalidad, exactitud, integridad y confidencialidad y responsabilidad proactiva del RGPD.

Privacy engineering (ingeniería de la privacidad); Estrategias de privacidad; Patrones de diseño de la privacidad; PETS

La Guía también se refiere al concepto de Privacy Engineering, esto es, “un proceso sistemático y dirigido por el enfoque al riesgo cuyo objetivo es traducir en términos prácticos y operativos los principios de la privacidad desde el diseño (PbD) dentro del ciclo de vida de los sistemas de información encargados del tratamiento de datos personales.

La ingeniería de la privacidad comprende tres etapas principales:

  1. Definición de los requisitos de privacidad. Es decir, especificar las propiedades y funcionalidades de privacidad así como los conceptos y requisitos que debe cumplir el sistema. Es aquí donde entran en juego las estrategias de privacidad.
  2. Diseño e implementación de la privacidad. Es decir, llevar a la práctica la definición de los requisitos de privacidad mediante el diseño de la arquitectura y la implementación de los elementos del sistema. En esta etapa, es importante hacer referencia a los patrones de diseño de privacidad, que materializan las estrategias de privacidad y son soluciones que se pueden reutilizar para resolver problemas comunes de privacidad*. Además, también encontramos aquí las Privacy Enhancing Technologies (“PETS”). Estas tecnologías, siguiendo la definición de la Comisión, consisten en “un sistema coherente de medidas de TIC que protege el derecho a la intimidad suprimiendo o reduciendo los datos personales o evitando el tratamiento innecesario o indeseado de datos personales, sin menoscabo de la funcionalidad del sistema de información”.
  3. Verificación y validación de la privacidad. Es decir, integrar, probar, evaluar, mantener y confirmar que los requisitos de privacidad han sido debidamente implementados y satisfacen las expectativas de las partes interesadas.

La Guía continúa definiendo las estrategias de diseño de la privacidad. También incluye una de las muchas clasificaciones de PETS (clasificadas por propósito: gestionar la privacidad o protegerla):

 

Conclusiones

  • Aunque la obligación de PdD recae principalmente sobre los responsables del tratamiento (no hay que olvidar a los corresponsables), también afecta a otras partes como proveedores de servicios, desarrolladores de productos y aplicaciones o fabricantes de dispositivos (véanse el considerando 78 y el artículo 28 del RGPD).
  • Es de suma importancia que las empresas garanticen un marco que proteja los datos personales y en el que la protección de la privacidad no represente un obstáculo para las actividades empresariales y la innovación. Esto se puede conseguir mediante la introducción de una nueva disciplina tecnológica: la ingeniería de la privacidad. La privacidad debe ser una parte integral del negocio, tanto al inicio de un proyecto / proceso / producto / servicio, como a lo largo de su implementación.
  • En primer lugar, el análisis de riesgos establecerá los objetivos específicos y las metas de seguridad, así como las estrategias de privacidad orientadas a los datos y a los procesos. Luego, en la etapa de diseño, se integrarán las tácticas seleccionadas mediante soluciones disponibles / patrones de diseño de privacidad, para ser implementadas en la etapa de desarrollo (utilizando, por ejemplo, PETs).
  • Por último, no hay que olvidar el pequeño detalle del régimen sancionador del RGPD: el incumplimiento de la PdD es una infracción bajo el RGPD. Además, disponer de las debidas medidas de PdD se configura como uno de los criterios para medir la gravedad de una infracción.

* La Guía incluye un Anexo en el que se hace referencia y se describe un total de 54 patrones de diseño de privacidad.