La Agencia Española de Protección de Datos (AEPD) ha publicado una nueva Guía dedicada a la Privacidad desde el Diseño. Va dirigida a responsables del tratamiento de datos, a proveedores y prestadores de servicios y a desarrolladores de productos y aplicaciones o fabricantes de dispositivos.
VER LA GUÍA PRIVACIDAD DESDE EL DISEÑO
El Reglamento Europeo de Protección de Datos (RGPD) establece la obligatoriedad de asegurar la privacidad de los datos personales desde el diseño de productos y servicios. Lo que supone que: la protección de datos debe tenerse en cuenta y asegurarse desde las primeras fases de desarrollo. Y no añadirse posteriormente al producto, servicio, tratamiento…
Esta Guía de Privacidad desde el Diseño tiene como objetivo facilitar fórmulas, a los responsables de tratamiento y las personas encargadas de diseñar los productos y servicios. Con el fin de incorporar desde las primeras fases esta protección de datos.
Principios Fundacionales de la Privacidad desde el Diseño
El concepto de Privacidad desde el Diseño se basa en asegurar durante las fases de diseño y desarrollo de un producto, servicio, negocio, actividad, organización, equipo, aplicación… siete principios básicos.
- Proactivo, no reactivo; Preventivo, no correctivo.
- La privacidad como configuración predeterminada.
- Privacidad incorporada en la fase de diseño.
- Funcionalidad total: pensamiento “todos ganan”.
- Aseguramiento de la privacidad en todo el ciclo de vida.
- Visibilidad y transparencia.
- Enfoque centrado en el sujeto de los datos.
¿Quién está obligado a asegurar la Privacidad desde el diseño?
En virtud del artículo 25 del RGPD: “la obligación de implementar la protección de datos desde el diseño es aplicable a todos los responsables del tratamiento con independencia de su tamaño, el tipo de datos tratados o la naturaleza del tratamiento”.
Además el artículo 28 del citado Reglamento añade que: «la protección de datos desde el diseño se proyecta sobre otros actores participantes en el tratamiento de datos personales como son los proveedores y prestadores de servicios, desarrolladores de productos y aplicaciones o fabricantes de dispositivos«.
Todos estos actores, deben procurar las medidas técnicas y organizativas apropiadas “tanto en el momento de determinar los medios de tratamiento como en el propio tratamiento”.
En caso de no atender a la obligación de asegurar la Privacidad desde el Diseño se pueden enfrentar a sanciones, según expone el artículo 83 del RGPD.
Contenido de la Guía Privacidad desde el Diseño
Esta nueva publicación de la AEPD se organiza en nueve apartados o secciones.
- En los dos primeros se exponen los conceptos y principios fundamentales de la Privacidad desde el Diseño, y se indican los sujetos sobre los que recae esta obligación. Además de establecer los requisitos que deben cumplirse.
- El concepto de ingeniería de la privacidad, se trata en el tercer apartado. El objetivo de esta ingeniería es traducir, en términos prácticos y operativos, los principios de la privacidad desde el diseño. Para aplicarlos durante el ciclo de vida de los sistemas de información, que se encargan del tratamiento de datos personales.
- El apartado cuatro muestra las distintas estrategias de diseño de la privacidad. Dividiéndolas entre: las que están orientadas al tratamiento de datos (minimizar, ocultar, separar y abstraer) y las que están dirigidas a definir procesos para una gestión responsable de los datos personales (informar, controlar, cumplir y demostrar).
- El siguiente apartado se centra en los patrones de diseño de la privacidad. A este respecto, en el Anexo 1 de la Guía se exponen, -en forma de tabla y enlazados a su ficha-, una selección de 54 patrones de diseño de privacidad para determinados problemas.
- El punto sexto está dedicado a clasificar las tecnologías de privacidad mejorada o PETS (conjunto organizado y coherente de soluciones TIC que reducen los riesgos que afectan a la privacidad, implementando las estrategias y patrones definidos anteriormente).
- Los puntos 8 y 9 son los Anexos tanto de patrones de privacidad, como de la normativa al respecto de la Privacidad desde el Diseño.
Conclusiones de la AEPD
Las Conclusiones se exponen en el apartado séptimo. Es fundamental entender, en palabras de la Agencia, que: “asegurar la privacidad y establecer un marco que garantice la protección de datos no representa un obstáculo para la innovación. Sino que ofrece ventajas y oportunidades tanto para las organizaciones como para el mercado y la sociedad en su conjunto”.
“Comprender cómo un tratamiento de los datos personales puede llegar a afectar a la privacidad de los individuos es la clave para diseñar y desarrollar sistemas confiables desde un punto de vista de protección de datos”.
Desde Legitec podemos ayudarte a cumplir con el RGPD y evitar sanciones para tu empresas, negocio, organización. Solicita presupuesto sin compromiso.