Desde la entrada en vigor del Reglamento europeo de Protección de Datos (GDPR) en mayo de 2018, el debate público sobre el tratamiento de datos personales a través de nuevas tecnologías disruptivas ha alcanzado un nivel sin precedentes de atención.
A nivel global, la mayoría de los países han desarrollado o están desarrollando nuevas legislaciones en materia de privacidad con el objetivo de regular la manera en que las compañías tradicionales y los nuevos actores procesan y utilizan la información personal de los ciudadanos.
En este contexto, cada día, las empresas lanzan nuevos productos y servicios que, en algunos casos, hacen un uso intensivo de los datos personales y tienen un fuerte impacto en la esfera de la vida privada de manera que resulta necesario garantizar el cumplimiento de esta normativa con mayor eficacia, atendiendo también a la profunda transformación que se está produciendo a través de la irrupción de tecnologías tipo big data, machine learning, AI, etc.
La Agencia Española de Protección de Datos (AEPD) ha publicado la ‘Guía de Privacidad desde el diseño’ con el objetivo de proporcionar pautas que faciliten la incorporación de los principios de protección de datos y los requisitos de privacidad a nuevos productos o servicios desde el momento en el que comienzan a diseñarse.
El concepto de ‘privacidad desde el diseño’ fue aceptado internacionalmente en una resolución adoptada en 2010 en el marco de la 32ª Conferencia Internacional de Comisionados de Protección de Datos y Privacidad. No obstante, es el Reglamento General de Protección de Datos (RGPD) el que le ha conferido la categoría de requisito legal, al incorporar en su artículo 25 la práctica de considerar los requisitos de privacidad desde las primeras etapas del diseño de productos y servicios.
El objetivo de la privacidad desde el diseño, orientado a la gestión del riesgo y la responsabilidad proactiva, es que la protección de datos esté presente desde las primeras fases de desarrollo y no sea una capa añadida, formando parte integral del producto (hardware o software), sistema, servicio o proceso. La Guía está dirigida a responsables y otros actores que intervienen en el tratamiento de datos personales, tales como proveedores y prestadores de servicios, desarrolladores de productos y aplicaciones o fabricantes de dispositivos.
El documento se divide en nueve apartados. Los dos primeros están dedicados a definir el concepto y los principios fundacionales de la privacidad desde el diseño, así como los requisitos que debe reunir el producto o servicio para garantizar dicha privacidad. El tercer apartado analiza el concepto de ingeniería de privacidad, un proceso que tiene por objeto traducir los principios de privacidad desde el diseño en medidas concretas, tanto en la fase de concepción del producto o servicio como en la de desarrollo. Por ejemplo, a través de la identificación de estrategias seguir para garantizar la privacidad; el establecimiento de patrones de diseño de privacidad para resolver problemas que se presenten de forma reiterada al desarrollar productos y servicios, o el empleo de tecnologías de privacidad mejorada (PETS, por sus siglas en inglés) para adecuar esos patrones a una tecnología concreta.
Por otra parte, la Guía aborda las distintas estrategias de diseño de la privacidad, algunas de las cuales están orientadas al tratamiento de datos (minimizar, ocultar, separar y abstraer) mientras que otras están dirigidas a definir procesos para una gestión responsable de los datos personales (informar, controlar, cumplir y demostrar). Asimismo, dedica un apartado a clasificar las tecnologías de privacidad mejorada o PETS, entre otros aspectos.
La Guía incluye un apartado de conclusiones en el que la Agencia pone de manifiesto que asegurar la privacidad y establecer un marco que garantice la protección de datos no representa un obstáculo para la innovación, sino que ofrece ventajas y oportunidades tanto para las organizaciones como para el mercado y la sociedad en su conjunto. Asimismo, recuerda que la privacidad desde el diseño es una obligación del responsable sea cual sea la forma de desarrollo, adquisición o subcontratación del sistema, producto o servicio, no pudiendo delegar completamente la responsabilidad en fabricantes y encargados.