En su Guía de Privacidad desde el Diseño, publicada recientemente, la Agencia Española de Protección de Datos aborda la importancia de lograr un marco de protección integral en materia de protección de datos. Para ello desarrolla diversos objetivos, estrategias y patrones de diseño de la privacidad y define las tecnologías concretas para su implementación.
En primer lugar, la Guía define el concepto de “protección por diseño” como la exigencia de atender a los requisitos de privacidad desde que comienza el diseño de cualesquiera productos o servicios que vayan a requerir el tratamiento de datos personales. Esta obligación, establecida en el artículo 25 del Reglamento General de Protección de Datos (RGPD), impone al responsable del tratamiento la aplicación de medidas técnicas y organizativas apropiadas no solo durante el propio tratamiento de datos personales, sino desde “el momento de determinar los medios de tratamiento”.
Pese a que el tenor literal del RGPD solo se refiere al responsable del tratamiento como sujeto obligado a garantizar la protección desde el diseño, señala la Guía que del considerando 78 y del artículo 28 del RGPD se infiere que también es aplicable a otros sujetos que intervienen en el tratamiento, tales como proveedores, prestadores de servicios o fabricantes, si bien recae sobre el responsable (o los corresponsables) la obligación última de seleccionar aquellos productos y encargados que cumplan con este deber.
En cuanto a los objetivos perseguidos por la privacidad desde el diseño, sienta la Guía que es preciso atender a los siete principios fundacionales definidos por la ex Comisionada de Información y Privacidad de la provincia canadiense de Ontario Ann Cavoukian, de conformidad con los cuales:
En línea con lo expuesto, la Guía clasifica en dos categorías las ocho estrategias de diseño de la privacidad que se han de seguir. De una parte, distingue cuatro estrategias de carácter técnico encaminadas al tratamiento de los datos, consistentes en “minimizar”, “ocultar”, “separar” y “abstraer”; y de otra parte diferencia cuatro estrategias organizativas conducentes a la definición de procesos para gestionar de manera responsable los datos personales, consistentes en “informar”, “controlar”, “cumplir” y “demostrar”.
Con el fin de integrar los antedichos objetivos y estrategias de privacidad en los productos y servicios, la Guía define y desarrolla numerosos patrones de diseño de privacidad y, para su implementación, describe finalmente las tecnologías específicas que han de utilizarse: las denominadas Privacy Enhancing Technologies o “PETS”.
En conclusión, la Guía sienta los mecanismos para implementar de manera eficiente y eficaz los principios de privacidad, con el fin de garantizar su integración en productos y servicios desde la fase inicial de su diseño. Esta disciplina es la Privacidad desde el Diseño, que no ha de entenderse como un obstáculo, sino como una innovación necesaria.
Alejandro Negro Consejero
Paula Conde Prácticas