La privacidad responsable o la privacidad por el diseño
Javier Puyol, abogado y socio de Ecix Group
Sirera, Fernández Lasquetty y Ramos han señalado que las empresas deben defenderse hoy para proteger su información y entre ella tanto sus datos como su know how. Toda la información valiosa de cualquier empresa debe de estar clasificada y debidamente protegida y para ello es imprescindible que todas las personas que la utilizan tengan una formación adecuada, al tiempo que estén implantados unos procesos claros para su manejo e información en tiempo real. Tanto las herramientas informáticas de seguridad como la gestión eficaz de los sistemas de la empresa incardinados dentro de la misma y el factor humano juegan un papel clave en la protección de la información. No hay, que olvidar el 70% de los pleitos por violación de secretos industriales tienen que ver con empleados o colaboradores. Construir y mantener la confianza de los usuarios y de los stakeholders en la protección de los datos personales es imprescindible en cualquier empresa.
Sin privacidad, un servicio no llegará a tener la confianza del usuario, del cliente, del proveedor y de los stakeholders y, por tanto, su modelo de negocio será inviable. Hay que proteger los datos personales teniendo en cuenta todo el ciclo de vida de la tecnología, por tanto y por defecto hay que aplicar a priori este criterio, tanto en grandes como en pequeñas empresas, y efectuar un análisis inicial de la privacidad y sus consecuencias en todos los productos y servicios, junto con los requisitos de seguridad, usabilidad, accesibilidad, para proceder en las empresas a, disminuir los riesgos, multas y sanciones económicas, civiles y penales, incrementar las ventas y proteger la reputación corporativa de las empresas, y por ende su futuro y viabilidad.
La protección de los datos de carácter personal es muy importante para empresas que, situadas en España o fuera de ella, empleen datos de carácter personal en su negocio tales como creadores de aplicaciones, software, o patentes que se sirvan o utilicen datos personales, para entidades que vendan bienes o servicios a través de Internet, empresas que se dediquen actividades de marketing, y en concreto, marketing digital, así como entidades del sector público en sus relaciones con usuarios y clientes.
Para proceder a implantar estas medidas, y asegurarnos un correcto cumplimiento de la legalidad, se debe tener en cuenta lo que se conoce como privacidad desde el diseño o a medida o privacy by design. Que para Chinea se concreta en el hecho de que a la hora de la toma de requisitos del diseño de la aplicación o sistemas que vayamos a utilizar dentro de nuestra empresa y/o desde el momento en que se recoge un dato, es fundamental tener en cuenta las necesidades especiales de protección de la privacidad de la información junto con los demás aspectos tanto técnicos como no técnicos. De esta forma, se asegura la privacidad y control de la información de la organización.
Por ello, si se tiene en cuenta estos aspectos desde el inicio, se evitará tener que redefinir los sistemas continuamente en lo que a este aspecto se refiere, y por tanto, un incremento en el coste de su mantenimiento, ya que en muchas ocasiones son cuestiones difíciles de superar después de que el diseño básico se haya elaborado. La intensidad de las medidas de privacidad debe ser proporcional a la sensibilidad de los datos. Además, la protección/privacidad de los activos de información debe entenderse dentro de la organización como un modo de funcionamiento por defecto.
La Privacidad por el Diseño, según Fernández Vela, se fundamenta en que la privacidad no puede asegurarse únicamente por el cumplimiento de la legislación y de los distintos marcos reguladores, sino que la garantía de la privacidad debe convertirse en el modo que use por defecto la organización en sus distintas operaciones. Se pretende con esta estructura que todas las actuaciones relacionadas con el tratamiento de datos personales y privacidad se identifiquen, analicen e incorporen en los distintos sistemas. Como consecuencia de todo ello, García Mexía, señala que la Privacidad por el Diseño se basa en una noción sustantiva de privacidad, a su vez comprensiva de nociones como el derecho “a ser dejado en paz”, la confidencialidad de la información, la identidad personal, la seguridad de los sistemas y redes o la protección de datos en forma de control sobre los mismos.
A partir de aquí, la Privacidad por el Diseño opera en puridad como un método para proteger la privacidad en su vertiente sustantiva, mediante lo que podríamos describir como una “imprimación” de la privacidad en el corazón de los sistemas y procesos. En todo caso, la incorporación de estructura de la Privacidad desde el Diseño en ningún caso aparece refrendada como un imperativo legal, por tanto deberá formar parte del corolario de la Responsabilidad Social Corporativa del prestador de servicios de espacios digitales, entendiendo esta responsabilidad como aquella condición de una empresa que, partiendo de la base que cumple con la normativa, decide añadirle un «plus» integrando, en su estrategia, objetivos que se comprometan con la sociedad.
Debe tenerse en cuenta que la Privacidad por el Diseño es un concepto desarrollado por Cavoukian en los años 90’s, para atender los efectos siempre crecientes y sistemáticos de las Tecnologías de la Información y las Comunicaciones, y de los sistemas de datos en red a gran escala. La Privacidad por el Diseño promueve la visión de que el futuro de la privacidad no puede ser garantizada sólo por cumplir con los marcos regulatorios; más bien, idealmente el aseguramiento de la privacidad debe convertirse en el modo de operación predeterminado de una organización. La Privacidad por el Diseño se extiende a una “Trilogía” de aplicaciones que engloban:
a) Los sistemas de tecnologías de la información;
b) Las prácticas de negocio responsables; y
c) El diseño físico e infraestructura en red.
Cavoukian señala que los principios de Privacidad por el Diseño pueden ser aplicados a todos los tipos de información personal, pero deben ser aplicadas con vigor especial a datos delicados tales como información médica y datos financieros. La robustez de las medidas de privacidad tiende a ser correspondiente con la sensibilidad de los datos, estableciendo su creadora siete principios en los que se tiene que fundamentar. Estos principios son:
a). Proactivo, no Reactivo; Preventivo no Correctivo.
El enfoque de Privacidad por el Diseño (Privacidad por el Diseño por sus siglas en Inglés) está caracterizado por medidas proactivas, en vez de reactivas. Anticipa y previene eventos de invasión de privacidad antes de que estos ocurran. Privacidad por el Diseño no espera a que los riesgos se materialicen, ni ofrece remedios para resolver infracciones de privacidad una vez que ya ocurrieron – su finalidad es prevenir que ocurran. En resumen, Privacidad por el Diseño llega antes del suceso, no después.
b). Privacidad como la Configuración Predeterminada.
La Privacidad por el Diseño busca entregar el máximo grado de privacidad asegurándose de que los datos personales estén protegidos automáticamente en cualquier sistema de IT dado o en cualquier práctica de negocios. Si una la persona no toma una acción, aun así la privacidad se mantiene intacta. No se requiere acción alguna de parte de la persona para proteger la privacidad está inter construida en el sistema, como una configuración predeterminada.
c). Privacidad Incrustada en el Diseño.
La Privacidad por el Diseño está incrustada en el diseño y la arquitectura de los sistemas de Tecnologías de Información y en las prácticas de negocios. No está colgada como un suplemento, después del suceso. El resultado es que la privacidad se convierte en un componente esencial de la funcionalidad central que está siendo entregada. La privacidad es parte integral del sistema, sin disminuir su funcionalidad.
d). Funcionalidad Total – “Todos ganan”, no “Si alguien gana, otro pierde” Privacidad por el Diseño busca acomodar todos los intereses y objetivos legítimos de una forma “ganar-ganar”, no a través de un método anticuado de “si alguien gana, otro pierde”, donde se realizan concesiones innecesarias. Privacidad por el Diseño evita la hipocresía de las falsas dualidades, tales como privacidad versus seguridad, demostrando que sí es posible tener ambas al mismo tiempo.
e). Seguridad Extremo-a-Extremo – Protección de ciclo de vida completo.
La Privacidad por el Diseño se extiende con seguridad a través del ciclo de vida completo de los datos involucrados. Las medidas de seguridad robustas son esenciales para la privacidad, de inicio a fin. Esto garantiza que todos los datos son retenidos con seguridad, y luego destruidos con seguridad al final del proceso, sin demoras. Por lo tanto, la Privacidad por el Diseño garantiza una administración segura del ciclo de vida de la información, desde la cuna hasta la tumba, desde un extremo hacia el otro.
f). Visibilidad y Transparencia.
La Privacidad por el Diseño busca asegurar a todos los involucrados que cualquiera que sea la práctica de negocios o tecnología involucrada, está en realidad esté operando de acuerdo a las promesas y objetivos declarados, sujeta a verificación independiente. Sus partes componentes y operaciones permanecen visibles y transparentes, a usuarios y a proveedores. Recuerde, confíe pero verifique.
g). Respeto por la Privacidad de los Usuarios.
Hay que mantener un enfoque centrado en el usuario por encima de todo, la Privacidad por el Diseño requiere que los arquitectos y operadores mantengan en una posición superior los intereses de las personas, ofreciendo medidas tales como predefinidos de privacidad robustos, notificación apropiada, y facultando opciones amigables para el usuario. En definitiva, el usuario en el centro de las prioridades.
El concepto de Privacidad por el Diseño (Privacy by Design) hace referencia a un enfoque en el que el impacto en la privacidad de cualquier nuevo sistema, proceso o servicio es considerado desde las fases iniciales del ciclo de vida de su desarrollo.
Sánchez Barroso sostiene que para poner en práctica este enfoque es esencial la realización de un Análisis de Impacto en la Privacidad (Privacy Impact Assessment o PIA de sus siglas en Inglés) que no es más que el ejercicio de análisis de riesgos con el que se intenta identificar todos los posibles riesgos para la privacidad que puede implicar el nuevo proceso y a los que habrá que poner remedio. Como consecuencia, el diseño incorpora desde su propia concepción controles para mitigar las posibles vulnerabilidades de protección de datos y privacidad. El enfoque de Privacidad por el Diseño, si se aplica de manera genuina, asegura el diseño de controles más efectivos, más sencillos y baratos y más difíciles de vulnerar, al formar parte intrínseca del propio sistema. Sin embargo, las propias autoridades de protección de datos son conscientes de las dificultades para el éxito de este tipo de conceptos. Como principales inconvenientes para su implantación, debe traerse a colación un estudio promovido hace ya algún tiempo por la autoridad de protección de datos de Reino Unido, entre las principales barreras existentes, según dicho autor, se pueden citar las siguientes:
a). Las dificultades existentes por parte de la dirección de las organizaciones para percibir los riesgos y los beneficios de la protección de datos. La inversión necesaria no se percibe como justificada.
b). Por motivos similares, las empresas proveedoras de soluciones software no encuentran en la inclusión de funcionalidad orientada a preservar la privacidad una ventaja competitiva, por lo que el software comercializado adolece de este tipo de funcionalidad.
c). Las seguridad de la información (y aún más las protección de datos) no está incluida todavía de manera generalizada como elemento integrante e importante en el ciclo de desarrollo de software usado por las organizaciones.
d). Las organizaciones suelen tener dudas sobre cómo implementar soluciones tangibles para dar respuesta a los requisitos de control de la normativa de protección de datos. A esta situación contribuye la ausencia de estándares prácticos a nivel internacional que orienten a las organizaciones en la implementación efectiva de controles.
El hecho de que la Privacidad por el Diseño vaya a ser una obligación legal exigible tras la aprobación del Proyecto de Reglamento Europeo de Protección de Datos ha sido considerado como un factor muy positivo, ya que va a ejercer como instrumento coercitivo para sensibilizar a las compañías y a las organizaciones de la necesidad de establecer medidas de prevención adecuadas, desde la propia percepción del tratamiento, reforzando así una buena práctica que juega en favor de la competitividad individual de las organizaciones y del mantenimiento de un entorno más robusto respecto a gestión de la información y la seguridad de los sistemas informáticos.
Al igual que otros requerimientos recogidos en el proyecto de regulación europea, el desarrollo de los principios exigibles de privacidad por defectos y desde el diseño, contiene cierta dosis de indefinición, en cuanto a su aplicación práctica, que los reguladores se encargarán de complementar y delimitar. Por ello, Por lo tanto se deberá asegurar, al usuario del servicio, la privacidad como elemento principal de la arquitectura del espacio digital utilizando la estructura de Privacidad por el Diseño. Gracias a este “plus” añadido podrá incrementar el usuario su capacidad de control y decisión sobre la cantidad y cualidad de la información con la que desea alimentar su perfil y, consecuentemente, disponer de un marco más adecuado para salvaguardar su derecho a la privacidad.
