Privacidad desde el diseño, o cómo proteger la privacidad desde el diseño

La cuestión de la privacidad por diseño surgió naturalmente cuando entró en vigor el RGPD, para proteger la privacidad de los usuarios.

Ahora, plenamente responsables del correcto tratamiento de los datos personales, las empresas han tenido que adaptarse a esta nueva normativa, so pena de una multa de hasta el 4% de la facturación mundial en caso de incumplimiento detectado por la CNIL.

Pero, ¿qué es exactamente la privacidad desde el diseño? ¿Qué principios incorpora y en qué se diferencia de la privacidad por defecto ? ¿Y cómo se aplica la privacidad desde el diseño en su empresa? Encuentre las respuestas en este artículo.

Ver todos los software Reglamento General de Protección de Datos (RGPD)

¿Qué es la privacidad desde el diseño?

Privacidad desde el diseño: definición

El principio de privacidad desde el diseño (PdD) implica que la protección de los datos personales debe ser parte integrante de las consideraciones previas de cualquier proyecto empresarial. Desde el momento en que se concibe un nuevo servicio, funcionalidad o campaña de marketing, el respeto a la privacidad debe ser una prioridad absoluta.

La privacidad desde el diseño ha surgido en el artículo 25 del Reglamento General de Protección de Datos (RGPD ), y el incumplimiento de este principio puede acarrear sanciones económicas o incluso procedimientos judiciales en caso de inspección por parte de la CNIL.

Ventajas de la privacidad desde el diseño

Aunque, a primera vista, la privacidad desde el diseño implica limitaciones legales, técnicas y de tiempo, también aporta una serie de ventajas, tales como

• menores costes de cumplimiento de la ley. Al tener en cuenta la protección de datos desde el principio, pueden evitarse ciertos inconvenientes. Por ejemplo, tener que rehacer ciertos aspectos del proyecto para cumplir la normativa. Esto puede acarrear costes adicionales, retrasos e incluso un replanteamiento del proyecto;
• la reducción del riesgo de acciones legales como consecuencia del incumplimiento;
• el desarrollo de una relación de confianza con el usuario, que, gracias a la transparencia del tratamiento de datos, tiene la seguridad de que serán tratados con el máximo cuidado;
• un aumento del consentimiento. La transparencia sobre el tratamiento de datos puede tranquilizar a algunos usuarios que antes se mostraban cautelosos por falta de información. Esto puede animarles a dar su consentimiento más fácilmente;
• un ahorro gracias a la reducción de la necesidad de capacidad de almacenamiento, que a veces puede representar sumas considerables.

El RPD: garantizar el cumplimiento del RGPD

El RPD es el acrónimo de Responsable de Protección de Datos. Esta nueva función transversal surgió con la entrada en vigor del RGPD, permitiendo la aplicación de la Privacidad por Diseño.

Esta función central dentro de una empresa es responsable de garantizar que todos los empleados respeten la privacidad en todos los proyectos de la empresa, ya se trate de una campaña de marketing o de cuestiones de ciberseguridad.

Por tanto, el RPD

• gestionar la cuestión de los datos personales en toda la empresa ;
• aplicar una serie de normas, medidas, herramientas y buenas prácticas organizativas
• supervisar que las medidas implantadas cumplen el principio y poder demostrarlo en caso de inspección por parte de la CNIL.

💡Para desempeñar su función de forma óptima, el RPD puede utilizar una ficha de proyecto del RGPD para trabajar con los distintos responsables de proyecto. En ella se detallan las distintas fases y acciones que deben llevarse a cabo para garantizar el carácter Privacy by design del proyecto.

Para saber más sobre la función del RPD :

CNIL

La diferencia entre la privacidad desde el diseño y la privacidad por defecto

La privacidad por defecto es un corolario de la privacidad desde el diseño. Mientras que esta última fomenta que la protección de los datos personales se tenga en cuenta desde la fase de diseño, la privacidad por defecto va más allá al aplicar de facto el principio de máxima protección de los datos del usuario, sin que sea necesaria ninguna acción por su parte.

Los 7 principios de la privacidad desde el diseño

Principio nº 1: adoptar medidas proactivas y preventivas

Las violaciones de la privacidad deben evitarse adoptando medidas preventivas más que correctivas. Una vez que los datos personales han sido objeto de abuso o violación, el daño ya está hecho. Las medidas correctivas irían entonces encaminadas a evitar problemas futuros.

Principio nº 2: Aplicar la privacidad por defecto

Como hemos visto antes, el concepto de privacidad por defecto es parte integrante de la privacidad desde el diseño. Por tanto, la máxima protección debe proporcionarse por defecto, es decir, de forma implícita y automática, de modo que los usuarios no tengan que realizar ninguna acción por sí mismos para estar protegidos al máximo nivel (casilla de verificación, ajustes, etc.). Si desean dar más libertad sobre sus datos, podrán hacerlo a posteriori cuando se haya cumplido la finalidad que justificó la recogida o cuando el usuario afectado por la recogida lo haya solicitado.

Principio nº 3: garantizar que los datos se recogen y almacenan de conformidad con la ley

Tanto desde el punto de vista técnico como organizativo, debe hacerse todo lo posible para garantizar que los datos se recuperan de manera conforme a la ley. El almacenamiento de los datos también debe ser conforme, suprimiéndolos cuando ya no sean necesarios para los fines previamente definidos.

Principio nº 4: garantizar la seguridad durante todo el proyecto, y más allá

Garantizar a los usuarios que los datos se recogen de forma segura. Esta garantía debe aplicarse durante toda la prestación del servicio, e incluso más allá, es decir, durante el periodo legal de conservación.

Principio nº 5: garantizar una protección de datos óptima e integral

Las medidas aplicadas para proteger la privacidad de los usuarios deben respetar la intimidad del usuario, sin comprometer el buen funcionamiento de la empresa. No se trata de contraponer estos intereses, sino de aunarlos, conciliando privacidad y seguridad de los datos. Ofrecer esta garantía a los usuarios es incluso una ventaja competitiva, y puede tener un impacto positivo en el capital de confianza y la imagen de marca.

Principio nº 6: Demostrar transparencia

Las prácticas de recogida y tratamiento de datos deben mostrarse con total transparencia, al igual que la finalidad para la que se recogen los datos. Por ello, la empresa debe elaborar su política de confidencialidad y hacerla visible a todo el mundo.

Principio nº 7: Proteger la intimidad de los usuarios

Esta noción, que sitúa los intereses de los usuarios en primer plano y en el centro de todas las consideraciones, está intrínsecamente presente en todos los principios. Las empresas tienen la responsabilidad de dotarse de los sistemas y herramientas adecuados para respetar las obligaciones legales. También deben adoptarse prácticas éticas en todos los niveles de la empresa, para que todos recojan sólo la información que necesitan y la traten con cuidado.

¿Cómo se aplica la privacidad desde el diseño?

Aplicar la privacidad desde el diseño es un reto exigente para las empresas y organizaciones, tanto desde el punto de vista técnico como organizativo.

Por ejemplo, para poner en marcha un sistema de recogida de datos hay que estar técnicamente preparado para comprobar, modificar y suprimir los datos a posteriori.

Veamos algunas medidas prácticas que pueden ayudarle a aplicar la privacidad desde el diseño.

Algunas medidas prácticas

Pseudonimizar los datos

Esta técnica de estructuración de datos dificulta la identificación de una persona a menos que se disponga de información adicional. Los datos se clasifican y disocian por finalidad en una base de datos dedicada a ese fin.

Minimizar la recogida de datos

La aplicación del principio del mínimo estricto es técnicamente posible gracias a las "tecnologías de protección de la intimidad", que permiten a los usuarios mantener el control sobre sus datos. Pueden minimizar sus datos e incluso anonimizarlos si así lo desean.

El protocolo de prueba de conocimiento de divulgación cero

Este protocolo seguro proporciona una prueba matemática de autenticación e identificación de un usuario, sin revelar ninguna otra información.

Marcos de trabajo

En cuanto se lanza un nuevo servicio, producto, proyecto o funcionalidad, es importante asegurarse de que se respetan las medidas de protección de la privacidad. Para trabajar con mayor eficacia, es aconsejable utilizar marcos de trabajo diseñados a tal efecto. Este tipo de documento es un buen punto de partida para comprobar que se están cumpliendo todas las casillas exigidas por el RGPD.

Herramientas que le ayudarán a aplicar la privacidad desde el diseño

¿Está realmente seguro de que su empresa es "Privacy by design"? Utilizar herramientas "conformes al RGPD" y, sobre todo, digitalizar su cumplimiento, puede ayudarle a dejar de plantearse dudas y evitar el riesgo de sanciones. Podrá gestionar sus datos con total tranquilidad y mucha más rapidez y eficacia.

Estas soluciones RGPD en línea le facilitan :

• elaborar mapas de tratamiento de datos
• realizar auditorías de cumplimiento del RGPD
• centralizar y seguir toda la documentación de conformidad
• realizar evaluaciones de impacto de los riesgos de seguridad conformes con la CNIL;
• crear fichas de proyecto personalizables basadas en plantillas para facilitar el trabajo con los jefes de proyecto
• supervisar el cumplimiento de todos los proyectos;
• clasificar los datos en función de su finalidad
• mantenerse al día de los cambios legislativos;
• conservar pruebas del consentimiento, etc.

🛠 Entre los responsables de cumplimiento del RGPD más reputados del mercado, puedes recurrir a:

• Witik: se trata de una plataforma francesa de cumplimiento del RGPD que apoya a las pymes & ETI en la gestión de sus diferentes programas de cumplimiento (RGPD, ley Sapin II, reglamento ePrivacy, ISO...). Para garantizar que su empresa y su proyecto respetan la privacidad, Witik le da acceso a una amplia gama de funciones : formación, auditoría y plantillas de registro personalizables diseñadas por DPO, gestión del consentimiento con pruebas A/B nativas, informes y certificados de seguimiento, ¡y mucho más!
• Data Legal Drive,
• Gestor Central de Consentimiento,
• Compliance Booster,
• Datae.

Ver todos los software Reglamento General de Protección de Datos (RGPD)

¿De la privacidad desde el diseño a la privacidad mediante el uso?

Incorporar los principios de Privacy by Design en todos los proyectos que requieran la recogida de datos es la mejor práctica a adoptar para cumplir con el RGPD sin que tenga un impacto negativo en la empresa. Bien aplicados, estos principios implican la aplicación de medidas que incluso pueden tener un efecto beneficioso para la empresa.

Privacidad mediante el uso aboga por capacitar a los usuarios con respecto a sus datos personales. Al proporcionarles información sobre la finalidad de sus datos y las herramientas técnicas para gestionar ellos mismos el nivel de confidencialidad, adquieren autonomía. Esto les hace más proclives a dar a las empresas mayor libertad sobre el uso de sus datos. Con un consentimiento más amplio, las empresas pueden eliminar ciertos obstáculos, ampliar el alcance de lo posible ofreciendo más innovaciones y satisfacer mejor las necesidades de los usuarios.

¿Podría ser la responsabilidad compartida sobre los datos la clave de un mercado más innovador? ¿Qué opina usted al respecto?