La incorporación de este principio a la nueva normativa de protección de datos tiene importantes consecuencias para la gestión de la privacidad en las organizaciones ya que supone incluir esta cuestión prácticamente desde el inicio del desarrollo de cualquier idea empresarial.
Se trata de una obligación de amplio espectro ya que cuando estas ideas estén basadas en el tratamiento de datos personales o traten datos personales para cumplir su función, su alcance abarca:
- Aplicaciones informáticas
- Productos
- Servicios
Contemplado en el Artículo 25 del Reglamento Europeo de Protección de Datos nuestra ley nacional no lo regula específicamente salvo para tipificar en su Artículo 73, d) como infracción grave “La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para aplicar de forma efectiva los principios de protección de datos desde el diseño, así como la no integración de las garantías necesarias en el tratamiento, en los términos exigidos por el artículo 25 del Reglamento (UE) 2016/679”.
En cuanto a la finalidad concreta de la norma que impone esta obligación la encontramos en el Considerando 78 del Reglamento Europeo de Protección de Datos en el que se indica que se pretende que al desarrollar, diseñar, seleccionar y usar aplicaciones, servicios y productos que tratan datos personales para cumplir su función, ha de alentarse a los productores de los productos, servicios y aplicaciones a que tengan en cuenta el derecho a la protección de datos cuando desarrollan y diseñen estos productos, servicios y aplicaciones, y que se aseguren, con la debida atención al estado de la técnica, de que los responsables y los encargados del tratamiento están en condiciones de cumplir sus obligaciones en materia de protección de datos.
En base a este principio se establece la obligación concreta que es la siguiente:
Cuando se vaya a diseñar una aplicación informática, un producto, un servicio, que se base en el tratamiento de datos personales, deben aplicarse y tenerse en cuenta:
- Que solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento.
- Que se limitarán la cantidad de datos personales recogidos, y la extensión de su tratamiento
- Su plazo de conservación
- Quién es pueden acceder a ellos
- Se evitará que los datos personales sean accesibles, sin que intervenga el interesado, a un número indeterminado de personas físicas.
La Agencia europea para la seguridad de la información ENISA editó en el año 2014 un interesante documento “Privacy and Data Protection by Design – from policy to engineering” en el que se aborda la cuestión de forma profunda.
En este documento se establecen una serie de estrategias y una serie de técnicas para poner en práctica los principios de privacidad desde el diseño.
Entre las estrategias se indican las siguientes:
1. Minimizar
Se determinarán los datos personales que vayan a recogerse, debiendo limitarse a la mínima cantidad posible y solo deben tratarse los datos necesarios para la prestación del servicio, producto o aplicación.
Se debe determinar previo a dicha prestación del servicio:
a) La cantidad de los datos recogidos (Nombre, DNI, dirección, etc.).
b) El tipo de datos (Básicos, Alto riesgo, etc.).
c) Los tratamientos que se realizan (para qué finalidad se va a utilizar los datos).
d) El tiempo de conservación (establecer los plazos de conservación de los datos, deberán estar informados, se ceñirán a lo estrictamente necesario y solo se conservarán más allá del plazo establecido para atender posibles responsabilidades nacidas del tratamiento en base a los plazos legales de conservación).
e) El acceso que se permite a los mismos (establecer políticas de acceso para diseñar quién puede acceder a ellos).
2. Ocultar
Cualquier dato personal y sus interrelaciones deben ser ocultados. En su caso, se preverán técnicas con el fin de que no se pueda reconocer la identidad de una persona sin utilizar información adicional, tales como la anonimización o seudonimización¸ definida en el Art. 4.5) del Reglamento Europeo de Protección de Datos:
a) Cifrado con clave secreta.
b) Cifrado determinista o función hash con clave de borrado de clave.
c) Descomposición en tokens.
d) Función hash.
e) Función con clave almacenada.
3. Separar
Los datos personales deben procesarse de forma distribuida, en compartimentos separados siempre que sea posible.
Se debe:
a) Separar el tratamiento o almacenamiento de varias fuentes de datos personales que pertenecen al mismo cliente.
b) No hacer perfiles completos de un cliente.
c) Los datos deben almacenarse en bases de datos separadas, y estas bases de datos no deben estar enlazadas.
d) Los datos deben ser procesados localmente siempre que sea posible, y almacenado localmente si es factible.
4. Agregar
Los datos personales deben ser procesados al más alto nivel de agregación y con el menor detalle posible en el que sean (todavía) útiles
Se debe almacenar los elementos de los datos personales recogidos de una manera suficientemente general como para que la información almacenada sea válida para muchos clientes, atribuyendo poca información a una sola persona, protegiendo así su privacidad.
5. Informar
a) Siempre que los interesados utilicen un sistema, deben ser informados sobre la información que se trata con qué propósito y por qué medios. Esto incluye información sobre las formas en que la información es protegida, y siendo transparente sobre la seguridad del sistema.
b) Los fines específicos del tratamiento de los datos personales deben ser explícitos y legítimos, y deben determinarse en el momento de su recogida.
c) Se debe proporcionar acceso a la documentación de diseño.
d) Se debe informar a los interesados sobre terceros con los que se comparte información.
e) Los interesados deben ser informados sobre sus derechos de acceso a los datos y cómo ejercitarlos.
f) Toda información relativa al tratamiento de estos datos debe ser accesible y fácil de entender.
Se cumplirá con el principio de transparencia, entendida como proceso de información al interesado sobre los tratamientos de sus datos personales. información clara, concisa y entendible.
6. Controlar
Se debe establecer:
a) Medios razonables para controlar el uso de los propios datos personales.
b) Los medios por los cuales puede decidirse si se utiliza un determinado sistema.
c) La forma en que se controla el tipo de información que se procesa.
d) Los medios a través de los cuales los usuarios pueden decidir si utilizan un determinado sistema y la forma en que controlan la información que se procesa sobre ellos.
7. Medidas internas de aplicación de políticas
a) Se exigirá la aplicación de una política de privacidad compatible con los requisitos legales.
b) Se establecerán mecanismos de protección técnica adecuados que impidan las violaciones de la política de privacidad y estructuras de gobernanza adecuadas.
c) Se establecerá un control de accesos, solo el personal que realmente necesite acceder a los datos para el desarrollo de sus labores profesionales tendrá acceso a dicho datos y no se cederán a terceros si esta cesión no es necesaria, no es obligatoria, o no está explícitamente informada y consentida por el interesado.
8. Demostrar
Tanto si se actúa en calidad de responsable o de encargado del tratamiento se deberá garantizar el cumplimiento de la normativa, y estar en condiciones de demostrarlo ante los interesados y ante las autoridades de supervisión en cualquier momento, como establece el principio de “accountability”. Para ello:
a) El responsable del tratamiento debe poder demostrar la eficacia de la política de privacidad implementada.
b) En caso de quejas o problemas, debe ser capaz inmediatamente de determinar el alcance de cualquier posible violación de la privacidad.
c) Establecer sistemas de gestión de la privacidad.
d) Hacer uso de registros y auditorías.
Se trata pues de una cuestión que debe tenerse en cuenta no solamente por las consecuencias sancionadoras que su omisión puede acarrear sino por la importancia que tiene para una sociedad democrática incluir el derecho a la privacidad desde el inicio de cualquier idea empresarial.
