¿Qué es la protección de datos por diseño?

¿Qué es exactamente la protección de datos desde el diseño? ¿Otra "palabra de moda" del GDPR? - ¿O un componente organizativo vital para la privacidad de los datos?

Desde el "lanzamiento oficial" del Reglamento General de Protección de Datos (RGPD) en mayo de 2018, las organizaciones de todo el mundo se han enfrentado a la tarea de comprender el significado y las implicaciones de una serie de nuevos términos, incluida la privacidad desde el diseño y por defecto. Quizás comprensiblemente, muchos de los términos clave asociados al GDPR se han convertido en nada más que palabras de moda en algunos círculos. Sin embargo, sería un error ignorar un término clave como "protección de datos desde el diseño", ya que garantiza que se tengan en cuenta las cuestiones de protección de datos y privacidad en la fase de diseño de cada servicio, producto, sistema o proceso, y que se continúe durante todo el ciclo de vida. Por primera vez, el RGPD aborda la protección de datos desde el diseño como una obligación legal para responsables y encargados del tratamiento, haciendo referencia explícita a la minimización de datos y al posible uso de la seudonimización. Además, introduce la obligación de protección de datos por defecto, yendo un paso más allá al estipular la protección de datos personales como propiedad por defecto de sistemas y servicios. Según la ICO, la protección de datos desde el diseño obliga a:

• establecer las medidas técnicas y organizativas adecuadas para aplicar los principios de protección de datos; y
• integrar salvaguardias en su tratamiento para cumplir los requisitos del RGPD y proteger los derechos individuales

En pocas palabras, esto significa que debe tener un enfoque proactivo de la privacidad y la protección de datos. protección de datos y debe ser parte integrante de su organización y de sus actividades de tratamiento de datos. El artículo 25 (1) del GDPR especifica los requisitos de la protección de datos desde el diseño:

Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas que plantea el tratamiento, el responsable del tratamiento deberá, tanto en el momento de determinar los medios para el tratamiento como en el momento del propio tratamiento aplicar las medidas técnicas y organizativas apropiadas, como la seudonimización, destinadas a aplicar los principios de protección de datos, como la minimización de datos, de manera eficaz y a integrar las garantías necesarias en el tratamiento para cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.

Ejemplos de aplicaciones de la protección de datos desde el diseño

He aquí cinco ejemplos de Protección de Fechas mediante el diseño:

• desarrollar nuevos sistemas informáticos, productos, servicios y procesos que impliquen la necesidad de tratar datos personales;
• desarrollar políticas, procesos, prácticas empresariales y estrategias de la organización que tengan implicaciones para la privacidad;
• diseño físico;
• emprender iniciativas de intercambio de datos; o
• utilización de datos personales para nuevos fines

Los conceptos subyacentes de la protección de datos desde el diseño no son en absoluto nuevos, ya que el término "privacidad desde el diseño" existe de hecho desde hace muchos años. Básicamente, la protección de datos desde el diseño incluye el enfoque de la privacidad desde el diseño en la legislación de protección de datos. Con la Ley de 1998, la ICO apoyó este enfoque porque ayudaba a las organizaciones a cumplir sus obligaciones en materia de protección de datos. Ahora, es un requisito legal.

¿Qué es la protección de datos por defecto?

La protección de datos por defecto, también conocida como "privacidad por defecto", es un principio fundamental de la protección de datos y la regulación de la privacidad, diseñado para mejorar el control de los individuos sobre sus datos personales. Es un aspecto clave de normativas como el Reglamento General de Protección de Datos (RGPD) de la Unión Europea. El principio hace hincapié en que las organizaciones deben aplicar automáticamente fuertes medidas y salvaguardias de privacidad al procesar datos personales, sin exigir a los usuarios que tomen medidas adicionales para proteger su privacidad.

En la práctica, la protección de datos por defecto significa que las organizaciones deben configurar sus sistemas, procesos y servicios de forma que se minimice la recogida, el tratamiento y la conservación de datos personales a lo estrictamente necesario para cada fin específico. Esto implica varios elementos clave:

1. Minimización de datos: Las organizaciones deben recopilar y procesar sólo la cantidad mínima de datos personales necesarios para lograr el propósito previsto. Debe evitarse la recogida de datos innecesarios.
   
2. Limitación de la finalidad: Los datos deben recogerse y tratarse con fines específicos, explícitos y legítimos. Cualquier tratamiento posterior debe ser compatible con estos fines originales.
   
3. Conservación de datos: Garantizar que los datos personales no se conservan más tiempo del necesario para los fines previstos. Deben establecerse periodos de conservación y procesos de eliminación de datos claros.
   
4. Control del usuario: Los usuarios deben disponer de ajustes de privacidad claros y accesibles que les permitan controlar cómo se utilizan sus datos personales. Los ajustes por defecto deben dar prioridad al máximo nivel de privacidad.
   
5. Medidas de seguridad: Deben implantarse por defecto fuertes medidas de seguridad para proteger los datos personales de accesos no autorizados, violaciones y otros riesgos.
   
6. Transparencia: Las organizaciones deben proporcionar información clara y comprensible a los usuarios sobre cómo se procesarán sus datos, incluidos los fines, la base jurídica y los terceros implicados.
   
7. Mecanismos de consentimiento: Si el tratamiento de datos requiere el consentimiento del usuario, la configuración por defecto no debe presuponer el consentimiento y debe evitar las casillas de verificación marcadas previamente u otras formas de consentimiento presunto.
   

El concepto de protección de datos por defecto está estrechamente relacionado con el principio de protección de datos desde el diseño, que hace hincapié en la integración de consideraciones de privacidad en el diseño de sistemas, procesos y servicios desde el principio. Juntos, estos principios pretenden crear un entorno respetuoso con la intimidad en el que los datos de los usuarios se traten de forma responsable y las personas puedan tomar decisiones informadas sobre su información personal.

Para saber más sobre protección de datos por defectoleer nuestro blog aquí.

¿Necesita ayuda para comprender y aplicar la protección de datos desde el diseño? Póngase en contacto con nuestro equipo hoy mismo