Privacidad desde el diseño, Privacy by design

Privacidad desde el Diseño o “Privacy by Design” en el Reglamento General de Protección de Datos (I)

Privacy by Design, o Privacidad desde el Diseño

El Reglamento General de Protección de Datos (“RGPD) europeo, que entrará en vigor el próximo 25 de mayo de 2018, introducirá varias novedades importantes. Mi favorita (y a la vez, la que considero más importante) se regula en su artículo 25, donde el RGPD ha consagrado el estándar conocido como Privacy by Design, o Privacidad desde el Diseño.

Ann Cavoukian: a Dios lo que es de Dios

La Doctora Ann Cavoukian desarrolló el concepto de Privacy by Design o privacidad desde el diseño hace ya veinte años en Canadá.

Durante este tiempo la Doctora Cavoukian y su equipo han venido colaborando con multinacionales de primer orden, como IBM o Oracle, para implementar en ellas su estándar. 

Pero no había sido consagrado en un texto jurídico de tanta importancia y perímetro, hasta el Reglamento General de Protección de Datos comunitario.

En este post y el siguiente, trato de resumir uno de los documentos fundamentales de la Doctora Cavoukian : “Privacy by Design: The 7 Foundational Principles”, a la luz de otros papers publicados con posterioridad.

La Dra. Cavoukian es denominada cariñosamente (o no) la “Top Privacy Cop” en Canada.

Sus planteamientos sorprenden por el rigor de su propuesta, la claridad del mensaje y también por su entusiasmo contagioso. Por lo menos a mí me contagia.

Por esta razón les animo a leer el paper original.

Falsos Dilemas por superar

Hasta la aparición de Ann Cavoukian y su Privacidad desde el Diseño, la relación entre la privacidad y las nuevas tecnologías se plantea en forma de falsos dilemas o dicotomías, entre los que hay que elegir una sola: privacidad o seguridad, privacidad o funcionalidad, privacidad o beneficio empresarial.

Este venía siendo el debate: o aprovechar a fondo toda la potencialidad que ofrecen las nuevas tecnologías a costa de la privacidad, o bien «ponerle puertas al campo» para salvaguardar la privacidad de las personas, para proteger sus datos personales.

La respuesta legal, hoy

Hasta hoy la Ley Orgánica de Protección de Datos en España viene exigiendo a todo aquél interesado en ejecutar un tratamiento de datos, muy resumidamente:

  • La obtención del consentimiento del titular de dichos datos, a su captación, tratamiento y cesión salvo que la ley permite otra cosa.

  • La aplicación de las medidas de seguridad correspondientes a los datos recabados de acuerdo con la clasificación preestablecida por la ley.

  • La comunicación previa de dichos tratamientos de datos a la autoridad Administrativa, en concreto la inscripción en el Registro de la Agencia Española de Protección de Datos.

Es decir, la norma y por tanto, la industria, espera a que se produzca el daño o el incumplimiento, para sancionarlos a posteriori.

La protección resultante es eminentemente reactiva, sancionatoria de los incumplimientos de la normativa. Y el mercado tiene sustanciosos incentivos para incumplirla.

«El estándar Privacy by Design o Privacidad desde el diseño, pretende generalizar un nuevo paradigma llamado a cambiar para siempre las nuevas tecnologías (y nuestra relación con ellas)»

Privacy by Design: Concepto.

La Doctora Cavoukian propone superar la actual consideración de la privacidad como mero cumplimiento de la legalidad o “compliance”, como un módulo que hay que añadir a nuestro sistema, de modo que “cumpla las formas”, pero con el menor perjuicio posible de nuestros auténticos objetivos.

En realidad el concepto de privacidad se refiere a la necesidad de que las personas tengan control sobre la recogida, uso y divulgación de sus datos personales.

El Privacy by Design o Privacidad desde el diseño, pretende generalizar un nuevo paradigma llamado a cambiar para siempre las nuevas tecnologías (y nuestra relación con ellas), devolviendo al usuario el control sobre su privacidad, y restaurando su confianza en las empresas privadas e instituciones públicas que tratan sus datos. Al menos en aquellas que implementen el estándar.

Design-Thinking

Cavoukian propone extender a la privacidad el mismo planteamiento de “design-thinking” (o “Metodología de Diseño”) que ha dado lugar a la revolución tecnológica actual: la revisión del contexto desde un planteamiento integral y transversal en el que nada se debe dar por sentado.

Bajo la nueva perspectiva, la privacidad debe protegerse por defecto y desde su mismo diseño en cualquier:

  • tecnología informática

  • modelo organizativo

  • arquitectura física

  • ecosistema informático conectado, e incluso

  • modelos de gobierno o gobernanza

siempre que estén llamados a gestionar o entrar en contacto con datos personales.

Los siete principios fundamentales del Privacy by Design son los siguientes:

1.- Protección Preventiva y Proactiva.

2.- Privacidad “por Defecto”

3.- Privacidad integrada en el Diseño

4.- Funcionalidad Plena “Win-Win” en lugar de “Suma cero”

5.- Protección durante todo el Ciclo Vital: “End to End”

6.- Visibilidad y Transparencia: “Trust but Verify”.

7.- Respeto y Empoderamiento del Usuario. El Usuario en el Centro. “User-centric”

Los siete principios son manifestaciones del mismo objetivo que se entrelazan y dialogan entre sí.

En el post de hoy vamos a examinar los tres primeros más en detalle:

Privacidad desde el diseño, Privacy by design

I.- Protección Preventiva. Proactividad

El concepto “Privacy by Design” de “Privacidad desde el diseño” adelanta la barrera de protección de la privacidad, se anticipa a la causación de posibles daños.

Cualquier tecnología informática, actividad empresarial o infraestructura en red destinada a lidiar con datos personales debe ser concebida y diseñada desde cero identificando a priori los posibles riesgos que pueda suponer para la privacidad de esos datos, y minimizando esos riesgos antes de que puedan concretarse en daños, antes incluso de que el sistema o tecnología llegue a entrar en funcionamiento.

No se trata de reaccionar, subsanar o paliar los daños que hayan llegado a producirse (como hasta ahora), sino de prevenirlos, identificando las debilidades de los sistemas o aplicaciones para neutralizarlos o minimizar su riesgo antes de que esos riesgos se concreten en daños.

No hay, desde luego, una sola manera, o un procedimiento estándar para conseguir este objetivo. El mapa de riesgos, y la tecnología más adecuada para prevenirlos dependerá en cada caso del objetivo o funcionalidad perseguido, y del contexto.

«Un solo diseñador no puede conseguir que la privacidad reine en una organización; una sola empresa no puede conseguir que la privacidad reine en una industria.»

A tal efecto:

  • La implementación de la Privacidad desde el diseño debe ser impuesta desde el escalón de poder más alto de la empresa u organización.

  • Es preciso asegurarse de que esta implementación se concreta en acciones, y no queda sólo en políticas o en “papel mojado”.

  • Es imprescindible asignar la responsabilidad sobre ese diseño, aplicación y cumplimiento a una o varias personas determinadas.

  • También es importante la formación al personal en la importancia de la nueva política y las obligaciones derivadas de la misma.

  • Se implementarán procedimientos para la detección temprana de diseños, prácticas y resultados deficientes en materia de privacidad, y se auditará la efectividad de su funcionamiento. Se desarrollará preventivamente un procedimiento para gestionar contingencias “data breach”.

  • Este compromiso con la protección de la privacidad debe ser compartido con la comunidad de usuarios y promovido en el resto de empresas o instituciones que interactúen con la nuestra.

Un solo diseñador no puede conseguir que la privacidad reine en una organización; una sola empresa no puede conseguir que la privacidad reine en una industria.

El Privacy by Design es un deporte de equipo, un objetivo a conseguir y mantener dentro de ecosistemas empresariales u organizativos.

Privacidad desde el diseño, Privacy by design

II.- Privacidad “por Defecto”

Los datos personales estarán protegidos por defecto en cualquier sistema.

Más aún: la configuración por defecto será la más segura posible en términos de privacidad.

La privacidad del usuario debe estar automáticamente protegida al máximo nivel sin necesidad de que éste tenga que hacer nada.

Esta idea no se limita a las opciones que el usuario puede configurar, sino a todas las opciones del sistema como un todo.

La principal manifestación de este principio es la exigencia de “minimización de datos”.

No se deben recoger, almacenar ni tratar datos personales, salvo que sea imprescindible para la finalidad perseguida.

Y ello, simplemente porque los datos que no se recogen no pueden ser alterados, perdidos, robados, hackeados o utilizados para finalidades secundarias no autorizadas por sus titulares, por poner unos cuantos ejemplos.

Los datos que sí sean recogidos, serán objeto de medidas técnicas y organizativas de seguridad. Las más eficaces en cada caso (encriptación, seudonimización, separación de datos, de funciones y roles en su tratamiento, limitación del uso y tiempo de custodia…)

Este principio exige:

  • Especificación de las finalidades: la finalidad de la captación, tratamiento, conservación y cesión de datos personales debe ser comunicada a su titular y consentida. Esa finalidad deberá ser clara, específica y significativa, a la vista de las circunstancias.

  • Minimización del perímetro de la información captada, de la identificabilidad de los datos, así como de su uso, conservación y revelación.

Privacidad desde el diseño, Privacy by design

III.- Privacidad integrada en el Diseño: “En el ADN”

La protección de la privacidad debe estar integrada en el diseño, en la arquitectura, en el ADN de los sistemas informáticos y las prácticas empresariales.

La privacidad debe dejar de tratarse como un módulo añadido a algo que ya existía o que ya funcionaba, como una medida accesoria de seguridad .

Y alcanzar la categoría de elemento “core, nuclear, pero sin perjuicio de la funcionalidad del sistema.

Una de las principales aportaciones de Cavoukian, es la de imponer modelos “win-win”, en el que la privacidad merezca el mismo interés y esfuerzo que el objetivo empresarial o institucional del sistema diseñado.

En estos casos, será preciso volver a empezar hasta conseguir que la aplicación o sistema haga lo que tenga que hacer, y la privacidad de sus usarios o de los datos gestionados sea respetada con la misma eficacia.

Design-Thinking

Y aquí entra el “Design-thinkingcomentado anteriormente: muchas cosas tendrán que cambiar.

La consagración del Privacy by Design exige un acercamiento multidisciplinar e integral, eminentemente creativo: será preciso innovar para reinventar, a veces desde cero, un montón de realidades actuales, que desde este nuevo prisma resultan inaceptables.

Además, el desarrollo o diseño respetuoso con la privacidad, debe ser demostrable. Es más, debe ser documentado y publicado a disposición de los usuarios o titulares de datos afectados.

  • El funcionamiento y eficacia de los estándares y políticas aplicadas deben ser susceptibles de revisión y auditoría externa.

  • Se ejecutarán evaluaciones de impacto y análisis de riesgo en términos de privacidad. Sus resultados serán publicados, con detalle de los riesgos detectados y medidas adoptadas para mitigarlos, otras alternativas valoradas y descartadas con detalle de los parámetros valorados en la comparativa y elección.

  • De acuerdo con todo lo anterior, deberá ser demostrable la minimización del impacto en términos de privacidad de la tecnología, operación o sistema resultante.  

Es evidente que este enfoque no puede afectar sólo a los departamentos de tecnología. Debe implica, entre otros, al rango más alto de la empresa o institución que los aplique.

La próxima semana, los otros cuatro principios.

Jorge García Herrero. Abogado y Delegado de Protección de Datos.

jorge garcia herrero. abogado