Uno de los aspectos más novedosos del Reglamento Europeo de Protección de Datos 2016/679/UE (que será exigible a partir del 25 de mayo de 2018) es lo que se denomina privacidad desde el diseño y privacidad por defecto y que se regulan en el artículo 25 de la citada norma.
¿Pero qué es esto? Pues veréis , cuando pienso en la privacidad desde el diseño, yo me imagino a Miguel Ángel delante de su mármol escrutando por dónde va a quitar, pulir, contornear… teniendo en su mente la imagen clara de su David, al igual que el desarrollador de una app tendría desde su primera idea una imagen clara de cómo va a abordar el tratamiento de la privacidad con su creación.
No es que la privacidad desde el diseño sea un concepto nuevo o que haya surgido del Reglamento, sino que es un concepto con el que los profesionales de la privacidad y los desarrolladores llevan un tiempo trabajando aunque hasta ahora no haya tenido un marco legal que lo regule o lo reconozca. En este sentido, podemos decir que el Reglamento Europeo de Protección de Datos le confiere, eso sí, un nuevo status jurídico.
Resulta que la privacidad desde el diseño es un concepto desarrollado por la Doctora Ann Cavoukian (Canadá) que en el año 2009 publicó un estudio sobre la privacidad desde el diseño estableciendo siete reglas básicas.
No me apetece leer. ¿Cuáles son estos siete principios? Pues te los resumo aquí:
Ser proactivo no reactivo/Ser preventivo no remediador.
La privacidad desde el diseño debe ser la opción por defecto.
La privacidad debe estar integrada en el diseño.
Funcionalidad plena basada en la relación win-win (podemos tener privacidad y seguridad, suma positiva de factores).
La protección de la privacidad debe mantenerse durante todo el ciclo vital: end to end o punto a punto.
Visibilidad y transparencia resumido en confía pero comprueba.
Respeto por la privacidad del usuario. El titular de los datos debe ser el centro de todo.
El concepto de privacidad desde el diseño tiene mucho que ver con la
responsabilidad activa o la proactividad, ya que invierte un modelo hasta ahora conocido y muy típico de los sistemas legales basados en el Derecho Romano: el legislador regula, tú tratas de cumplir y, si no es así, aparece el
ius puniendi o las sanciones.
La privacidad desde el diseño trata de prevenir, de marcar desde la fase embrionaria de un proyecto (una app para dispositivos móviles, una web, etc), las pautas que se deben seguir en materia de privacidad, de tal modo que el impacto que esa actividad cause en la esfera íntima de las personas y en el tratamiento de sus datos sea el mínimo necesario.
Esto obligará a que, sobre todo en determinadas áreas en las que el tratamiento de datos sea especialmente sensible o se prevea el tratamiento masivo de datos, llevemos a cabo los estudios necesarios para implantar las medidas de seguridad adecuadas para limitar dicho tratamiento y ofrezcamos además al interesado la capacidad de decidir sobre sus datos. Porque en el fondo todo esto va de eso, de que nosotros como personas nos situemos en el plano que nos merecemos, que controlemos lo que se hace con nuestros datos, que tengamos capacidad de disposición sobre lo que ocurre con ellos y, en definitiva, que seamos responsables de los mismos.
Este tipo de estudios obviamente tiene relación con otro concepto que aparece en el Reglamento Europeo y que son las
evaluaciones de impacto sobre la privacidad. Éstas evaluaciones serán fundamentales para que podamos llevar a cabo tratamientos de datos adecuados, pertinentes, proporcionales, leales y legítimos y también, para aquellos que se adentren en este espacio, obtener importantes réditos en lo que respecta a la imagen que nuestros clientes y consumidores tengan de nuestros productos y servicios, al demostrar un especial cuidado por su privacidad.
De la privacidad por defecto hablamos otro día.
