Hoy en día, y cada vez, de forma más frecuente, adquirimos productos tecnológicos que se utilizan para nuestros quehaceres diarios. Cada vez más, tenemos la necesidad de adaptar estos productos para que nos ofrezcan un trato personalizado, sin ser conscientes de la información que recaban para llevar a cabo esta tarea.
El desarrollo tecnológico ha evolucionado a gran velocidad estos últimos años, sin restricciones y sin límites, con el objetivo de hacer frente a nuestras necesidades cotidianas, hasta el punto de que, en ocasiones, nuestra privacidad está quedando en un segundo plano.
En los años 90, a raíz de este gran crecimiento de las Tecnologías de la Información y las Comunicaciones, así como del Bigdata y de sus consecuencias sobre la privacidad, surge el concepto de Privacy by Design, desarrollado hasta este año por la Comisionada de Información y Privacidad de Ontario (Canadá), Ann Cavoukian.
Este nuevo concepto fue concebido para ofrecer un mejor blindaje a la privacidad del usuario, sobre todo de cara al escenario inminente que traían consigo las nuevas tecnologías. En vista de ello, se planteaba la necesidad de someter estas tecnologías al Privacy Impact Analysis (PIA), para identificar los riesgos que afectan a la privacidad, tanto de cara a los afectados (clientes, usuarios, interesados…) como a los riesgos corporativos o legales.
Objetivo del Privacy by Design
Frente a la escasez de los marcos legales en los que juegan las nuevas tecnologías y la falta de garantías para asegurar una privacidad beneficiosa para los usuarios, el Privacy by Design ha de promover garantías para:
- Asegurar la privacidad
- Controlar la información personal por parte del usuario
En la actualidad, tras la aprobación del Proyecto de Reglamento Europeo, prevista su entrada en vigor para el año que viene, el Privacy by Design tendrá carácter obligatorio ante determinados tratamientos de datos y empresas y se utilizará como instrumento coercitivo con la finalidad de que se establezcan medidas de prevención adecuadas entorno a la privacidad.
7 principios fundamentales
De cara al cumplimiento de los objetivos del Privacy by Design se desarrollan unos principios para orientar el diseño y desarrollo de los sistemas tecnológicos que tengan o realicen un tratamiento de datos de carácter personal.
1. Principio Proactivo, no Reactivo; Preventivo no Correctivo
El Privacy by Design establece que se debe prevenir y anticipar a cualquier invasión de la privacidad antes de que ocurra. La materialización de los riesgos no debería activar la resolución de estas infracciones, sino que su finalidad es anticiparse y llegar antes del suceso.
Por ejemplo, si vamos a confeccionar una plataforma online, debemos pensar en qué tratamiento de datos vamos a realizar para saber qué medidas de seguridad deberemos aplicar a dicha plataforma. Si nos ponemos a ejecutar la plataforma y luego nos damos cuenta de que no cumple con las medidas de seguridad que necesitamos, puede resultar más complicado y costoso solucionarlo después a si se hubiera planteado desde el inicio.
2. Privacidad como la Configuración Predeterminada
La privacidad debe permanecer protegida de manera predeterminada, es decir, el usuario no tiene que realizar ninguna acción para que su privacidad se vea protegida. Este principio propone una privacidad completa e intacta desde el primer uso.
Por ejemplo, en el caso del Privacy by Design de la disposición y el suministro de la energía eléctrica, se debe ofrecer una protección de datos por defecto durante todo el periodo en que las compañías energéticas entran en contacto con datos personales de los clientes, esto es, se deben adoptar medidas de seguridad en todo momento para garantizar la privacidad del cliente, ya que se podría deducir información acerca de la vida privada, tales como horarios de descanso, trabajo, ocio, etc. los cuales pueden ser muy apetecibles para ladrones, empresas y piratas informáticos.
3. Privacidad Incrustada en el Diseño
El Privacy by Design no ha de desarrollarse como un mero suplemento a posteriori en el diseño y la arquitectura de Tecnologías de Información y en las prácticas de negocios, sino que ha de integrarse como un componente esencial de los mismos.
Por ejemplo, cuando queramos poner en marcha el desarrollo de un medio de atención médica a distancia, deberemos integrar el Privacy by Design en el sistema desde un principio como un componente esencial.
4. Funcionalidad Total – “Todos ganan”, no “Si alguien gana, otro pierde”
El método anticuado de “si alguien gana, otro pierde” en el campo de la privacidad ya no tiene sentido, así como la dualidad privacidad-seguridad. El usuario no tiene por qué compensar con la pérdida de privacidad innecesaria como moneda de cambio.
5. Seguridad Extremo-a-Extremo – Protección de Ciclo de Vida Completo
Garantizar la seguridad es uno de los aspectos más importantes en el Privacy by Design. Por ello la privacidad debe estar gestionada desde la primera retención de datos hasta su destrucción, al final del proceso.
6. Visibilidad y Transparencia – Mantenerlo Abierto
Todos los afectados por el trato de sus datos deben poder verificar el cumplimiento de las declaraciones del responsable. Por esto, el Privacy by Design, establece la obligatoriedad de mostrar de manera visible y transparente a usuarios y proveedores, la información referente a la gestión de la privacidad.
7. Respeto por la Privacidad de los usuarios – Mantener un Enfoque Centrado en el Usuario
El interés de los afectados por el trato de sus datos prevalece por encima de todo. Las medidas de privacidad, la apropiada notificación y todas aquellas opciones disponibles para el usuario deben estar enfocadas prioritariamente a respetar la privacidad de estos.
El estudio Privacy by Design por el Grupo de Regulación de Autelsi
La Asociación Española de Usuarios de Telecomunicaciones y de Sociedades de la Información (Autelsi), en concreto el Grupo de Regulación, presentó, el pasado 10 de diciembre de 2014, un estudio centrado en el análisis del Privacy by Design, donde establece una serie de recomendaciones para poner en práctica este principio.
Una de las conclusiones a las que se llega tras el estudio, es la necesidad de crear un catálogo de riesgos y amenazas y de medidas preventivas predeterminadas. Un catálogo adaptable dependiendo de las actividades llevadas a cabo y estructura de la organización en cuestión.
Un activo empresarial
Para las empresas, la toma de los datos con carácter personal, puede ofrecerles una serie de ventajas, pudiendo desarrollar estadísticas para una mejor redistribución de recursos y lograr aumentar o evitar la pérdida de beneficios.
La responsabilidad frente al tratamiento de los datos, ofreciendo mecanismos de seguridad, limita los riesgos generando beneficios, pues cuanto mayor sea la protección de la privacidad, mayor será la confianza que depositarán en la empresa su personal, sus clientes, sus proveedores y resto de stakeholders.
La gestión de la privacidad se presenta como un activo empresarial que va en aumento, aportando credibilidad, confianza y reputación a la empresa, ofreciendo de esta manera una clara ventaja competitiva frente a las demás empresas.
Artículo redactado por Ramon Planas, supervisado y coordinado por Vanesa Alarcón
Imagen: David Castillo Dominici y Stuart Miles (www.freedigitalphotos.net)