Proteger la privacidad desde el diseño del producto

Desde la entrada en vigor del Reglamento europeo de Protección de Datos (GDPR) en mayo de 2018, el debate público sobre el tratamiento de datos personales a través de nuevas tecnologías disruptivas ha alcanzado un nivel sin precedentes de atención. A nivel global, la mayoría de los países han desarrollado o están desarrollando nuevas legislaciones en materia de privacidad con el objetivo de regular la manera en que las compañías tradicionales y los nuevos actores procesan y utilizan la información personal de los ciudadanos.

En este contexto, cada día, las empresas lanzan nuevos productos y servicios que, en algunos casos, hacen un uso intensivo de los datos personales y tienen un fuerte impacto en la esfera de la vida privada de manera que resulta necesario garantizar el cumplimiento de esta normativa con mayor eficacia, atendiendo también a la profunda transformación que se está produciendo a través de la irrupción de tecnologías tipo big data, machine learning, AI, etc.

A la vista de lo anterior, es necesario que el asesoramiento en materia de privacidad evolucione hasta nuevos planteamientos de gestión proactiva que garanticen el cumplimiento del derecho fundamental a la privacidad atendiendo al cada vez mayor valor económico que tienen los datos, lo que permitirá fortalecer la confianza de los clientes.

Con este objetivo resulta imprescindible la definición de un enfoque de privacidad desde el diseño (privacy by design) que garantice desde la fase inicial de la definición y la comercialización de un nuevo producto o servicio que se han tenido en cuenta todas las obligaciones establecidas en la normativa de privacidad, y para que el diseño de las herramientas o aplicaciones tecnológicas que van a canalizar el tratamiento de los datos supongan la menor injerencia posible en la privacidad de los interesados.

Con este enfoque proactivo, sistemático e innovador se conseguirá que la protección de datos personales sea, cada vez más, parte indisoluble de la cultura de las empresas y que, de esta manera, se contribuya a la creación de confianza entre los clientes, confianza que tan necesaria resulta para el despegue y correcto funcionamiento de la economía digital.

En concreto, el elemento clave para la correcta implantación de una política adecuada de privacy by design consiste en la realización de un análisis de los riesgos que un nuevo producto o servicio puede suponer para la privacidad de los clientes, de manera que tras la realización de ese análisis se pueda realizar un plan de acción para eliminar o, al menos, reducir a niveles aceptables los riesgos identificados. Esta nueva metodología se denomina evaluación de impacto en la privacidad, o PIA, por sus siglas en inglés (privacy impact assessments), y persigue identificar e implementar medidas orientadas a eliminar o mitigar los riesgos con carácter previo a la puesta en marcha de aquellos tratamientos que sea probable que conlleven un alto riesgo para los derechos y libertades de los interesados.

Los PIA deben seguir un proceso homogéneo y una metodología estandarizada, es decir, que la misma metodología se aplicará a toda la información que permita cumplir con los requerimientos definidos en la normativa de privacidad correspondiente y que permita realizar una evaluación de riesgos con criterios definidos y alineados con las mejores prácticas del mercado.

De este modo, la aplicación de la privacidad desde el diseño hará que el proceso de desarrollo sea más eficiente ya que pasa por evaluar de forma preliminar qué datos personales son estrictamente necesarios.

Sin embargo, aunque tanto la privacidad como la seguridad son importantes, no es necesario realizar cambios innecesarios en los productos y servicios para lograr ambos objetivos. La privacidad desde el diseño no supone un obstáculo para la innovación, sino que permite optimizar los procesos, ya que cuando los problemas o riesgos potenciales se identifican en fases tempranas, durante la fase de diseño, será menos costoso y más simple implantar una solución adecuada.

Tras completar el proceso, el tratamiento solo deberá llevarse a cabo si se concluye que las medidas definidas son adecuadas para proteger la privacidad de los interesados, desde el diseño y por defecto, reduciendo el nivel de riesgo de incumplimiento GDPR.

Para ello, es necesaria la participación de la nueva figura del delegado de protección de datos o DPO regulada en GDPR y en la ley española de protección de datos, que vele por la observancia de la normativa de privacidad y que será el encargado de supervisar las propuestas de medidas a adoptar en cada caso.

A la vista de todo lo que se ha expuesto, debido al avance exponencial de la tecnología y la aparición de nuevos riesgos se requiere un nuevo enfoque para adoptar la privacidad en todos los tratamientos de información personal que realicen las empresas. Este nuevo enfoque debe ser adaptable y debe poder evolucionar a medida que progresa la tecnología y los riesgos asociados.