© 2020 : Aviso Legal : Política de Privacidad : Política de Cookies
Solicite presupuesto - info@riestra-abogados.com
MARKETING, INTERNET & COPYRIGHT
RIESTRA ABOGADOS MARKETING LEGAL S.L.P.
B-85803898
Paseo de la castellana, 79 - 7ª planta. 28046 Madrid (Spain)
t- (34) 91 791.66.42
e-mail: info@riestra-abogados.com
Síguenos:
Newsletter
Riestra Abogados. 29 de mayo de 2017
Reglamento (UE) 2016/679
La Comisión Europea ha promovido en los últimos años la “privacidad en el diseño”, la “seguridad en el diseño”, y “las tecnologías que mejoran la privacidad”, como una forma de abordar los cambios tecnológicos en la protección de los datos personales.
El nuevo Reglamento (UE) 2016/679 recoge el guante, y ha incluido el concepto de “privacidad en el diseño”, lo que supone un paso importante en la consolidación de la protección de los datos personales en el derecho comunitario.
¿Qué es la privacidad en el diseño?
En la comunicación de la Comisión COM(2010) 245, titulada “Una Agenda Digital para Europa” abordaba ya en la página 19 de dicho informe la idea de la privacidad en el diseño:
“El derecho a la intimidad y a la protección de los datos personales constituye un derecho fundamental en la UE que es preciso hacer aplicar –también en línea– eficazmente utilizando un amplio abanico de métodos: desde la aplicación generalizada del principio de «privacidad a través del diseño» en las tecnologías de TIC pertinentes, hasta las sanciones disuasorias cuando resulte necesario”
Explicando que el principio de privacidad en el diseño:
“significa que la protección de los datos y de la intimidad está imbricada en todo el ciclo de vida de las tecnologías, desde la primera fase de diseño a su despliegue, utilización y eliminación definitiva”.
Es decir, cuando estamos diseñando un nuevo producto o servicio, ya sea una app o cualquier tipo de software, deben tenerse en cuanta las leyes de privacidad y no, como viene siendo habitual, abordar la cuestión legal cuando el producto ya está desarrollado o se ha lanzado al mercado. Esta conducta es (o ha sido) habitual en muchas tecnológicas estadounidenses, pero nuestras empresas no escapan de una normativa europea que amenaza con altas sanciones.
Diseño front-end versus back-end
En diseño de software el front-end es la parte del software que ven los usuarios, es decir donde se interactúa, frente al back-end que es la parte del programa que el usuario no ve. Estos dos conceptos son muy utilizados en la práctica del diseño de software.
Por lo general, y en teoría, el front-end es la parte donde se recolectan los datos de entrada del usuario, y el back-end es donde los procesa para devolver una respuesta inteligible al usuario a través de lo que se conoce como interfaz, es decir el medio a través del cual un usuario se comunica con la máquina.
Por lo general los diseños de privacidad que siguen los principios de los Fair Information Practices (“FIPs”), se han basado en un diseño de back-end, llegando a considerar al diseño de la privacidad en un complemento de la ingeniería de seguridad (“Security by design“), aunque actualmente ya se hace referencia a la ingeniería de la privacidad (“privacy engineering”), frente a la ingeniería de la seguridad (“security engineering”), añadiendo que la usabilidad de las herramientas (“UX Usability Experience”), es decir la facilidad de uso de las mismas junto con el diseño que hace fácil y sencillo su manejo, deben tener un rol importante en el diseño de la privacidad. Ingenieros y juristas trabajando conjuntamente sobre la experiencia y modo de uso de las herramientas por parte de los usuarios finales.
Un ejemplo de cómo incorporar la privacidad en el diseño en la propia fase incipiente de desarrollo de un software sería definiendo en el mismo software el tiempo que los datos deben mantenerse según la norma legal aplicable, estableciéndose el procedimiento de borrado de forma automática cuando proceda.
En cualquier diseño de un producto el elemento de la privacidad debe tenerse en cuenta tanto en la fase de back-end, incluyendo la seguridad, como en la fase de front-end, es decir creando mecanismos “amigables”, sencillos y prácticos para que sea el usuario quien controle sus datos y preferencias, de ahí que la usabilidad de las aplicaciones sea fundamental. Recordemos el Considerando (39) del Reglamento (UE) 2016/679, que establecía que “toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender”. De todo ello se aprecia por lo tanto la necesidad de desarrollar la privacidad en el diseño desde una perspectiva interdisciplinar, aglutinando a la ingeniería de privacidad, con ingeniería de seguridad y los expertos en usabilidad, si queremos conseguir una privacidad en el diseño efectiva.
Artículo 25 Reglamento (UE) 2016/679: Protección de datos desde el diseño y por defecto
1. Los Estados miembros dispondrán que el responsable del tratamiento, teniendo en cuenta el estado de la técnica y el coste de la aplicación, y la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas planteados por el tratamiento, aplique, tanto en el momento de determinar los medios para el tratamiento como en el momento del propio tratamiento, las medidas técnicas y organizativas apropiadas, como por ejemplo la seudonimización, concebidas para aplicar los principios de protección de datos, como por ejemplo la minimización de datos, de forma efectiva y para integrar las garantías necesarias en el tratamiento (…).
Protección de datos que se debe realizar desde el momento en el que se determinan los medios para el tratamiento, es decir, cuando se están concibiendo tales medios, así como en el mismo momento del tratamiento, que era básicamente como se estaba realizando hasta la fecha. Pero además, se proponen ejemplos como la seudonimización. En cuanto a la protección de datos en el diseño por defecto, recogido en el apartado 2, importante destacar que sólo se tratarán los datos para los fines específicos propios de su captación. Es decir no se podrán tratar más datos que los necesarios para la finalidad consentida por el interesado.
2. Los Estados miembros dispondrán que el responsable del tratamiento aplique las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Dicha obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su período de conservación y a su accesibilidad. En concreto, tales medidas garantizarán que, por defecto, los datos personales no sean accesibles, sin intervención de la persona, a un número indeterminado de personas físicas.
Conclusión
Como idea, la privacidad en el diseño, es interesante, porque traslada la privacidad a todos los niveles, tanto de creación como de gestión corporativa, asumiendo que todos sus responsables conocen y son sensibles a las cuestiones de privacidad. En la práctica, es necesario que en el mismo momento de las concepción de la idea se tengan en cuenta las normas de privacidad, si se quieren evitar sanciones que pueden llegar, como recoge el art.83.5 del Reglamento (UE) 2016/679, hasta un máximo de 20.000.000 EUR.
Protección de datos desde el diseño y por defecto.
(LOPD / Nuevo Reglamento de Protección de Datos)
Suscribase a nuestro Newsletter y reciba periódicamente novedades de marketing legal.