Privacidad por diseño y por defecto. ¿Qué es y en qué consiste?

Ley orgánica de protección de datos personales:
privacidad por diseño y por defecto. ¿Qué es y en qué consiste?
Por Juliana García Scandizzi

El 26 de mayo de 2021 se publicó La Ley Orgánica de Protección de Datos personales del Ecuador, cuya finalidad es brindar mayor protección a los datos personales de todos los ciudadanos, imponiendo determinadas obligaciones al sector público y privado para tal fin. La normativa ecuatoriana ha sido receptada íntegramente del Reglamento 679/2016 de la Unión Europea en materia de protección de datos personales.

El objetivo principal de esta normativa consiste en generar un cambio total de paradigma en lo que concierne a tráfico de datos personales, comprometiendo tanto al sector público como al sector privado, a que se genere una real conciencia de protección y resguardo en cada uno de los agentes que intervienen en dichos sectores.

En definitiva, estos sectores deberán realizar cada vez más acciones para brindar un real cumplimiento a la protección de los datos personales, hasta que las mismas alcancen el máximo de protección esperado, como así también un alto grado de cultura y compromiso interno.

En tal sentido, una de las obligaciones que impone la normativa es la de implementar el principio de privacidad por diseño y por defecto.

A continuación, responderemos las preguntas más frecuentes que giran en torno a este concepto.

¿Qué es la privacidad por diseño y por defecto?

El concepto de privacidad por diseño y por defecto, fue creado en la década de los 90 por la Dra. Ann Cavoukian, Comisionada de Información y Privacidad de Ontario, Canadá bajo el término anglosajón “Privacy by design”.

Consiste en la metodología de: “incluir la privacidad entre la especificación de requisitos de una tecnología”.

El trasfondo de esta metodología reside en que los actores la incorporen en cada uno de sus productos o servicios, tomándola como eje central desde la creación, hasta que finalmente logre trascender a sus propios valores y conductas éticas.

¿Cuáles son los principios que rigen dentro de la privacidad por diseño y por defecto?

Dentro del propio principio de privacidad por diseño y por defecto, existen otros subprincipios rectores, entre los que se encuentran:

• Preventivo no correctivo: Implica que se deben tomar todas las medidas necesarias para prevenir cualquier conflicto en materia de privacidad, teniendo en miras la anticipación como eje central.

La Agencia Española de Protección de Datos, precursora en el estudio de la privacidad por diseño y por defecto, entiende que esto contempla:

• Un claro compromiso por parte de la organización y que debe ser impulsado desde los escalones más altos de la Dirección.
• El desarrollo de una cultura de compromiso y mejora continua por parte de todos los trabajadores, ya que de nada sirve una política si esta no se traduce en acciones concretas que se realimenten de sus resultados.
• Definición y asignación de responsabilidades concretas, de modo que cada miembro de la organización sepa claramente cuáles son sus funciones en materia de privacidad.
• Desarrollar métodos sistemáticos en base a indicadores para la detección temprana de procesos y prácticas que estén ofreciendo resultados deficientes en la garantía de la privacidad
• Privacidad en el diseño por excelencia: Implica que la privacidad debe convertirse en el eje rector del producto o servicio que se quiera brindar y esté en vías de desarrollo.

No es una capa adicional o módulo que se añade a algo preexistente, sino que debe estar integrada en el conjunto de requisitos no funcionales desde el mismo momento en el que se concibe y diseña.[1]

Desde las primeras etapas del diseño entonces, se deben considerar los siguientes aspectos:

• La existencia del principio como un requisito necesario en el ciclo de vida de productos y servicios, como en el diseño de los procesos de la organización.
• Realizar un análisis de riesgo de todos los derechos de los titulares de datos personales, y las evaluaciones de impactos correspondientes a la protección de dichos datos, como parte integral del diseño.
• Privacidad al alcance del usuario: Implica que el usuario del producto o servicio no deberá realizar ninguna acción para proteger su privacidad, sino que la misma ya se encontrará incorporada con anterioridad.

“La configuración por defecto deberá quedar establecida desde el diseño a aquel nivel que resulte lo más respetuoso posible en términos de privacidad. En el caso de que el sujeto no tome ninguna acción de configuración, su privacidad debe estar garantizada y mantenerse intacta, pues está integrada en el sistema y configurada por defecto.

Este principio, llevado a términos prácticos, se fundamenta en la minimización de datos a lo largo de todas las etapas del tratamiento: recogida, uso, conservación y difusión.”[1]

• Funcionalidad total: implica que tanto la privacidad como los bienes y servicios, podrán ser garantizados en forma completa, sin que la consecución de los bienes o servicios ponga en riesgo la privacidad de los usuarios.

“Para ello, desde las primeras etapas de concepción de los productos y servicio, la organización debe:

• Asumir que pueden coexistir intereses diferentes y legítimos: los de la entidad y los de los usuarios a los que presta servicio; y que es necesario identificarlos, evaluarlos y balancearlos apropiadamente.
• Establecer canales de comunicación para colaborar y consultar a las partes interesadas con el objeto de comprender y hacer converger múltiples intereses, que aparentemente y en una primera aproximación, pueden parecer divergentes.
• Si la solución propuesta plantea amenazas a la privacidad, buscar nuevas soluciones y alternativas para alcanzar las distintas funcionalidades e intereses perseguidos, pero siempre sin perder de vista que deben gestionarse adecuadamente los riesgos para la privacidad del usuario.”[1]
• Seguridad de extremo a extremo: Implica la protección total de los datos durante todo el ciclo de vida de la información, abarcando su recolección, tratamiento y eliminación de forma constante y eficiente.
• Visibilidad y transparencia: Implica cumplir con el deber de información debido al usuario, informando con claridad y de forma completa el tratamiento y los agentes que tendrán acceso a la información proporcionada por éste.

Este principio, se utiliza como pilar para demostrar la diligencia y la responsabilidad proactiva ante las autoridades de control correspondientes, como así también para generar confianza a los sujetos de la sociedad que brindan sus datos personales.

• Respeto por la privacidad de los usuarios: Implica que se deberá dar prioridad exclusiva a la protección total de los datos de los usuarios, incluyendo tanto a los productos o servicios que se brinden, como así también a toda la práctica empresarial que los rodea.

En definitiva, esto supone que se deberán diseñar procesos, productos y servicios “teniendo en mente al usuario”, anticipándose entonces a las necesidades de todos aquellos que brinden sus datos personales.

• Minimización de datos: Implica que se deberán recabar y tratar solo los datos que sean estrictamente necesarios para el giro de los productos o servicios que se ofrezcan, conservándolos solo el tiempo que sean necesarios, prohibiendo asimismo su puesta a disposición al público en general.

Siguiendo dicha inteligencia, ¿en qué consiste la privacidad por diseño y por defecto?

La privacidad por diseño y por defecto entonces, consiste en la adopción de medidas de seguridad tanto en los aspectos técnicos como en los jurídicos, desde el momento cero en el cual se comienza a diseñar el producto o servicio, que aseguren la protección de los datos que los usuarios en forma integral y durante todo el ciclo de duración del tratamiento de la información brindada.

La Agencia Española de Protección de Datos en su “Guía de Privacidad desde el Diseño” menciona que: “La privacidad desde el diseño (en adelante, PbD) implica utilizar un enfoque orientado a la gestión del riesgo y de responsabilidad proactiva [9] para establecer estrategias que incorporen la protección de la privacidad a lo largo de todo el ciclo de vida del objeto (ya sea este un sistema, un producto hardware o software, un servicio o un proceso). (…) El objetivo último es que la protección de datos esté presente desde las primeras fases de desarrollo y no sea una capa añadida a un producto o sistema. La privacidad debe formar parte integral de la naturaleza de dicho producto o servicio”[1]

Es fundamental entonces, para todos aquellos actores que tengan en miras realizar proyectos que incluyan el tratamiento de datos personales, contar con un equipo de trabajo sólido y especializado en el aspecto técnico y en el jurídico, a fin de que estos colaboren y brinden soporte desde el diseño del procedimiento, la ejecución del análisis inicial de los productos y servicios a ofrecer, como así también el soporte necesario durante todo el ciclo de vida de la información que se recabará.

Entonces, ¿cuáles son las medidas que deberían adoptar los actores intervinientes?

En primer lugar, los actores deberían tener bien identificados cuales son los datos personales que tratarán en consonancia con los bienes y servicios ofrecidos, y buscar la forma de que estos se reduzcan a un número mínimo.

En segundo lugar, cumplir con el deber de información a sus usuarios respecto al tratamiento que se realizará a dichos datos, a quienes podrán ser cedidos y/o el plazo de conservación de estos.

En tercer lugar, y no menos importante, tener bien en claro que el resguardo de la privacidad debe realizarse desde el momento uno, y que se deben implementar la mayor cantidad de medidas de seguridad técnicas y jurídicas para llevar a cabo tal fin.

Por último, realizar seguimientos y auditorías a nivel interno, a fin de asegurar que se está efectuando un verdadero resguardo de la privacidad en todas las etapas del proceso, es decir, desde el inicio de la idea, la puesta en marcha del proyecto, el desarrollo y la conclusión del mismo.

En consecuencia, la protección de datos desde el diseño y por defecto es una obligación que poseen los actores que van a utilizar los datos personales brindados por los ciudadanos, y por tanto deben ser éstos quienes participen de forma activa en la ingeniería de la privacidad, ayudando a definir todos los aspectos que deben ser contemplados, realizando un seguimiento adecuado y permanente de su correcta implementación y operatividad, a fin de que en definitiva los datos que son objeto de tratamiento queden protegidos y su privacidad resguardada.

En resumen, ¿para qué sirve la implementación del concepto de “privacy by design”

La aplicación de este concepto ayudará a los actores del sector público y privado a generar un cambio de paradigma dentro de sus sistemas, tanto a nivel técnico como a nivel social, entendiendo a la protección de los datos personales como un concepto que se debe resguardar, a fin de no solo evitar las sanciones que los organismos correspondientes puedan imponerles, sino también para entender la importancia y responsabilidad que conlleva el tratamiento y tráfico de los datos personales que se brindan por parte de la sociedad.

[1] AGENCIA ESPAÑOLA DE PROTECCION DE DATOS. “GUIA DE PRIVACIDAD DESDE EL DISEÑO”, EDICION OCTUBRE 2019.