Un año, un poco más, ha pasado desde que entró en aplicación el Reglamento General de Protección de Datos. A día de hoy, aún, hay conceptos que aún no nos encajan o que nos resultan poco menos que mantras esotéricos. Uno de esos conceptos, es la privacidad desde el diseño, un término que pocos pueden entender y que un emprendedor cuando lo entiende lo traduce a: «Genial… la última ronda, entera para cumplimiento de la privacidad».
Hablemos en plata ¿Qué es la privacidad desde el diseño?
Es una obligación del responsable del tratamiento de los datos por la que éste deberá de tener en cuenta la protección de datos tanto en el momento de diseñar los procesos como a la hora de instaurarlos (art. 25, ap. 1 RGPD).
Esta obligación empuja a cualquiera a que cada vez que tenga pensamiento de diseñar un nuevo proceso o desarrollar un nuevo producto o línea de negocio deberá de tener en cuenta la privacidad y los derechos de los interesados.
Concretamente, nos dice dicho artículo, en conjunto con el considerando 78 de la misma norma y citando a Rosario Duaso Calés, la norma nos pide que integremos la protección de datos en «la arquitectura de todo sistema o aplicación, así como en el diseño de aquellos procesos que conllevan el tratamiento de datos». Es decir, que consideremos el impacto en la privacidad de los usuarios desde una fase inicial de desarrollo (cuando determinamos procesos y medios) del producto o servicio, y que, ojo, extenderemos también durante la fase operativa (durante la cual efectivamente trataremos los datos).
¿En qué se traduce la privacidad desde el diseño, por ejemplo, para una startup?
Haciendo eco de las palabras de la antigua comisaria de privacidad de Ontario, Ann Cavoukian y de los siete principios, la privacidad desde el diseño supone que:Abordaremos la privacidad de forma proactiva y preventiva para evitar la materialización de las amenazas.
- Los procedimientos y sistemas deberán de ser diseñados pensando en que la privacidad sea la opción por defecto sin necesidad de que sean necesarias acciones adicionales.
- La privacidad ha de ser uno de los componentes esenciales de los procesos y sistemas.
- El tratamiento de datos ha de suponer un beneficio para toda parte implicada.
- La información deberá de protegerse en todo momento, desde que se recoge el dato hasta que se suprime, es decir, durante todo el ciclo de vida del dato.
- Los procedimientos deberán de tener en cuenta las políticas de privacidad instauradas o diseñadas.
- Las medidas de seguridad y privacidad tendrán en consideración que el objetivo es respetar los derechos del afectado.
En resumen, esto implica que en todo momento, especialmente desde el momento en el que estamos en la «seed stage» deberemos de contemplar la posibilidad de incluir a un especialista en protección de datos para que aplique los principios de la protección de datos, a saber:
- licitud, lealtad y transparencia, es decir, trataremos los datos cumpliendo alguna de las bases de legitimación -consentimiento, cumplimiento de una obligación, interés legítimo, etc- y de una forma leal a los principios y suficientemente transparente como para que el usuario sepa qué pasa con sus datos;
- limitación de la finalidad, adecuaremos el producto o servicio, para tratar datos sólo para aquello que sea necesario. Si nuestro producto o servicio no se basa en la geolocalización, ni necesitamos el dato, ni debemos tratarlo;
- minimización de los datos, trataremos solo los datos necesarios para los fines determinados, es decir, si nuestro servicio no necesita saber tu sexo u orientación sexual ¿Para qué vamos a pedir esa información?;
- exactitud; instauraremos desde el inicio un proceso que nos permita de una forma sencilla actualizar y mantener al día el tratamiento de los datos;
- limitación del plazo de conservación; si solo necesitamos la identificación, contacto y residencia de un cliente para cumplir con las obligaciones fiscales (4 años) no será necesario entonces conservar su correo electrónico o su situación familiar durante ese tiempo;
- integridad y confidencialidad; aseguraremos que los procedimientos que hemos diseñado para llevar a la realidad nuestro producto o servicio mantengan un buen nivel de seguridad de los datos, impidiendo que terceros accedan a ellos o que el departamento comercial acceda por ejemplo al DNI del usuario, cuando no lo necesita;
- y como no, responsabilidad proactiva; es decir, aplicar las medidas y ser capaces de demostrarlo, por eso es conveniente documentar la toma de decisiones y el diseño de los procesos y sistemas en la fase seed, para demostrar que hemos tenido en cuenta la privacidad.
A priori, parece abrumador la cantidad de cuestiones que hay que tener en cuenta, sobre todo para esa “pequeña” parcela que es la protección de datos en un proyecto, pero que, sin embargo, como decíamos debería de estar presente desde el inicio, pues actualmente resulta arduo pensar en un proyecto que no conlleve un tratamiento de datos o se base en procesar información de usuarios, hasta las TV se diseñan con esa intención.
Por último ¿Qué riesgos estoy asumiendo al no tener en cuenta privacidad desde el diseño?
Como todo en esta vida, también la de los negocios, y más aún cuando jugamos con datos personales de individuos, hay consecuencias. La nueva ley orgánica en combinación con el Reglamento nos advierte que no cumplir con nuestra obligación a instaurar medidas que aseguren la privacidad desde el diseño es una sanción grave y podría suponernos hasta 10M€ o un máximo de un 2% de nuestra cifra de negocio anual. En este sentido podemos encontrar algunas resoluciones relevantes y recientes.
En primer lugar, tenemos la reciente y primera sanción por incumplimiento del artículo 25.1. -privacidad desde el diseño- de la autoridad de control rumana de 27 de junio por la que sanciona a Unicredit Bank con el equivalente a 130m€ por no haber tenido en cuenta el principio de minimización de los datos al diseñar una herramienta que ha llevado a exponer datos personales de cerca de 340m individuos.
En el mismo sentido, y muy relevante en España, la sanción de 250m€ que se ha impuesto a La Liga, por su app, así es aquella que activa tu micrófono y localización para saber si el bar de turno retransmitía los partidos de forma legal, y que se podría haber minorado si en el momento de diseñar la app se hubieran tenido en cuenta, aun más, los principios de minimización de los datos y limitación de la finalidad. Asimismo, otros procedimientos sancionadores se pronuncian en el mismo sentido tanto en el ámbito público privado como los siguientes: PS0036/2018; PS00354/2018, haciendo referencia al incumplimiento del principio de minimización de los datos, que es uno de los comentados, pero sobre el que me gustaría realizar un énfasis, pues para el caso de tener en cuenta la privacidad desde el diseño es uno de los principales, ya que como hemos explicado: limita la información a recoger y nos hace pensar sobre la proporcionalidad del datos que recabaremos y los procedimientos o tratamientos necesarios para sacar adelante el proyecto.
Tech & Privacy Lawyer
