{"id":1820,"date":"2019-10-07T09:17:10","date_gmt":"2019-10-07T09:17:10","guid":{"rendered":"https:\/\/www.aktionlegal.com\/?p=1820"},"modified":"2023-04-11T16:18:06","modified_gmt":"2023-04-11T16:18:06","slug":"la-privacidad-desde-el-diseno-como-aplicarla","status":"publish","type":"post","link":"https:\/\/www.aktionlegal.com\/en\/la-privacidad-desde-el-diseno-como-aplicarla\/","title":{"rendered":"La privacidad desde el dise\u00f1o \u00bfc\u00f3mo aplicarla?"},"content":{"rendered":"<p>Un a\u00f1o, un poco m\u00e1s, ha\npasado desde que entr\u00f3 en aplicaci\u00f3n el <a href=\"https:\/\/eur-lex.europa.eu\/legal-content\/ES\/ALL\/?uri=CELEX%3A32016R0679\" target=\"_blank\" rel=\"noopener\">Reglamento General de Protecci\u00f3n de Datos<\/a>. A d\u00eda de hoy, a\u00fan, hay conceptos que a\u00fan no nos\nencajan o que nos resultan poco menos que mantras esot\u00e9ricos. Uno de esos\nconceptos, es la privacidad desde el dise\u00f1o, un t\u00e9rmino que pocos pueden\nentender y que un emprendedor cuando lo entiende lo traduce a: \u00ab<em>Genial\u2026 la\n\u00faltima ronda, entera para cumplimiento de la privacidad<\/em>\u00bb.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Hablemos en plata \u00bfQu\u00e9 es la privacidad\ndesde el dise\u00f1o?<\/h2>\n\n\n\n<p>Es una obligaci\u00f3n del\nresponsable del tratamiento de los\ndatos por la que \u00e9ste deber\u00e1 de tener en cuenta la protecci\u00f3n de datos\ntanto en el momento de dise\u00f1ar los procesos como a la hora de instaurarlos (art. 25, ap. 1 RGPD). <\/p>\n\n\n\n<p>Esta obligaci\u00f3n empuja a\ncualquiera a que cada vez que tenga pensamiento de dise\u00f1ar un nuevo proceso o\ndesarrollar un nuevo producto o l\u00ednea de negocio deber\u00e1 de tener en cuenta la\nprivacidad y los derechos de los interesados.<\/p>\n\n\n\n<p>Concretamente, nos dice\ndicho art\u00edculo, en conjunto con el considerando 78 de la misma norma y citando\na Rosario Duaso Cal\u00e9s, la norma nos pide que integremos la protecci\u00f3n de datos\nen \u00ab<em>la arquitectura de todo sistema o aplicaci\u00f3n, as\u00ed como en el dise\u00f1o de\naquellos procesos que conllevan el tratamiento de datos<\/em>\u00bb. Es decir, que\nconsideremos el impacto en la privacidad de los usuarios desde una fase inicial\nde desarrollo (cuando determinamos procesos y medios) del producto o servicio,\ny que, ojo, extenderemos tambi\u00e9n durante la fase operativa (durante la cual efectivamente\ntrataremos los datos).<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">\u00bfEn qu\u00e9 se traduce la privacidad desde\nel dise\u00f1o, por ejemplo, para una startup?<\/h2>\n\n\n\n<p>Haciendo eco de las\npalabras de la antigua comisaria de privacidad de Ontario, Ann Cavoukian y de\nlos siete principios, la privacidad desde el dise\u00f1o supone que:Abordaremos la privacidad de forma proactiva y preventiva para evitar la materializaci\u00f3n de las amenazas.<\/p>\n\n\n\n<p><\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Los procedimientos y sistemas deber\u00e1n de ser dise\u00f1ados pensando en que la privacidad sea la opci\u00f3n por defecto sin necesidad de que sean necesarias acciones adicionales.<\/li><\/ul>\n\n\n\n<p><\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>La privacidad ha de ser uno de los componentes esenciales de los procesos y sistemas.<\/li><\/ul>\n\n\n\n<p><\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>El tratamiento de datos ha de suponer un beneficio para toda parte implicada.<\/li><\/ul>\n\n\n\n<p><\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>La informaci\u00f3n deber\u00e1 de protegerse en todo momento, desde que se recoge el dato hasta que se suprime, es decir, durante todo el ciclo de vida del dato.<\/li><\/ul>\n\n\n\n<p><\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Los procedimientos deber\u00e1n de tener en cuenta las pol\u00edticas de privacidad instauradas o dise\u00f1adas.<\/li><\/ul>\n\n\n\n<p><\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Las medidas de seguridad y privacidad tendr\u00e1n en consideraci\u00f3n que el objetivo es respetar los derechos del afectado.<\/li><\/ul>\n\n\n\n<p>En resumen, esto implica\nque en todo momento, especialmente desde el momento en el que estamos en la \u00ab<em>seed\nstage<\/em>\u00bb deberemos de contemplar la posibilidad de incluir a un especialista\nen protecci\u00f3n de datos para que aplique los principios de la protecci\u00f3n de\ndatos, a saber:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>licitud, lealtad y transparencia, es decir, trataremos los datos cumpliendo alguna de las bases de legitimaci\u00f3n -consentimiento, cumplimiento de una obligaci\u00f3n, inter\u00e9s leg\u00edtimo, etc- y de una forma leal a los principios y suficientemente transparente como para que el usuario sepa qu\u00e9 pasa con sus datos;<\/li><\/ul>\n\n\n\n<p><\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>limitaci\u00f3n de la finalidad, adecuaremos el producto o servicio, para tratar datos s\u00f3lo para aquello que sea necesario. Si nuestro producto o servicio no se basa en la geolocalizaci\u00f3n, ni necesitamos el dato, ni debemos tratarlo;<\/li><\/ul>\n\n\n\n<p><\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>minimizaci\u00f3n de los datos, trataremos solo los datos necesarios para los fines determinados, es decir, si nuestro servicio no necesita saber tu sexo u orientaci\u00f3n sexual \u00bfPara qu\u00e9 vamos a pedir esa informaci\u00f3n?;<\/li><\/ul>\n\n\n\n<p><\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>exactitud; instauraremos desde el inicio un proceso que nos permita de una forma sencilla actualizar y mantener al d\u00eda el tratamiento de los datos; <\/li><\/ul>\n\n\n\n<p><\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>limitaci\u00f3n del plazo de conservaci\u00f3n; si solo necesitamos la identificaci\u00f3n, contacto y residencia de un cliente para cumplir con las obligaciones fiscales (4 a\u00f1os) no ser\u00e1 necesario entonces conservar su correo electr\u00f3nico o su situaci\u00f3n familiar durante ese tiempo;<\/li><\/ul>\n\n\n\n<p><\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>integridad y confidencialidad; aseguraremos que los procedimientos que hemos dise\u00f1ado para llevar a la realidad nuestro producto o servicio mantengan un buen nivel de seguridad de los datos, impidiendo que terceros accedan a ellos o que el departamento comercial acceda por ejemplo al DNI del usuario, cuando no lo necesita; <\/li><\/ul>\n\n\n\n<p><\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>y como no, responsabilidad proactiva; es decir, aplicar las medidas y ser capaces de demostrarlo, por eso es conveniente documentar la toma de decisiones y el dise\u00f1o de los procesos y sistemas en la fase seed, para demostrar que hemos tenido en cuenta la privacidad.<\/li><\/ul>\n\n\n\n<p>A priori, parece abrumador\nla cantidad de cuestiones que hay que tener en cuenta, sobre todo para esa \u201c<em>peque\u00f1a<\/em>\u201d\nparcela que es la protecci\u00f3n de datos en un proyecto, pero que, sin embargo, como\ndec\u00edamos deber\u00eda de estar presente desde el inicio, pues actualmente resulta\narduo pensar en un proyecto que no conlleve un tratamiento de datos o se base\nen procesar informaci\u00f3n de usuarios, <a href=\"https:\/\/www.businessinsider.es\/smart-tv-data-collection-advertising-2019-1?r=US&amp;IR=T\" target=\"_blank\" rel=\"noopener\">hasta las TV se dise\u00f1an con esa intenci\u00f3n<\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Por \u00faltimo \u00bfQu\u00e9 riesgos estoy asumiendo\nal no tener en cuenta privacidad desde el dise\u00f1o?<\/h2>\n\n\n\n<p>Como todo en esta vida,\ntambi\u00e9n la de los negocios, y m\u00e1s a\u00fan cuando jugamos con datos personales de\nindividuos, hay consecuencias. <a href=\"https:\/\/www.boe.es\/buscar\/doc.php?id=BOE-A-2018-16673\" target=\"_blank\" rel=\"noopener\">La nueva ley org\u00e1nica<\/a> en combinaci\u00f3n con el Reglamento nos advierte que\nno cumplir con nuestra obligaci\u00f3n a instaurar medidas que aseguren la\nprivacidad desde el dise\u00f1o es una sanci\u00f3n grave y podr\u00eda suponernos hasta 10M\u20ac\no un m\u00e1ximo de un 2% de nuestra cifra de negocio anual. En este sentido podemos\nencontrar algunas resoluciones relevantes y recientes.<\/p>\n\n\n\n<p>En primer lugar, tenemos\nla reciente y primera sanci\u00f3n por incumplimiento del art\u00edculo 25.1. -privacidad\ndesde el dise\u00f1o- de la autoridad de control rumana de 27 de junio por la que\nsanciona a Unicredit Bank con el equivalente a 130m\u20ac por no haber tenido en\ncuenta el principio de minimizaci\u00f3n de los datos al dise\u00f1ar una herramienta que\nha llevado a exponer datos personales de cerca de 340m individuos.<\/p>\n\n\n\n<p>En el mismo sentido, y muy relevante en Espa\u00f1a, la <a href=\"https:\/\/www.elconfidencial.com\/tecnologia\/2019-06-11\/aepd-laliga-app-sancion-multa-proteccion-datos-pirateria_2064138\/\" target=\"_blank\" rel=\"noopener\">sanci\u00f3n de 250m\u20ac que se ha impuesto a La Liga<\/a>, por su app, as\u00ed es aquella que activa tu micr\u00f3fono y localizaci\u00f3n para saber si el bar de turno retransmit\u00eda los partidos de forma legal, y que se podr\u00eda haber minorado si en el momento de dise\u00f1ar la app se hubieran tenido en cuenta, aun m\u00e1s, los principios de minimizaci\u00f3n de los datos y limitaci\u00f3n de la finalidad. Asimismo, otros procedimientos sancionadores se pronuncian en el mismo sentido tanto en el \u00e1mbito p\u00fablico privado como los siguientes: PS0036\/2018; PS00354\/2018, haciendo referencia al incumplimiento del principio de minimizaci\u00f3n de los datos, que es uno de los comentados, pero sobre el que me gustar\u00eda realizar un \u00e9nfasis, pues para el caso de tener en cuenta la privacidad desde el dise\u00f1o es uno de los principales, ya que como hemos explicado: limita la informaci\u00f3n a recoger y nos hace pensar sobre la proporcionalidad del datos que recabaremos y los procedimientos o tratamientos necesarios para sacar adelante el proyecto.<\/p>\n\n\n\n<p><a href=\"file:\/\/\/S:\/\/www.linkedin.com\/in\/pviedma\/\">Pablo Viedma<\/a><\/p>\n\n\n\n<p>Tech &amp; Privacy Lawyer<br><\/p>","protected":false},"excerpt":{"rendered":"<p>Un a\u00f1o, un poco m\u00e1s, ha pasado desde que entr\u00f3 en aplicaci\u00f3n el Reglamento General de Protecci\u00f3n de Datos. A d\u00eda de hoy, a\u00fan, hay conceptos que a\u00fan no nos encajan o que nos resultan poco menos que mantras esot\u00e9ricos. Uno de esos conceptos, es la privacidad desde el dise\u00f1o, un t\u00e9rmino que pocos pueden [&hellip;]<\/p>\n","protected":false},"author":3,"featured_media":12127,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[75],"tags":[],"class_list":["post-1820","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tech-privacy"],"_links":{"self":[{"href":"https:\/\/www.aktionlegal.com\/en\/wp-json\/wp\/v2\/posts\/1820","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.aktionlegal.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.aktionlegal.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.aktionlegal.com\/en\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.aktionlegal.com\/en\/wp-json\/wp\/v2\/comments?post=1820"}],"version-history":[{"count":0,"href":"https:\/\/www.aktionlegal.com\/en\/wp-json\/wp\/v2\/posts\/1820\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.aktionlegal.com\/en\/wp-json\/wp\/v2\/media\/12127"}],"wp:attachment":[{"href":"https:\/\/www.aktionlegal.com\/en\/wp-json\/wp\/v2\/media?parent=1820"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.aktionlegal.com\/en\/wp-json\/wp\/v2\/categories?post=1820"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.aktionlegal.com\/en\/wp-json\/wp\/v2\/tags?post=1820"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}