Análisis del privacy by design y su mención en el reglamento general de protección de datos de la ue

ANÁLISIS DEL PRIVACY BY DESIGN Y SU MENCIÓN EN EL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS DE LA UE Resumen: La PbD (Privacy by Design) o “privacidad desde el diseño” es una estructura de cumplimiento normativo aplicada desde la concepción de cualquier proceso de negocio. Debe ser entendida por las empresas como una herramienta con producción positiva de resultados, ya que la inversión en cumplimiento normativo posterior será mínima o tal vez innecesaria, porque tendrán en el mercado un producto/servicio, que se adecue a un estándar legal, con calidad y un excelente cumplimiento normativo.   Autor del artículo Colaboración ANA MARITZA VEGA SUÁREZ     Actualizado   3 de Junio de 2013   ÍNDICE 1. ANTECEDENTES 2. SITUACIÓN ACTUAL 3. INCLUSIÓN DEL PRIVACY BY DESIGN EN EL PRGPD DE LA UE 4. ELEMENTOS DEL PRIVACY BY DESIGN 5. BIBLIOGRAFÍA CONSULTADA 6. DERECHOS DE AUTOR     1. ANTECEDENTES El origen de esta figura se remonta a los años 90, cuando una comisionada de información y privacidad de Canadá [1] propuso su implementación en el diseño de diferentes tecnologías.   En el año 2009 la Comisión Europea requirió una consultoría sobre el marco legal del derecho fundamental de protección de datos bajo la luz de las nuevas  tecnologías y la globalización y uno de los aportes del grupo de trabajo del artículo 29 [2] fue la propuesta de innovación del marco con la inclusión de principios adicionales como el privacy by design (PbD) y el accountability. La consultoría tuvo como ejemplo un caso alemán, en donde la Corte Constitucional Alemana incluyó elementos del “PbD” en el fallo. La aplicación de este principio, implicaría el estudio profundo entre otros elementos:   Control Transparencia Uso amigable del sistema Confidencialidad de datos Calidad de datos   El Privacy by Design fue incluido como estándar internacional en el marco de la 32a Conferencia Internacional de Protección de Datos y Privacidad [3]. Este precedente fue tenido en cuenta para la inclusión de esta figura en la propuesta actual.   2. SITUACIÓN ACTUAL La figura de protección de datos fue introducida por la directiva comunitaria 96/46/EC e implementada a nivel de España por la LOPD. En virtud de dicha normativa, las empresas y particulares que recogen datos están obligadas al cumplimiento de la LOPD, estas empresas deberán cumplir con una obligación formal del alta en la agencia española de protección de datos, reporte de ficheros sobre los que manejaran datos personales e implementación de las correspondientes medidas de seguridad, lo anterior bajo un marco de implementación ex post del inicio de la actividad.   La ley exige el cumplimiento normativo y la implementación de medidas de seguridad, pero las empresas deben cumplir mecanismos de prevención que sean usados con carácter planificado y previo a la ocurrencia de la vulneración de las medidas de seguridad, con lo que ayudan a mitigar el incumplimiento de las mismas.   El modelo actual muestra como las empresas tienen que ajustar su operación al cumplimiento normativo o en otros escenarios más extremos, reaccionar con adecuaciones normativas producto de sanciones de la Agencia de protección de datos. En el caso de España, los indicadores de la AEPD [4] muestran que se  interpusieron en el 2011, unas 7.142 acciones administrativas entre denuncias y solicitudes de tutela, lo que nos hace concluir que el modelo actual se enfoca en un control posterior focalizado en el procedimiento sancionador y no en un modelo previsor de cumplimiento normativo.   3. INCLUSIÓN DEL PRIVACY BY DESIGN EN EL PRGPD DE LA UE El proyecto de  Reglamento General de Protección de Datos de la Unión Europea incluye dentro de su articulado una opción denominada el Privacy by design, traducida como “la privacidad desde el diseño”. La concepción de la idea es muy buena, pero una vez leída la propuesta de reglamento no queda muy clara su aplicación, pues no está desarrollada con la suficiente profundidad.   El objetivo ha sido el de dotar al mercado de un sistema de auto regulación y de autonomía a las empresas en donde puedan desarrollar escenarios de privacidad, contempladas desde el diseño del negocio,  incluyendo, la trilogía [5] que describe su autora y que resume en:   (i)Practicas de negocio responsable (ii) Diseño físico e infraestructura de red (iii) Sistemas tecnológicos e infraestructura de red   Con lo que, los empresarios deberán pensar en función de la protección de datos y de su cumplimiento normativo, desde la concepción de la idea de negocio y de esta manera ajustar su actuación con un carácter preventivo, diseñando los parámetros necesarios para conseguir los objetivos del Reglamento: el respeto y cumplimiento del derecho de protección de datos.   Esta estructura de cumplimiento normativo aplicada desde el diseño “privacy by design” debe ser entendida por las empresas como una herramienta con producción positiva de resultados, ya que la inversión en cumplimiento normativo posterior será mínima o tal vez innecesaria, porque tendrán en el mercado un producto/servicio, que se adecue a un estándar legal, con calidad y un excelente cumplimiento normativo, lo que les permitirá competir en un mercado, sin pensar en inversiones de consultoría posterior relacionada con protección de datos, ofreciendo servicios adaptados a las necesidades del mercado.   4. ELEMENTOS DEL PRIVACY BY DESIGN La creadora canadiense de esta figura “Ana Cavouikian”, estableció en Privacy by Design Curriculum 2.0 [6]  7 elementos importantes en la implementación de este principio:   Proactivo, no reactivo; preventivo no correctivo Privacidad como la configuración determinada Privacidad Incrustada en el Diseño Funcionalidad de todos ganan Protección de ciclo de vida completo Visibilidad y Transparencia Respeto por la privacidad de los usuarios   En las presentaciones realizadas por esta comisionada, desarrolla de manera puntual no sólo los principios sino la estrategia de cómo deben ser implementados a nivel de empresa.   Considero que el proyecto de reglamento ha decidido incluir esta figura y apostar a una nueva forma de regulación, de carácter preventiva de la defensa del derecho fundamental de protección de datos. Es una pena que no se hubiesen incluido más características de esta figura en el contenido de la propuesta del reglamento de protección de datos, pero ello va a impulsar a que los países europeos reglamenten dichos elementos en los ordenamientos jurídicos internos, el regulador europeo ha dejado las puertas abiertas para la implementación de escenarios netamente “proactivos y no reactivos”.   5. BIBLIOGRAFÍA CONSULTADA [1] Dra. Ann Cavoukian. Information & Privacy Commissioner Ontario, Canada. Página web. www.privacybydesign.ca   [2] ARTICLE 29 Data Protection Working Party. 1 December 2009. “THE FUTURE OF PRIVACY” Joint contribution to the Consultation of the European Commission on the legal framework for the fundamental right to protection of personal data. (Apartados 44 a 53). 02356/09/EN. WP 168.  Privacy by design   [3] ILITA - Ministry of Justice. Israel, 27-29 October 2010. “32nd International Conference of Data Protection and privacy commissioners”. PRIVACY: GENERATIONS. Página web. 32a CIPDP   [4] AEPD. 24 de Septiembre 2012. “Memoria Anual 2011”. Memoria AEPD 2011   [5] Ann Cavoukian Ph.D. Comisionada de Información y Privacidad, Ontario, Canadá.  “PRIVACY BY DESIGN, LOS 7 PRINCIPIOS”. La trilogía   [6]   Ann Cavoukian Ph.D.  “PRIVACY BY DESIGN CURRICULUM 2.0”. Download the full curriculum (18.9MB). Página web. PbD Curriculum 2.0   6. DERECHOS DE AUTOR Imágenes bajo licencia 123RF internacional.   La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.     Sobre la autora:     Ana Maritza Vega Suárez. Abogada dedicada a la Asesoría de Empresas con experiencia en el sector de las Telecomunicaciones, especializada en Derecho Administrativo, Derecho de las Telecomunicaciones. MSc en economía y regulación de los servicios públicos, especialidad Telecomunicaciones.   Desarrolla paralelamente actividades académicas y de formación a emprendedores.  Es representante en Barcelona del despacho Abanlex Abogados y atiende también su consulta por medio de la página web: abogadoentecnologia.com