Revista Comunicación
Análisis del privacy by design y su mención en el reglamento general de protección de datos de la ue
Publicado el 03 junio 2013 por Jlcolom
ANÁLISIS DEL PRIVACY BY DESIGN Y SU MENCIÓN EN EL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS DE LA UE
Resumen: La PbD (Privacy by
Design) o “privacidad desde el diseño” es una estructura de cumplimiento
normativo aplicada desde la concepción de cualquier proceso de negocio. Debe
ser entendida por las empresas como una herramienta con producción positiva de
resultados, ya que la inversión en cumplimiento normativo posterior será mínima
o tal vez innecesaria, porque tendrán en el mercado un producto/servicio, que
se adecue a un estándar legal, con calidad y un excelente cumplimiento normativo.
Autor del artículo
Colaboración
ANA
MARITZA VEGA SUÁREZ
Actualizado
3 de Junio de 2013
ÍNDICE
1. ANTECEDENTES
2. SITUACIÓN ACTUAL
3. INCLUSIÓN DEL PRIVACY
BY DESIGN EN EL PRGPD DE LA UE
4. ELEMENTOS DEL PRIVACY
BY DESIGN
5. BIBLIOGRAFÍA CONSULTADA
6. DERECHOS DE AUTOR
1. ANTECEDENTES
El origen de esta figura
se remonta a los años 90, cuando una comisionada de información y privacidad de
Canadá [1]
propuso su implementación en el diseño de diferentes tecnologías.
En el año 2009 la
Comisión Europea requirió una consultoría sobre el marco legal del derecho
fundamental de protección de datos bajo la luz de las nuevas tecnologías y la globalización y uno de los aportes
del grupo de trabajo del artículo 29 [2] fue la propuesta de innovación del marco con la
inclusión de principios adicionales como el privacy by design (PbD) y el
accountability. La consultoría tuvo como ejemplo un caso alemán, en donde la
Corte Constitucional Alemana incluyó elementos del “PbD” en el fallo. La
aplicación de este principio, implicaría el estudio profundo entre otros
elementos:
Control
Transparencia
Uso amigable del sistema
Confidencialidad de datos
Calidad de datos
El Privacy by Design fue
incluido como estándar internacional en el marco de la 32a Conferencia
Internacional de Protección de Datos y Privacidad [3].
Este precedente fue tenido en cuenta para la inclusión de esta figura en la
propuesta actual.
2. SITUACIÓN ACTUAL
La figura de protección
de datos fue introducida por la directiva comunitaria 96/46/EC e implementada a
nivel de España por la LOPD. En virtud de dicha normativa, las empresas y
particulares que recogen datos están obligadas al cumplimiento de la LOPD, estas
empresas deberán cumplir con una obligación formal del alta en la agencia
española de protección de datos, reporte de ficheros sobre los que manejaran
datos personales e implementación de las correspondientes medidas de seguridad,
lo anterior bajo un marco de implementación ex post del inicio de la
actividad.
La ley exige el
cumplimiento normativo y la implementación de medidas de seguridad, pero las
empresas deben cumplir mecanismos de prevención que sean usados con carácter
planificado y previo a la ocurrencia de la vulneración de las medidas de
seguridad, con lo que ayudan a mitigar el incumplimiento de las mismas.
El modelo actual muestra
como las empresas tienen que ajustar su operación al cumplimiento normativo o
en otros escenarios más extremos, reaccionar con adecuaciones normativas
producto de sanciones de la Agencia de protección de datos. En el caso de
España, los indicadores de la AEPD [4]
muestran que se interpusieron en el
2011, unas 7.142 acciones administrativas entre denuncias y solicitudes de
tutela, lo que nos hace concluir que el modelo actual se enfoca en un control
posterior focalizado en el procedimiento sancionador y no en un modelo previsor
de cumplimiento normativo.
3. INCLUSIÓN
DEL PRIVACY BY DESIGN EN EL PRGPD DE LA UE
El proyecto de Reglamento General de Protección de Datos de
la Unión Europea incluye dentro de su articulado una opción denominada el
Privacy by design, traducida como “la privacidad desde el diseño”. La
concepción de la idea es muy buena, pero una vez leída la propuesta de
reglamento no queda muy clara su aplicación, pues no está desarrollada con la
suficiente profundidad.
El objetivo ha sido el de
dotar al mercado de un sistema de auto regulación y de autonomía a las empresas
en donde puedan desarrollar escenarios de privacidad, contempladas desde el
diseño del negocio, incluyendo, la
trilogía [5] que describe su autora y
que resume en:
(i)Practicas de negocio responsable
(ii) Diseño físico e infraestructura de red
(iii) Sistemas tecnológicos e infraestructura de red
Con lo que, los
empresarios deberán pensar en función de la protección de datos y de su
cumplimiento normativo, desde la concepción de la idea de negocio y de esta
manera ajustar su actuación con un carácter preventivo, diseñando los parámetros
necesarios para conseguir los objetivos del Reglamento: el respeto y
cumplimiento del derecho de protección de datos.
Esta estructura de
cumplimiento normativo aplicada desde el diseño “privacy by design” debe ser
entendida por las empresas como una herramienta con producción positiva de
resultados, ya que la inversión en cumplimiento normativo posterior será mínima
o tal vez innecesaria, porque tendrán en el mercado un producto/servicio, que
se adecue a un estándar legal, con calidad y un excelente cumplimiento
normativo, lo que les permitirá competir en un mercado, sin pensar en
inversiones de consultoría posterior relacionada con protección de datos,
ofreciendo servicios adaptados a las necesidades del mercado.
4. ELEMENTOS
DEL PRIVACY BY DESIGN
La creadora canadiense de
esta figura “Ana Cavouikian”, estableció en Privacy by Design Curriculum 2.0 [6] 7 elementos importantes en la implementación
de este principio:
Proactivo, no reactivo; preventivo no correctivo
Privacidad como la configuración determinada
Privacidad Incrustada en el Diseño
Funcionalidad de todos ganan
Protección de ciclo de vida completo
Visibilidad y Transparencia
Respeto por la privacidad de los usuarios
En las presentaciones
realizadas por esta comisionada, desarrolla de manera puntual no sólo los
principios sino la estrategia de cómo deben ser implementados a nivel de
empresa.
Considero que el proyecto
de reglamento ha decidido incluir esta figura y apostar a una nueva forma de
regulación, de carácter preventiva de la defensa del derecho fundamental de
protección de datos. Es una pena que no se hubiesen incluido más
características de esta figura en el contenido de la propuesta del reglamento
de protección de datos, pero ello va a impulsar a que los países europeos
reglamenten dichos elementos en los ordenamientos jurídicos internos, el
regulador europeo ha dejado las puertas abiertas para la implementación de
escenarios netamente “proactivos y no reactivos”.
5. BIBLIOGRAFÍA CONSULTADA
[1] Dra. Ann Cavoukian. Information & Privacy Commissioner Ontario,
Canada. Página web.
www.privacybydesign.ca
[2] ARTICLE 29 Data
Protection Working Party. 1 December 2009. “THE FUTURE OF PRIVACY” Joint
contribution to the Consultation of the European Commission on the legal
framework for the fundamental right to protection of personal data. (Apartados 44 a 53). 02356/09/EN. WP 168.
Privacy
by design
[3] ILITA - Ministry of Justice. Israel, 27-29 October 2010. “32nd International
Conference of Data Protection and privacy commissioners”. PRIVACY:
GENERATIONS. Página web.
32a CIPDP
[4] AEPD. 24
de Septiembre 2012. “Memoria Anual 2011”.
Memoria AEPD 2011
[5] Ann Cavoukian Ph.D. Comisionada
de Información y Privacidad, Ontario, Canadá. “PRIVACY BY DESIGN, LOS 7 PRINCIPIOS”.
La trilogía
[6] Ann Cavoukian Ph.D. “PRIVACY BY DESIGN
CURRICULUM 2.0”. Download the full
curriculum (18.9MB). Página web.
PbD Curriculum 2.0
6. DERECHOS DE AUTOR
Imágenes bajo licencia 123RF
internacional.
La presente obra y su título
están protegidos por el derecho de autor.
Las denominadas obras derivadas, es decir, aquellas que son el resultado de la
transformación de ésta para generar otras basadas en ella, también se ven
afectadas por dicho derecho.
Sobre la autora:
Ana Maritza Vega Suárez. Abogada
dedicada a la Asesoría de Empresas con experiencia en el sector de las
Telecomunicaciones, especializada en Derecho Administrativo, Derecho de las
Telecomunicaciones.
MSc en economía y
regulación de los servicios públicos, especialidad Telecomunicaciones.
Desarrolla paralelamente
actividades académicas y de formación a emprendedores. Es representante
en Barcelona del despacho Abanlex Abogados y atiende también su consulta
por medio de la página web:
abogadoentecnologia.com