Privacidad por diseño

Seguridad

La privacidad por diseño ante la llegada del GDPR

14 enero, 2018

Por Alberto Iglesias Fraga

El artículo 25 del GDPR hace obligatoria la privacidad por diseño a la hora de crear o utilizar aplicaciones de software en nuestra empresa. Así es como afecta esta normativa en este terreno.

El próximo mes de mayo entra en vigor el ambicioso Reglamento General de Protección de Datos (GDPR), una medida que está trayendo por la calle de la amargura a un sinfín de empresas que no están (y seguramente no lo estarán) preparadas para cumplir con los nuevos requisitos de privacidad que esta normativa exige. No en vano, se estima que siete de cada diez compañías europeas no llegará a tiempo a este cambio regulatorio.

Más allá de las multas que se imponen en caso de incumplimiento o de los aspectos más llamativos del GDPR (como la necesidad de informar de cualquier vulneración de los datos personales o de obtener consentimientos más claros de los usuarios respecto al uso de su información), hemos de tener en cuenta que este reglamento esconde otros aspectos que, aunque igualmente exigentes, suponen una oportunidad de generar valor añadido para las organizaciones.

Uno de ellos es la privacidad por diseño, esa noción obligada por la Unión Europea que nos llevará a incorporar las disposiciones oportunas para la protección de los datos personales directamente en el diseño del software. Hasta ahora, era un aspecto muy comentado, cacareado en el sector tecnológico, pero apenas extendido debido a su complejidad técnica y su coste económico. Ahora ya no será una opción, sino un imperativo.

9 claves para entender el Reglamento General de Protección de Datos (GDPR)

La privacidad por diseño es la principal novedad del GDPR en materia de prevención a la hora de proteger a los consumidores europeos, junto a las evaluaciones de impacto o la figura del DPO (Data Protection Officer).  Para ser más exactos, este precepto está recogido en el artículo 25 del Reglamento General de Protección de Datos, que reza lo que sigue:

Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.

El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.

Y todo eso, ¿qué significa? Pues como sucede con toda nueva regulación, ésta está sujeta a múltiples interpretaciones por parte de los expertos. Pero, en todas ellas, se incluye que las empresas deben incorporar medidas técnicas que protejan la privacidad en el propio diseño de los sistemas TIC y de las aplicaciones, así como a que solo se almacene o procese la cantidad mínima de datos personales que sean estrictamente necesarios.

Quizás eso no suponga tener que reinventar toda la política de privacidad de los sistemas actuales, pero sí cuanto menos una buena revisión para asegurarnos de que seguimos el precepto que mana del GDPR. Un examen en profundidad de la gestión de los datos personales de la organización que pasa por varios factores:

• Revisar los acuerdos con proveedores: A la hora de manejar datos de los clientes, las empresas suelen contar con ayuda de proveedores técnicos y administradores externos. A la hora de asegurar el cumplimiento del GDPR deberemos asegurarnos de que todos ellos cumplan en el diseño de sus sistemas con las normas del nuevo Reglamento, a fin de que ningún extremo de nuestro despliegue sea susceptible de una sanción.
• Aunar seguridad e ingeniería: Es la medida más lógica cuando se habla de privacidad por diseño, la creación de equipos multidisciplinares donde los expertos en seguridad trabajen codo con codo con los ingenieros de software a la hora de crear nuevos aplicativos. De esta forma nos aseguraremos de que el personal de seguridad tiene una visión completa de los flujos de trabajo, procesos de negocio y políticas existentes de recopilación, control, gestión y almacenamiento de datos susceptibles de caer en las garras del GDPR.
• Demostrar el cumplimiento es casi tan importante como el cumplimiento mismo del nuevo Reglamento. Una evaluación de impacto de la privacidad (PIA) de los sistemas contribuirá en gran medida a hacer ambas cosas. También se puede usar para guiar futuras decisiones de diseño de nuestros aplicativos de software.