El Reglamento General de Protección de Datos de la Unión Europea tiene como objetivo establecer unas nuevas reglas del juego en el desarrollo de productos y servicios del siglo XXI en donde la privacidad cobra una importancia trascendental desde el inicio. Por este motivo, se ha contemplado tanto la adecuación de los sistemas y productos existentes como la protección de los entornos futuros. Para ello, la regulación ha introducido la necesidad de incorporar en las primeras fases de la construcción de un nuevo servicio o producto, una fase en donde se contemple el análisis de qué garantías se suministrará desde la perspectiva de la privacidad. Este enfoque obliga con carácter previo, a realizar un estudio de impacto en la privacidad, EIDP, (Privacy Impact Assessment o PIA en inglés) que es un ejercicio de análisis de riesgos sobre un sistema en proyecto con el que se intenta identificar todos los posibles riesgos para la privacidad que puede implicar el nuevo proceso y que deben ser gestionados de forma adecuada. Como consecuencia, desde el diseño se incorporan controles para mitigar las posibles vulnerabilidades de protección de datos y privacidad.

Este concepto fue formalizado por Ann Cavoukian en su documento “Privacy by Design: The 7 Foundational Principles” y se construye en base a 7 principios básicos que deben orientar el diseño y desarrollo de sistemas y tecnologías que traten datos de carácter personal. Son los siguientes:

1. Proactivo, no Reactivo; Preventivo no Correctivo.
2. Privacidad como la configuración Predeterminada.
3. Privacidad incrustada en el Diseño.
4. Funcionalidad Total – “Todos ganan”, no “Si alguien gana, otro pierde”.
5. Seguridad Extremo-a-Extremo – Protección de Ciclo de Vida Completo.
6. Visibilidad y Transparencia – Mantenerlo Abierto.
7. Respeto por la Privacidad de los Usuarios – Mantener un Enfoque Centrado en el Usuario.

En el «Privacy by design» se pone fin al «todo vale». Se determina que es necesario antes de la construcción de un nuevo aparato o servicio pensar en qué impacto potencial tiene para la privacidad. Esto supone una reflexión con carácter preventivo respecto a la finalidad de lo que se va a construir y las consecuencias posibles que pudiera tener para la privacidad del usuario. Obviamente esto no va a gustar a muchos modelos de negocio, actuales o futuros y la presión por evitar o minimizar la aplicación de este criterio de diseño será importante. Ante una filosofía basada en la explotación voraz de información en beneficio de las grandes empresas orientadas a maximizar sus beneficios y una filosofía basada en el interés del afectado y devolver el control de su privacidad atendiendo a sus criterios o intereses, se crearán tensiones importantes que las empresas deberán saber encajar. Es importante entender también que, para muchas de ellas, se empieza a ver la privacidad como un elemento diferenciador y su protección como un beneficio que puede atraer a más clientes. Si esto se produce, el RGPD habrá logrado uno de sus grandes objetivos que es incorporar su protección como uno de los elementos fundamentales que debe ser considerado en la fase de diseño.

Equipo de profesionales de Govertis