PROTECCIÓN DE DATOS PERSONALES DESDE EL DISEÑO: DESARROLLO DE SISTEMAS, APLICACIONES, PRODUCTOS O SERVICIOS EN CLAVE DE PROTECCIÓN DE DATOS PERSONALES

La privacidad como eje

Damos por descontado que no hay aspecto de las actividades empresariales o profesionales que prescinda de los datos personales como insumo estratégico.

Sin embargo, la Ley Orgánica de Protección de Datos Personales (“LOPDP”) les impone a quienes los utilizan varias obligaciones y responsabilidades que aún no se suelen tener en cuenta en el Ecuador.

Teniendo siempre como base la necesidad de proteger la privacidad de las personas, todos los que se apresten a emprender en el desarrollo de sistemas, aplicaciones, productos o servicios tecnológicos que usarán datos personales, deben considerar que, desde la concepción de los proyectos y en el decurso de su diseño, deberán:

1. Identificar cuáles son las clases de usos de datos personales que podrían entrañar riesgos para los derechos de los titulares de esos datos; y,
2. Identificar tales riesgos.

Sobre la base de lo anterior, el desarrollador deberá implementar “las medidas técnicas, organizativas y de cualquier otra índole, con miras a garantizar el cumplimiento de las obligaciones en materia de protección de datos” (39, LOPDP). En ello se resume este deber jurídico que en la LOPDP se conoce como la protección de datos personales desde el diseño.

El origen del concepto

Se le atribuye a Ann Cavoukian, excomisionada de Protección de Datos de Ontario, la idea de que la protección de los datos personales debe empezar desde las primeras etapas del desarrollo de los sistemas y productos, ello orientado bajo un doble enfoque de gestión del riesgo y, también, de responsabilidad proactiva, acerca de la cual nos referiremos al final de este documento informativo.

La privacidad desde el diseño o privacy by design (“PbD”) —por utilizar un término perfectamente equivalente al de protección de datos desde el diseño— toma en cuenta todo el ciclo vital del objeto, esto es, “todas las etapas por las que atraviesa este, desde su concepción hasta su retirada, pasando por las fases de desarrollo, puesta en producción, operación, mantenimiento y retirada”.

Los siete principios del PbD de Cavoukian

En su ponencia titulada Privacy by Design: The Definitive Workshop, Cavoukian definió los siete principios sobre los cuales debe fundarse la protección de datos desde el diseño, que seguidamente revisaremos con brevedad:

1. Proactivo, no reactivo; preventivo, no correctivo:

El PbD implica llevar la delantera, esto es, prever qué tipo de eventos podrían afectar a la privacidad de las personas como titulares de datos personales. Para ello, deben identificarse los riesgos, precaver las amenazas y considerar las debilidades de los sistemas, aplicaciones, productos o servicios.

2. La privacidad como configuración predeterminada:

          Los datos personales deben quedar protegidos de antemano y de manera automática en los sistemas y productos que los tratan o gestionan, para lo cual debe aplicarse el principio de minimización que, de la mano con el de pertinencia, obliga a que los datos personales estén “limitados a lo estrictamente necesario para el cumplimiento de la finalidad del tratamiento” (letra e., 10, LOPDP).

3. Privacidad incorporada en la fase de diseño:

          La privacidad no es un elemento accesorio que se agrega al diseño de forma casi accidental como para aparentar satisfacer las exigencias de la LOPDP, sino que constituye un aspecto esencial, transversal e indisoluble que debe ser tomado en cuenta a lo largo de todo el proceso de diseño de los sistemas, aplicaciones, productos o servicios que gestionarán datos personales.

4. Funcionalidad total: pensamiento “todos ganan”:

          La obligación de asegurar la prevalencia de la privacidad como derecho ha conducido a supuestas colisiones entre dicha obligación y la posibilidad de que los sistemas y productos puedan cumplir eficientemente los objetivos para los que van a ser diseñados y desarrollados. No obstante, a través de metodologías apropiadas, es posible conciliar ambos intereses y lograr balancearlos.

5. Aseguramiento de la privacidad en todo el ciclo de vida:

          Todo el ciclo de vida de los datos debe garantizar la privacidad, para lo cual debe ejecutarse un análisis cabal de las formas de tratamiento que habrán de realizarse mediante los sistemas, aplicaciones, productos o servicios, tales como la recogida, el registro, la clasificación, la transmisión, entre otras, de tal manera que en todas ellas se adopten las medidas aconsejables para lograr protegerlos.

6. Visibilidad y transparencia:

          Una medida de transparencia para podría ser, por ejemplo, la publicación de las políticas de privacidad y protección de datos adoptadas por las organizaciones, además de hacer públicos los datos de contacto de la persona o funcionario que tiene a su cargo los temas de privacidad de datos y a quien los titulares deben dirigir sus peticiones.

7. Mantener un enfoque centrado en el usuario:

          El usuario debe ser el centro del diseño de los sistemas y productos que utilizarán sus datos personales. El usuario “debe tener un papel activo en la gestión de sus propios datos y en el control de la gestión que otros hagan de ellos”.

Las consecuencias por no implementar el PbD

La obligación de implementar el PbD es parte de la responsabilidad proactiva que, como principio, les impone a los responsables del tratamiento de datos la carga de probar que han implementado mecanismos para la protección de datos personales (letra k., 10, LOPDP).

La falta de implementación de la protección de datos personales desde el diseño es considerada como una infracción leve  (#2, 67, LOPDP) y, como tal, se sanciona con una multa que oscila entre el 0,1% y el 0,7% del volumen de negocio de la persona jurídica privada o de la empresa pública que la hubiese cometido.

Ciertamente, muchos responsables del tratamiento de datos no diseñan ni desarrollan, directamente, sistemas, aplicaciones, productos o servicios tecnológicos, pues son ajenos a su core business. Por ello, suelen encargarlos mediante diversas figuras contractuales, pero ello no les libra de la obligación de seleccionar proveedores que garanticen y sean capaces de demostrar que sus sistemas y productos, desde su diseño, han considerado a la privacidad como eje.