Protección de Datos desde el Diseño y Por Defecto
La Protección de Datos desde el Diseño y por Defecto, se refiere a la integración de medidas de privacidad y seguridad en todas las etapas del ciclo de vida de los datos, desde el diseño inicial de un producto, servicio o sistema, hasta su implementación y uso continuo.
¿Qué es la Protección de Datos desde el Diseño y por Defecto?
Las organizaciones deben considerar la privacidad y la protección de datos desde el principio, incorporando medidas adecuadas en todas las etapas del proceso de desarrollo y operación. Esto significa que la privacidad y la seguridad no se consideran como una ocurrencia tardía o una característica adicional, sino que se integran de manera intrínseca en el diseño y la funcionalidad del producto o servicio.
En otras palabras, quiere decir que la organización debe integrar o “meter en su cocina” la protección de datos en las actividades de tratamiento y procesos comerciales, desde la etapa de diseño, hasta completar el ciclo de vida.
Este concepto no es nuevo. Anteriormente conocido como “privacidad por diseño” (privacy by design ó PbD), siempre ha sido parte de la base normativa de protección de datos, como por ejemplo desde 2005 en el estándar ampliamente extendido UNE-EN ISO/IEC 27001:2017 Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información.
Con la evolución del RGPD, éste ahora, es un requisito legal.
la Protección de Datos desde el diseño y por Defecto promueve una cultura de privacidad centrada en el usuario, donde la protección de datos se considera una prioridad desde el inicio del desarrollo y se mantiene a lo largo del tiempo de actividad de la organización. Esto ayuda a garantizar el respeto a la privacidad y la seguridad de los datos personales en un entorno cada vez más digitalizado y conectado.
¿Cómo adaptarse a la “Privacidad por Diseño”?
Para ello, la organización sólo ha de tratar los datos personales que necesita para los fines legitimados y usar los datos solamente para esos fines.
Asimismo, ha de asegurarse que los datos personales se protejan automáticamente en cualquier sistema, servicio, producto y/o práctica comercial de TI, de modo que las personas no tengan que tomar ninguna medida específica para proteger su privacidad.
Solo deben utilizarse sistemas propios que brinden garantías suficientes en cuanto a medidas técnicas y organizativas para la protección de datos por diseño y si se usan otros sistemas, servicios o productos en las actividades de tratamiento, sus diseñadores y fabricantes han de asegurar las exigencias en protección de datos.
El uso de las tecnologías de privacidad mejorada o PETS (Privacy Enhancing Technologies), así como contar con un DPD (Delegado de Protección de Datos), realizar un Análisis de Riesgos y una EIPD, junto con las Auditorías de Protección de Datos, ayudarán periódicamente a la organización a cumplir con las obligaciones legales desde el diseño y por defecto.
¿Qué aspectos se deben tener en cuenta para una correcta implementación de la Protección de Datos desde el Diseño y por Defecto?
A continuación facilitamos una guía sobre la Protección de Datos desde el diseño, publicada por la Agencia Española de Protección de Datos (AEDP) donde se tratan todos los hitos a tener en cuenta para una correcta implementación en la empresa. Además, desde Garante Privacy estamos dispuestos a ayudarte durante todo el proceso. ¡Pregúntanos!.