La gestión de la privacidad por defecto.

Cada vez es más habitual encontrar servicios o productos que hacen de la privacidad su factor diferenciador.

Y es que además de una obligación, la privacidad empieza a ser una ventaja competitiva para las empresas y profesionales.

Por tanto, la privacidad no debería ser un añadido a posteriori por las empresas sino que debería formar parte del proceso producto o de diseño de sus productos o servicios.

El artículo 25 del RGPD, hace especial mención a este hecho, indicando que:

1. Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.

2. El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas física”

Es decir, que desde el proceso de diseño o planificación de un nuevo servicio o producto, se debería tener en cuenta que tipo de datos personales se van a tratar y cual puede ser el impacto y los riesgos que se van a correr con ese tratamiento.

Por tanto, en el código interno de toda actividad, debería figurar la gestión de la privacidad como elemento distintivo.

Diseñando desde la privacidad.

Como indica el mencionado artículo 25.1 del RGPD, “el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos…”.

Esto implica que en el momento en que se de defina un nuevo producto o servicio se deberían tener en cuenta aspectos como los siguientes:

  1. ¿Hay necesidad de tratar datos personales? ¿Qué datos voy a necesitar? Antes del desarrollo, es necesario identificar que información voy a tratar y si es absolutamente imprescindible que se traten datos personales. Si no es así, hay que limitar su uso. Además, tengo que identificar claramente que datos voy a necesitar antes de cualquier tiempo de desarrollo o planificación posterior. No se pueden identificar a posteriori datos que no estaban previsto usar.
  2. ¿Para que los necesito? Es necesario justificar la necesidad de uso de esos datos personales. No se pueden recopilar “por si acaso”, sino que tienen que estar plenamente identificados e integrados en la política de seguridad.
  3. ¿Esto recopilando más datos de los necesarios? Si vamos diseñar un formulario de contacto web, por ejemplo, con el nombre, correo para la respuesta y un espacio para dejar la consulta, será más que suficiente. En ningún caso estaría justificado el recopilar el DNI o la dirección del usuario. En cada parte del desarrollo hay que no solo identificar que datos hay que recopilar, sino identificar si se cumple el principio de minimización de los datos.
  4. ¿Quienes son los afectados? Tenemos que tener en cuenta a las personas que vamos a requerirles esos datos. Hemos de saber si son clientes a los que les pedimos nuevos datos, si son contactos nuevos, si son trabajadores de la empresa. Este análisis es fundamental para saber si disponemos ya previamente de esa información, si esta información se recopiló con todas las garantías y si las finalidades estaban bien definidas.
  5. ¿Está claro el flujo de la información? La trazabilidad de la información es un aspecto fundamental en cualquier política de privacidad. Identificar como se recoge la información, que canales sigue, quien tiene acceso a esa información, para que fines y como se destruyen esos datos cuando no son necesarios, es vital para diseñar un buen producto o servicio con la privacidad por bandera.

Como decía al principio, la privacidad es un bien muy preciado por los usuarios hoy día y puede ser una ventaja competitiva muy interesante para las empresas.

Y sino que se lo digan a Whatsapp y el susto que se ha llevado estas semanas cuando millones de usuarios han engrosado las filas de otras aplicaciones de mensajería al entender que las condiciones de uso, no garantizaban el bien más preciado del usuario: su privacidad.

Créditos de la imagen: Photo by Ravages on Foter.com / CC BY-NC-SA

guest
0 Comentarios
Inline Feedbacks
View all comments