Las entidades tienen que ser capaces de demostrar el cumplimiento del RGPD, es decir, deben aplicar medidas organizativas y técnicas que garanticen la protección de los datos “desde el diseño” y “por defecto”. Con motivo del Día Internacional de Internet Segura ponemos el foco en este concepto.
Con motivo de la celebración del Día Internacional de Internet Segura, el pasado día 6, ponemos el foco en la denominada privacidad desde el diseño y por defecto. Un concepto establecido en el Reglamento General de Protección de Datos (RGPD), que afecta especialmente a nuestro ámbito de negocio, el tecnológico.
¿En qué consiste? El RGPD establece una serie de principios de obligado cumplimiento, entre ellos, el principio de “responsabilidad proactiva”, que implica que las entidades tienen que ser capaces de demostrar el cumplimiento del RGPD. Es decir, que deben aplicar medidas organizativas y técnicas que garanticen la protección de los datos “desde el diseño” y “por defecto”.
Así, en los proyectos de IT que se desarrollan internamente y para terceros, la protección de datos ha de ser un punto más del proyecto. Si se trabaja, por ejemplo, en un desarrollo para un hospital donde se gestionan datos de pacientes, desde el primer instante deberán adoptarse todas las medidas de seguridad que minimicen cualquier riesgo sobre los derechos y libertades de las personas. A menudo, es obligatorio realizar lo que se denomina “Evaluación de Impacto en Protección de Datos” y a la hora de configurar el propio desarrollo, tener presente estos principios, ayudará a garantizar un pleno cumplimiento del RGPD. Pensar en privacidad desde la misma concepción de cualquier proyecto ayudará a aplicar medidas de anonimización, cifrado o mínimos privilegios que garanticen la máxima confidencialidad.
Un ejemplo práctico de la aplicación de estas medidas en la configuración de un área de cliente online de una empresa implicará que el desarrollador debería de pensar, desde el principio, en la seguridad de los datos. ¿Cómo? Estableciendo dobles factores de autenticación y confirmación siempre que se modificasen los datos del área de cliente o minimizando la información no necesaria o visible (datos de cuenta bancaria, datos personales…), así como cualquier otra medida tendente a reducir posibles consecuencias frente a suplantaciones o fraudes.
En esta fase de diseño serán relevantes otros principios como el de minimización -sólo deberán solicitarse los mínimos datos necesarios para cumplir con la finalidad- o el de exactitud, licitud y transparencia, que conlleva que los datos deben de ser tratados de manera lícita, leal y transparente.
La Agencia Española de Protección de Datos publicó en su momento sendas guías que pueden resultar de gran utilidad a profesionales, desarrolladores, técnicos y responsables de proyectos, y que tendrán que tener presentes para cumplir con el RGPD: Guía de Privacidad desde el Diseño (aepd.es) y Guía de Protección de Datos por Defecto (aepd.es).
Pensar en privacidad desde la concepción de cualquier proyecto es esencial, sobre todo, teniendo en cuenta que los servicios que ofrecemos como empresa impactan directamente en los datos personales que gestionan nuestros clientes.
