Aprovechando que hoy es el día de Internet y que además coincide con que este mes será de aplicación obligatoria el nuevo Reglamento General de Protección de Datos (RGPD), encuentro oportuno – oportunísimo – mejor dicho, hablar de un tema del que nadie está hablando. Nótese la ironía, pues no hay día en el que no nos encontremos con noticias bomba que nos recuerden la cuenta atrás para la inminente aplicación del ya tan esperado Reglamento General de Protección de Datos (RGPD) con fecha fijada en el próximo 25 de mayo del 2018.
Titulares como “¿ESTÁS PREPARADO (TÚ O TU EMPRESA) PARA EL NUEVO RGPD?” “¡PUEDES ESTAR JUGÁNDOTE HASTA 20.000.000 DE EUROS!” No cabe duda, se avecinan importantes cambios para todos. Entre ellos, nuevas obligaciones para los responsables de los datos de carácter personal, para los encargados, para las empresas, para las instituciones, nuevos derechos para los titulares de esos datos, un nuevo Comité Europeo e incluso una nueva figura como es el DPO, además parece que también un sinfín de nuevos términos, para los que necesitaríamos un diccionario para entender.
Resumiendo, el RGPD está de moda, y nadie lo puede negar.
¿Pero cómo y cuándo surgen estas ideas tan innovadoras? ¿Cuál es el origen del RGPD?
Sin obviar el gran desarrollo en el ámbito de la privacidad y la protección de datos que ha supuesto la labor de las instituciones europeas – incluida la del GT29 para llegar a este punto, parece que hay una mente humana que ha inspirado en gran parte algunos de los principios del nuevo RGPD, me refiero a Ann Cavoukian, la creadora del concepto del denominado por ella, “Privacy by design”. Este mismo término, traducido como – Privacidad por diseño – se emplea a lo largo del articulado del nuevo RGPD, a lo que me referiré más adelante.
¿Quién es Ann Cavoukian?
Nacida en el Cairo y licenciada en derecho y criminología en la Universidad de York (Toronto), Ann Cavoukian tiene el reconocimiento de ser uno de los expertos a nivel mundial en protección de la privacidad y los datos de carácter personal. Fue la tercera Comisario de Información y Privacidad de Ontario (Canadá), finalizando su cargo en 2014 tras haber sido reelegida como tal por tercera vez, algo que nunca antes había ocurrido. Innovadora y visionaria, fue la creadora del concepto PbD o Privacy by design en los años 90. Y en la actualidad es la Directora ejecutiva del Privacy and Big Data Institute de la Universidad de Ryerson de Toronto.
¿Privacy by design?
Tras las notas biográficas de su creadora, es momento de hablar propiamente de su Privacy by design o privacidad por diseño. Se trata de un concepto que creó Ann Cavoukian hace más de 20 años, lo cual quiero subrayar. Pues ya en la década de los 90, cuando eran pocos los que tenían acceso a Internet, como el que conocemos hoy en día, ella ya había pensado en cómo paliar los efectos que las nuevas las Nuevas Tecnologías de la Información y las Comunicaciones y de los sistemas de datos en red a gran escala sobre la privacidad de las personas. Fue en el 2010 cuando la Asamblea Anual de Comisionarios de la Protección de Datos cuando se reconoció – por unanimidad – como un componente esencial de la regulación de la protección de la privacidad, y que además ahora forma parte del RGPD. Promovió la idea de que la privacidad no puede garantizarse simplemente con el cumplimiento de las normas de seguridad, sino que la protección de los datos personales debía venir pre-establecida, debía anticiparse al tratamiento como un modo de operación predeterminado.
Cavoukian, quiso simplificar al máximo este concepto, estableciendo 7 principios fundamentales, para lograr los objetivos que había que fijarse al respecto.
Los 7 principios fundamentales del PbD:
- Proactivo, no Reactivo; Preventivo no Correctivo: con este principio se persigue la inclusión de medidas proactivas, esto es, hay que anticiparse y prevenir los eventos invasivos de la privacidad antes de que éstos ocurran.
- Privacidad como la Configuración Predeterminada: quiere decir que no será necesario que el titular de los datos ejercite ninguna acción para proteger su privacidad. Esto es, la privacidad y su aseguramiento deben de formar parte indistinta del propio sistema, sin obstaculizarlo, ser parte predeterminada de él.
- Privacidad Incrustada en el Diseño: la privacidad debe ser parte del diseño de la protección sin obstaculizarlo.
- Funcionalidad Total de “Todos ganan”, no “Si alguien gana, otro pierde”: se pretende acomodar que los intereses y objetivos sean beneficiosos para todos.
- Seguridad Extremo-a-Extremo – Protección de Ciclo de Vida Completo, es decir, que las medidas de seguridad deben de existir antes de cualquier recopilación la información y durante el mantenimiento de los datos hasta su supresión. Esto es, las medidas de seguridad son esenciales para la privacidad desde el inicio y hasta el final.
- Visibilidad y Transparencia – Mantenerlo Abierto, que el tratamiento se lleve a cabo según las promesas y finalidades u objetivos declarados, sujeto además a una verificación independiente. Cavoukian advierte ¡Recuerde, confíe pero verifique!
- Respeto por la Privacidad de los Usuarios – Mantener un Enfoque Centrado en el Usuario, este principio requiere que los intereses del usuario o titular de los datos, debe de estar en el centro de las prioridades.
Su impacto en el RGPD
El nuevo Reglamento se obliga al cumplimiento de los principios generales relativos al tratamiento de datos personales y a los principios de protección de datos desde el diseño y por defecto, que no son otros que los anteriormente citados.
Así, en su numerando 78, obliga al responsable del tratamiento de datos a adoptar políticas internas y a aplicar medidas que cumplan en particular los principios de protección de datos desde el diseño y por defecto, tales como el tratamiento mínimo de datos personales, seudonimización de datos, dar transparencia a las funciones y al tratamiento de datos permitiendo a los interesados supervisar el tratamiento de sus datos y al responsable crear y mejorar los elementos de seguridad. Asimismo, en su numerando 108 alude a las garantías que debe ofrecer el responsable cuando se traten los datos personales en terceros países que no ofrezcan una adecuada protección de los mismos, y nuevamente exige el cumplimiento de los principios generales relativos al tratamiento de los datos personales y los principios de la protección de datos desde el diseño y por defecto.
Pero es más, dedica expresamente su artículo 25 sobre la “Protección de datos desde el diseño y por defecto”, en el cual se exige que el responsable del tratamiento aplique, desde el inicio y hasta el final medidas técnicas y organizativas apropiadas, así como la seudonimización, para aplicar de forma efectiva los principios de protección de datos, minimización de datos e integrar las garantías necesarias para el tratamiento. Además, exige que el responsable aplique las medidas apropiadas para garantizar que, por defecto, que solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento y ello aplicado al total de datos recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Se deberá garantizar que, por defecto los datos personales no sean accesibles (sin la intervención de la persona) a un número indeterminado de personas físicas.
En definitiva, de lo que no cabe duda es que el Pb.D ha influido en el que en cuestión de días va a ser la norma aplicable al tratamiento de datos personales en toda la Unión Europea. Y es que, no puede obviarse que sus 7 principios sobre la protección desde el diseño y por defecto sirven de base para informar acerca de todo el contenido y exigencias que el nuevo RGPD impone a todos los sujetos incluidos en su ámbito de aplicación.
Diana Georgieva
Área Legal