A Axencia Española de Protección de Datos (AEPD) publicou a " Guía de Privacidade desde o deseño " co obxectivo de proporcionar pautas que faciliten a incorporación dos principios de protección de datos e os requisitos de privacidade a novos produtos ou servizos desde o momento no que comezan a deseñarse.
O concepto de ‘privacidade desde o deseño’ foi aceptado internacionalmente en unha resolución adoptada en 2010 no marco da 32ª Conferencia Internacional de Comisionados de Protección de Datos e Privacidade. No entanto, é o Regulamento Xeral de Protección de Datos (RGPD) o que lle conferiu a categoría de requisito legal, ao incorporar no seu artigo 25 a práctica de considerar os requisitos de privacidade desde as primeiras etapas do deseño de produtos e servizos.
O obxectivo da privacidade desde o deseño, orientado á xestión do risco e a responsabilidade proactiva, é que a protección de datos estea presente desde as primeiras fases de desenvolvemento e non sexa unha capa engadida, formando parte integral do produto (hardware ou software), sistema, servizo ou proceso. A Guía está dirixida a responsables e outros actores que interveñen no tratamento de datos persoais, tales como provedores e prestadores de servizos, desenvolvedores de produtos e aplicacións ou fabricantes de dispositivos.
O documento divídese en nove apartados. Os dous primeiros están dedicados a definir o concepto e os principios fundacionais da privacidade desde o deseño, así como os requisitos que debe reunir o produto ou servizo para garantir a dita privacidade. O terceiro apartado analiza o concepto de enxeñaría de privacidade , un proceso que ten por obxecto traducir os principios de privacidade desde o deseño en medidas concretas, tanto na fase de concepción do produto ou servizo como na de desenvolvemento. Por exemplo, a través da identificación de estratexias seguir para garantir a privacidade; o establecemento de patróns de deseño de privacidade para resolver problemas que se presenten de forma reiterada ao desenvolver produtos e servizos, ou o emprego de tecnoloxías de privacidade mellorada (PETS, polas súas siglas en inglés) para adecuar eses patróns a unha tecnoloxía concreta.
Por outra banda, a Guía aborda as distintas estratexias de deseño da privacidade, algunhas das cales están orientadas ao tratamento de datos (minimizar, ocultar, separar e abstraer) mentres que outras están dirixidas a definir procesos para unha xestión responsable dos datos persoais (informar, controlar, cumprir e demostrar). Así mesmo, dedica un apartado a clasificar as tecnoloxías de privacidade mellorada ou PETS, entre outros aspectos.
A Guía inclúe un apartado de conclusións no que a Axencia pon de manifesto que asegurar a privacidade e establecer un marco que garanta a protección de datos non representa un obstáculo para a innovación, senón que ofrece vantaxes e oportunidades tanto para as organizacións como para o mercado e a sociedade no seu conxunto. Así mesmo, lembra que a privacidade desde o deseño é unha obriga do responsable sexa cal for a forma de desenvolvemento, adquisición ou subcontratación do sistema, produto ou servizo, non podendo delegar completamente a responsabilidade en fabricantes e encargados.