L'Agència Agència Espanyola de Protecció de Dades
(AEPD) ha publicat la Guia de Privacitat des del disseny " amb l'objectiu de proporcionar pautes que faciliten la incorporació dels principis de protecció de dades i els requisits de privacitat a nous productes o servicis des del moment en el qual comencen a dissenyar-se.
El concepte de ‘privacitat des del disseny’ va ser acceptat internacionalment en una resolució adoptada en 2010 en el marc de la 32ª Conferència Internacional de Comissionats de Protecció de Dades i Privacitat. No obstant açò, és el Reglament General de Protecció de Dades (RGPD) el que li ha conferit la categoria de requisit legal, en incorporar en el seu article 25 la pràctica de considerar els requisits de privacitat des de les primeres etapes del disseny de productes i servicis.
L'objectiu de la privacitat des del disseny, orientat a la gestió del risc i la responsabilitat proactiva, és que la protecció de dades estiga present des de les primeres fases de desenvolupament i no siga una capa afegida, formant part integral del producte (maquinari o programari), sistema, servici o procés. La Guia està dirigida a responsables i altres actors que intervenen en el tractament de dades personals, tals com a proveïdors i prestadors de servicis, desenvolupadors de productes i aplicacions o fabricadores de dispositius.
El document es dividix en nou apartats. Els dos primers estan dedicats a definir el concepte i els principis fundacionals de la privacitat des del disseny, així com els requisits que ha de reunir el producte o servici per a garantir aquesta privacitat. El tercer apartat analitza el concepte de enginyeria de privacitat , un procés que té per objecte traduir els principis de privacitat des del disseny en mesures concretes, tant en la fase de concepció del producte o servici com en la de desenvolupament. Per exemple, a través de la identificació d'estratègies seguir per a garantir la privacitat; l'establiment de patrons de disseny de privacitat per a resoldre problemes que es presenten de forma reiterada en desenvolupar productes i servicis, o l'ocupació de tecnologies de privacitat millorada (PETS, per les seues sigles en anglés) per a adequar eixos patrons a una tecnologia concreta.
D'altra banda, la Guia aborda les diferents estratègies de disseny de la privacitat, algunes de les quals estan orientades al tractament de dades (minimitzar, ocultar, separar i abstraure) mentre que unes altres estan dirigides a definir processos per a una gestió responsable de les dades personals (informar, controlar, complir i demostrar). Així mateix, dedica un apartat a classificar les tecnologies de privacitat millorada o PETS, entre altres aspectes.
La Guia inclou un apartat de conclusions en el qual l'Agència posa de manifest que assegurar la privacitat i establir un marc que garantisca la protecció de dades no representa un obstacle per a la innovació, sinó que oferix avantatges i oportunitats tant per a les organitzacions com per al mercat i la societat en el seu conjunt. Així mateix, recorda que la privacitat des del disseny és una obligació del responsable siga el que siga la forma de desenvolupament, adquisició o subcontractació del sistema, producte o servici, no podent delegar completament la responsabilitat en fabricants i encarregats.
