A Axencia Española de Protección de Datos
(AEPD) publicou a " Guía de Privacidade desde o deseño " con el objetivo de proporcionar pautas que faciliten la incorporación de los principios de protección de datos y los requisitos de privacidad a nuevos productos o servicios desde el momento en el que comienzan a diseñarse.
O concepto de ‘privacidade desde o deseño’ foi aceptado internacionalmente en unha resolución adoptada en 2010 en el marco de la 32ª Conferencia Internacional de Comisionados de Protección de Datos y Privacidad. No obstante, es el Reglamento General de Protección de Datos (RGPD) el que le ha conferido la categoría de requisito legal, al incorporar en su artículo 25 la práctica de considerar los requisitos de privacidad desde las primeras etapas del diseño de productos y servicios.
El objetivo de la privacidad desde el diseño, orientado a la gestión del riesgo y la responsabilidad proactiva, es que la protección de datos esté presente desde las primeras fases de desarrollo y no sea una capa añadida, formando parte integral del producto (hardware o software), sistema, servicio o proceso. La Guía está dirigida a responsables y otros actores que intervienen en el tratamiento de datos personales, tales como proveedores y prestadores de servicios, desarrolladores de productos y aplicaciones o fabricantes de dispositivos.
O documento divídese en nove apartados. Os dous primeiros están dedicados a definir o concepto e os principios fundacionais da privacidade desde o deseño, así como os requisitos que debe reunir o produto ou servizo para garantir a dita privacidade. O terceiro apartado analiza o concepto de enxeñaría de privacidade , un proceso que ten por obxecto traducir os principios de privacidade desde o deseño en medidas concretas, tanto na fase de concepción do produto ou servizo como na de desenvolvemento. Por exemplo, a través da identificación de estratexias seguir para garantir a privacidade; o establecemento de patróns de deseño de privacidade para resolver problemas que se presenten de forma reiterada ao desenvolver produtos e servizos, ou o emprego de tecnoloxías de privacidade mellorada (PETS, polas súas siglas en inglés) para adecuar eses patróns a unha tecnoloxía concreta.
Por outra banda, a Guía aborda as distintas estratexias de deseño da privacidade, algunhas das cales están orientadas ao tratamento de datos (minimizar, ocultar, separar e abstraer) mentres que outras están dirixidas a definir procesos para unha xestión responsable dos datos persoais (informar, controlar, cumprir e demostrar). Así mesmo, dedica un apartado a clasificar as tecnoloxías de privacidade mellorada ou PETS, entre outros aspectos.
La Guía incluye un apartado de conclusiones en el que la Agencia pone de manifiesto que asegurar la privacidad y establecer un marco que garantice la protección de datos no representa un obstáculo para la innovación, sino que ofrece ventajas y oportunidades tanto para las organizaciones como para el mercado y la sociedad en su conjunto. Asimismo, recuerda que la privacidad desde el diseño es una obligación del responsable sea cual sea la forma de desarrollo, adquisición o subcontratación del sistema, producto o servicio, no pudiendo delegar completamente la responsabilidad en fabricantes y encargados.
