Aspectos profesionales: Protección de Datos, Cloud Computing y Sistemas de Gestión.

Blog dedicado a compatibilizar INNOVACIÓN con GRC (Gobierno, Riesgo y Cumplimiento normativo) en las organizaciones. Trata COMPLIANCE penal de la PJ y PBC/FT para Sujetos Obligados. Se alinea con Derecho Digital (TIC) focalizando en Privacidad con visión jurídica y organizativa. Incluye Sistemas de Gestión de la Seguridad de la Información (SGSI) bajo ISO27001 y ENS. Analiza tendencias tecnológicas innovadoras junto a sus cláusulas contractuales.

lunes, 3 de junio de 2013

ANÁLISIS DEL PRIVACY BY DESIGN Y SU MENCIÓN EN EL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS DE LA UE

Resumen: La PbD (Privacy by Design) o “privacidad desde el diseño” es una estructura de cumplimiento normativo aplicada desde la concepción de cualquier proceso de negocio. Debe ser entendida por las empresas como una herramienta con producción positiva de resultados, ya que la inversión en cumplimiento normativo posterior será mínima o tal vez innecesaria, porque tendrán en el mercado un producto/servicio, que se adecue a un estándar legal, con calidad y un excelente cumplimiento normativo.

Autor del artículo

Colaboración

ANA MARITZA VEGA SUÁREZ

Actualizado

3 de Junio de 2013

ÍNDICE

1. ANTECEDENTES

2. SITUACIÓN ACTUAL
3. INCLUSIÓN DEL PRIVACY BY DESIGN EN EL PRGPD DE LA UE
4. ELEMENTOS DEL PRIVACY BY DESIGN
5. BIBLIOGRAFÍA CONSULTADA
6. DERECHOS DE AUTOR

1. ANTECEDENTES

El origen de esta figura se remonta a los años 90, cuando una comisionada de información y privacidad de Canadá [1] propuso su implementación en el diseño de diferentes tecnologías.

En el año 2009 la Comisión Europea requirió una consultoría sobre el marco legal del derecho fundamental de protección de datos bajo la luz de las nuevas tecnologías y la globalización y uno de los aportes del grupo de trabajo del artículo 29 [2] fue la propuesta de innovación del marco con la inclusión de principios adicionales como el privacy by design (PbD) y el accountability. La consultoría tuvo como ejemplo un caso alemán, en donde la Corte Constitucional Alemana incluyó elementos del “PbD” en el fallo. La aplicación de este principio, implicaría el estudio profundo entre otros elementos:

Control
Transparencia
Uso amigable del sistema
Confidencialidad de datos
Calidad de datos

El Privacy by Design fue incluido como estándar internacional en el marco de la 32a Conferencia Internacional de Protección de Datos y Privacidad [3]. Este precedente fue tenido en cuenta para la inclusión de esta figura en la propuesta actual.

2. SITUACIÓN ACTUAL

La figura de protección de datos fue introducida por la directiva comunitaria 96/46/EC e implementada a nivel de España por la LOPD. En virtud de dicha normativa, las empresas y particulares que recogen datos están obligadas al cumplimiento de la LOPD, estas empresas deberán cumplir con una obligación formal del alta en la agencia española de protección de datos, reporte de ficheros sobre los que manejaran datos personales e implementación de las correspondientes medidas de seguridad, lo anterior bajo un marco de implementación ex post del inicio de la actividad.

La ley exige el cumplimiento normativo y la implementación de medidas de seguridad, pero las empresas deben cumplir mecanismos de prevención que sean usados con carácter planificado y previo a la ocurrencia de la vulneración de las medidas de seguridad, con lo que ayudan a mitigar el incumplimiento de las mismas.

El modelo actual muestra como las empresas tienen que ajustar su operación al cumplimiento normativo o en otros escenarios más extremos, reaccionar con adecuaciones normativas producto de sanciones de la Agencia de protección de datos. En el caso de España, los indicadores de la AEPD [4] muestran que se interpusieron en el 2011, unas 7.142 acciones administrativas entre denuncias y solicitudes de tutela, lo que nos hace concluir que el modelo actual se enfoca en un control posterior focalizado en el procedimiento sancionador y no en un modelo previsor de cumplimiento normativo.

3. INCLUSIÓN DEL PRIVACY BY DESIGN EN EL PRGPD DE LA UE

El proyecto de Reglamento General de Protección de Datos de la Unión Europea incluye dentro de su articulado una opción denominada el Privacy by design, traducida como “la privacidad desde el diseño”. La concepción de la idea es muy buena, pero una vez leída la propuesta de reglamento no queda muy clara su aplicación, pues no está desarrollada con la suficiente profundidad.

El objetivo ha sido el de dotar al mercado de un sistema de auto regulación y de autonomía a las empresas en donde puedan desarrollar escenarios de privacidad, contempladas desde el diseño del negocio, incluyendo, la trilogía [5] que describe su autora y que resume en:

(i)Practicas de negocio responsable
(ii) Diseño físico e infraestructura de red
(iii) Sistemas tecnológicos e infraestructura de red

Con lo que, los empresarios deberán pensar en función de la protección de datos y de su cumplimiento normativo, desde la concepción de la idea de negocio y de esta manera ajustar su actuación con un carácter preventivo, diseñando los parámetros necesarios para conseguir los objetivos del Reglamento: el respeto y cumplimiento del derecho de protección de datos.

Esta estructura de cumplimiento normativo aplicada desde el diseño “privacy by design” debe ser entendida por las empresas como una herramienta con producción positiva de resultados, ya que la inversión en cumplimiento normativo posterior será mínima o tal vez innecesaria, porque tendrán en el mercado un producto/servicio, que se adecue a un estándar legal, con calidad y un excelente cumplimiento normativo, lo que les permitirá competir en un mercado, sin pensar en inversiones de consultoría posterior relacionada con protección de datos, ofreciendo servicios adaptados a las necesidades del mercado.

4. ELEMENTOS DEL PRIVACY BY DESIGN

La creadora canadiense de esta figura “Ana Cavouikian”, estableció en Privacy by Design Curriculum 2.0 [6] 7 elementos importantes en la implementación de este principio:

Proactivo, no reactivo; preventivo no correctivo
Privacidad como la configuración determinada
Privacidad Incrustada en el Diseño
Funcionalidad de todos ganan
Protección de ciclo de vida completo
Visibilidad y Transparencia
Respeto por la privacidad de los usuarios

En las presentaciones realizadas por esta comisionada, desarrolla de manera puntual no sólo los principios sino la estrategia de cómo deben ser implementados a nivel de empresa.

Considero que el proyecto de reglamento ha decidido incluir esta figura y apostar a una nueva forma de regulación, de carácter preventiva de la defensa del derecho fundamental de protección de datos. Es una pena que no se hubiesen incluido más características de esta figura en el contenido de la propuesta del reglamento de protección de datos, pero ello va a impulsar a que los países europeos reglamenten dichos elementos en los ordenamientos jurídicos internos, el regulador europeo ha dejado las puertas abiertas para la implementación de escenarios netamente “proactivos y no reactivos”.

5. BIBLIOGRAFÍA CONSULTADA

[1] Dra. Ann Cavoukian. Information & Privacy Commissioner Ontario, Canada. Página web.

www.privacybydesign.ca

[2] ARTICLE 29 Data Protection Working Party. 1 December 2009. “THE FUTURE OF PRIVACY” Joint contribution to the Consultation of the European Commission on the legal framework for the fundamental right to protection of personal data. (Apartados 44 a 53). 02356/09/EN. WP 168.

Privacy by design

[3] ILITA - Ministry of Justice. Israel, 27-29 October 2010. “32nd International Conference of Data Protection and privacy commissioners”. PRIVACY: GENERATIONS. Página web.

32a CIPDP

[4] AEPD. 24 de Septiembre 2012. “Memoria Anual 2011”.

Memoria AEPD 2011

[5] Ann Cavoukian Ph.D. Comisionada de Información y Privacidad, Ontario, Canadá. “PRIVACY BY DESIGN, LOS 7 PRINCIPIOS”.

La trilogía

[6] Ann Cavoukian Ph.D. “PRIVACY BY DESIGN CURRICULUM 2.0”. Download the full curriculum (18.9MB). Página web.

PbD Curriculum 2.0

6. DERECHOS DE AUTOR

Imágenes bajo licencia 123RF internacional.

La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.

Sobre la autora:

Ana Maritza Vega Suárez. Es abogada y socia de Avatic Abogados, especializados en Derecho de Internet, Propiedad Intelectual y Nuevas Tecnologías.

Tiene más de diez años de experiencia en el sector privado, desempeñándola en multinacionales y despachos de abogados.

Es especialista en Derecho de las Telecomunicaciones por la Universidad Externado de Colombia, especialista en Derecho Administrativo por la Universidad del Rosario y Master’s Degree por la Universitat de Barcelona.

Licenciada en Derecho (Procedimiento de Homologación), Acreditada por el Ministerio de Educación de España en la Universitat Pompeu Fabra.

Desarrolla paralelamente actividades académicas y de formación a emprendedores.