La APDCAT (Autoridad Catalana de Protección de Datos) ha hecho pública una guía sobre privacidad especialmente dirigida a los desarrolladores web, y desde APDTIC queremos compartir algunas de sus directrices, que tienen que ver con los conceptos de privacidad desde el diseño y por defecto.
En el punto de mira de este documento está la necesidad de tener en cuenta y evaluar desde la fase de diseño el impacto que tienen todos los productos o servicios tecnológicos en la privacidad de sus usuarios. Igualmente, en la guía de la APDCAT se pone en valor otro concepto que para nosotros es también muy importante: la privacidad por defecto.
Analizamos ambos principios y las medidas que la agencia catalana recomienda implementar en este sentido, a continuación.
La importancia de esta guía y su implementación
Esta guía es importante porque ayuda a los desarrolladores a cumplir con lo que establece el artículo 25 del Reglamento General de Protección de Datos (RGPD). Hablamos, en concreto, de una doble obligación:
- Desde el momento del diseño de un servicio o aplicación, implementar las medidas organizativas y técnicas que sean necesarias para proteger los datos personales y los derechos y libertades de los interesados.
- Aplicar por defecto las medidas adecuadas que garanticen que tanto la cantidad de datos personales recogidos como su alcance, su plazo de conservación y su accesibilidad por parte de terceros sean los mínimos exigibles para la finalidad del tratamiento.
Cumplir con esta parte específica de la normativa es obligatorio, y hacerlo desde el principio (es decir, desde la fase de diseño) proporciona un considerable ahorro de tiempo, de recursos y de daños reputacionales. Además, quienes no aseguren el cumplimiento se exponen a ser sancionados con hasta 10 millones de euros de multa (o el equivalente al 2% de su volumen de negocio).
¿Cómo debe aplicarse la privacidad desde el diseño y por defecto?
Tanto la protección de datos desde el diseño como la protección de datos defecto han de planificarse en todas y cada una de las fases que abarca el tratamiento de los datos:
- Diseño.
- Desarrollo y pruebas.
- Recogida de los datos.
- Uso de los datos.
- Comunicación o divulgación de los datos.
- Mantenimiento y conservación de los datos.
Si nos centramos en la primera fase, la que aquí más nos atañe, podemos encontrarnos con las siguientes estrategias a tener en cuenta en el momento del diseño:
- Minimizar el número de datos personales que se tratan y limitar el impacto de ese tratamiento.
- Esconder los datos para que nadie que no esté legitimado los conozca, para así dificultar que se les dé un uso inadecuado.
- Separar los datos, tratándolos en compartimentos distribuidos para conseguir dificultar aún más el acceso.
- Agregar los datos personales según los diferentes grupos de personas, para imposibilitar su asociación a una persona concreta.
- Informar sobre el tratamiento a las personas interesadas.
- Dar capacidad de control de sus datos a las personas interesadas.
- Hacer cumplir la política de privacidad y facilitar los medios para que se cumpla.
- Demostrar que el tratamiento de datos personales se realiza de forma «amigable» en términos de privacidad.
Asimismo, es muy aconsejable que los desarrolladores empleen una metodología que garantice la calidad del código fuente, ya sea esta automática o manual. Hay que recordar que un código de mala calidad siempre es más proclive a sufrir vulnerabilidades de seguridad. Atender a lo que recogen las guías para una programación segura también es una muy buena idea.
El cifrado y la anonimización, dos medidas clave adicionales para proteger los datos personales
Por último, en su guía específica para desarrolladores la APDCAT hace especial mención a dos medidas clave más a tener presentes en el proceso: el cifrado y la anonimización.
En primer lugar, el cifrado de datos es el método que transforma un texto con información en texto cifrado, que deja de ser comprensible excepto para quien posee la clave de descifrado. Este punto es tan importante para proteger los datos de los usuarios que la normativa no obliga a notificar los fallos de seguridad si previamente se habían implementado técnicas de cifrado de los datos afectados.
Por su parte, la anonimización tiene como principal finalidad la de impedir que se puedan identificar a personas concretas en el contexto de un conjunto de datos. De este modo, los datos que están anonimizados dejan de considerarse datos personales, ya que no son atribuibles a una persona física, y, por tanto, para ellos la normativa deja de ser de obligada aplicación.