En el marco de las actividades desarrolladas por el Grupo de Regulación de Autelsi, se ha llevado a cabo durante los últimos meses un estudio acerca del principio de ‘Privacy by Design’, que junto a los principios de Privacidad por Defecto (‘Privacy by Default’) y Responsabilidad (‘Accountability’), expresamente reconocidos en el Proyecto de Reglamento Europeo de Protección de Datos, recogen los conceptos inspiradores de la prevención de la privacidad y el respeto a la protección de datos.
El nuevo marco europeo de protección de datos está promoviendo el establecimiento de un ‘sistema de control de los riesgos’ asociado al tratamiento de los datos personales, que, de manera preventiva, considere la necesidad de tener en cuenta la privacidad y la protección de los datos personales en ‘todo’ el ciclo de vida de la tecnología, desde la fase de diseño hasta su fin, tanto de los sistemas de información, como de las arquitecturas y redes de comunicación, los procesos productivos y de negocio, de tal manera que se entienda siempre la privacidad como una opción ‘por defecto’.
Desde esa concepción, se plantea a las empresas y organizaciones, públicas o privadas o personas físicas en su ámbito profesional, como un principio ético, como una obligación preventiva, valorar la privacidad y el respeto al derecho a la protección de los datos personales desde la propia concepción de su tratamiento, desde que consideramos la posibilidad de utilizar tecnología susceptible de tratar datos personales.
La protección de los datos desde el diseño prestará especial atención a toda la gestión del ciclo de vida de los datos personales desde su recogida hasta su tratamiento y supresión.
Considera, por tanto, que hay tres aspectos (fases del tratamiento, obligaciones e intervinientes) que configuran el alcance general para la aplicación de este principio al que habrán de añadirse las obligaciones derivadas de los principios de Responsabilidad y Privacidad por Defecto regulados en los arts. 22 y 23.2 del Reglamento Europeo que persiguen:
– Garantizar por defecto no solo que se tratarán los datos necesarios y pertinentes en relación a la finalidad de uso, minimizando el tratamiento al máximo, evitando recoger ni conservar más allá del mínimo necesario para esos fines, tanto por lo que respecta a la cantidad de los datos como a la duración de su conservación e impidiendo que, por defecto, los datos personales no sean accesibles a un número indeterminado de personas.
– Garantizar la información respecto a los tratamientos, proporcionando medios de control a los usuarios respecto a sus datos tratados, y la protección de los derechos de los usuarios, de los clientes personas físicas, de las personas identificadas o identificables, mediante la implantación de medidas de seguridad y procedimientos técnicos y organizativos apropiados.
– Garantizar la rendición de cuentas por parte de los responsables de tratamiento, viéndose estos en la necesidad de documentar y acreditar la aplicación de las medidas determinadas en cada caso, dirigidas a garantizar el cumplimiento normativo en Protección de Datos “a lo largo de todo el ciclo de vida del tratamiento y de forma preventiva”.
Se entiende que la necesidad de gestionar la privacidad, ·’por defecto o por diseño’, puede estar vinculada a una necesidad del negocio, una nueva campaña, un nuevo producto o nuevas actividades que nunca antes se habían abordado dentro de la compañía u organización, por lo que será necesario analizar los riesgos relacionados con el tratamiento de datos personales y establecer medidas para prevenir, mediante la realización previa a los tratamientos de una evaluación de riesgos y amenazas.
Así, una de las principales conclusiones a las que llega este estudio es la de considerar la necesidad de contar con un catálogo de riesgos y amenazas y unas medidas preventivas predeterminadas.
