I. Introducción
En Europa, y en particular en España, la protección de datos desde el diseño es una nueva obligación en virtud del Reglamento General de Protección de Datos (RGPD)[[1]], aunque se trata de un principio que durante años ha sido aplicado en otras regiones y países, especialmente en Canadá donde la Dra. Anna Cavoukian lo creó en los años noventa con la finalidad de incluir la noción de privacidad en la tecnología misma[[2]], formulando siete principios fundacionales[3].
Desde entonces, este concepto ha evolucionado a nivel internacional y, junto con el de protección de datos por defecto, fue tenido en consideración por la Comisión Europea en la elaboración de su propuesta de RGPD, en el que finalmente ha sido incluido.
De esta manera, la Unión Europea ha adoptado formalmente un importante principio internacional, formulándolo como obligación en el RGPD. Ahora bien, es necesario tener en consideración que ni es la primera vez que aparece en la normativa europea en materia de protección de datos personales ni es tampoco la primera vez que se aplica a nivel europeo. Entre otras, la Agencia Europea de Seguridad de las Redes y de la Información (en inglés European Union Agency for Network and Information Security, ENISA)[[4]] ha analizado ya esta obligación, en relación con la privacidad o el tratamiento analítico (“analytics”) de datos masivos (“big data”)[5].
Es por ello que, para poder comprender el alcance de la obligación de protección de datos desde el diseño en el RGPD, es necesario atender a los antecedentes internacionales y europeos de la misma, siendo exigible a quien trata datos personales, así como a la aproximación seguida por el RGPD y al tratamiento de la misma en sus considerandos y articulado.
II. Antecedentes internacionales y europeos de un nuevo principio y obligación
Sin perjuicio de su inclusión en las leyes o regulaciones de otros países en materia de protección de datos personales o privacidad, según cada caso, el principio de privacidad desde el diseño fue reconocido internacionalmente en 2010 por la Conferencia Internacional de Autoridades de Protección de Datos y Privacidad[[6]] a través de una Resolución[[7]], adoptada durante la 32ª conferencia internacional que tuvo lugar en Jerusalén en octubre de dicho año, en la que se constataba que la protección efectiva de la privacidad requiere de dicho principio ya que la regulación y las políticas públicas existentes, por si solas, resultan ser insuficientes[[8]].
Es así que, como indicaron las Autoridades de Protección de datos y Privacidad en la citada Resolución, la privacidad desde el diseño “es un componente esencial” para proteger la privacidad.
También en 2010, en el ámbito europeo, el Supervisor Europeo de Protección de Datos (SEPD) se refirió a la protección de datos desde el diseño como una herramienta clave para generar confianza en las TIC[[9]].
Con el RGPD la protección de datos desde el diseño adquiere la categoría de obligación, pero es necesario tener en consideración que ya se encontraba en la normativa europea.
En concreto, debe atenderse a que la Recomendación de la Comisión, de 9 de marzo de 2012, relativa a los preparativos para el despliegue de los sistemas de contador inteligente[[10]], definía ya el concepto de protección de datos desde el diseño como la “aplicación, teniendo en cuenta el estado de la técnica y el coste de dicha aplicación, tanto en el momento de la determinación de los medios de tratamiento como en el del tratamiento propiamente dicho, de las medidas y los procedimientos técnicos y de organización adecuados para que el tratamiento satisfaga los requisitos de la Directiva 95/46/CE y garantice la protección de los derechos del interesado”.
Si bien se trataba de una Recomendación, es un importante precedente a considerar que, sin perjuicio de otros aspectos, ponía ya de manifiesto que la protección desde el diseño empodera al titular de los datos personales por lo que se refiere a hacer posible una mejor protección[[11]].
En definitiva, la protección de datos desde el diseño en la Unión Europea es un principio y una obligación nueva, pero no la primera vez que aparece en la normativa europea sobre protección de datos personales, ya que la misma ha sido objeto de atención tanto por el Supervisor Europeo de Protección de Datos como por la Comisión Europea, reflejándose, entre otros documentos, en la citada Recomendación dirigida a los operadores de redes inteligentes y sistemas de contador inteligente.
III. La aproximación de la Comisión Europea en la propuesta del RGPD
La inclusión del principio de protección de datos desde el diseño en el RGPD es también una decisión de política pública por lo que se refiere al derecho fundamental a la protección de datos personales.
En este sentido, la Comisión Europea, al presentar en 2012 su propuesta de RGPD[[12]], adoptó una importante decisión de política pública ya que se trataba de ir más allá del cumplimiento, impulsando de manera decidida un marco normativo modernizado y sin que el mismo supusiera un coste adicional en la implementación por quienes tratan datos personales.
Se trata, por tanto, de una política pública destinada a proteger al titular de los datos personales a través de obligaciones y garantías, ya que, a través de dicho principio, y también del principio de protección de datos por defecto, se busca conseguir el objetivo de que los productos y servicios que se ofrezcan a aquellos incluyan salvaguardias desde la fase más temprana posible de diseño[[13]].
Al introducir dicho principio en su propuesta, la Comisión Europea optó también por impulsar un estándar internacional relevante en materia de protección de datos personales y privacidad que requiere considerar las diferentes perspectivas sobre el mismo[[14]].
En cualquier caso, es necesario tener en consideración que el principio de protección de datos desde el diseño requiere ser aplicado junto con otros principios y obligaciones, en particular los principios de minimización de datos, de protección de datos por defecto y también de responsabilidad proactiva (en inglés, “accountability”), así como con la obligación de evaluación de impacto relativa a la protección de datos.
Además, la protección de datos por defecto tiene especial importancia en el caso de niñas y niños, ya que los servicios de la sociedad de la información, entre los que se encuentran sitios y páginas web o aplicaciones, tienen que ser diseñados de manera que respondan a la obligación de proteger de manera efectiva su derecho fundamental a la protección de datos personales.
IV. Protección de datos desde el diseño en el RGPD
Como principio, que en la práctica da lugar al cumplimiento de una obligación, el RGPD hace referencia a la protección de datos desde el diseño en sus considerandos 78 y 108, en el artículo 25, relativo a la obligación del responsable del tratamiento de protección de datos desde el diseño y por defecto y, por último, lo menciona también en el artículo 47, relativo a las normas corporativas vinculantes.
Cabe destacar que, a pesar de ser un principio, no se incluye expresamente entre los principios enunciados en el Capítulo II, artículos 5 a 11, del RGPD, sino que se trata como una obligación en el citado artículo 25, exigible a responsables del tratamiento tanto del sector privado como público.
En concreto, a la luz del considerando 78, el principio de protección de datos desde el diseño es la clave a seguir por el responsable del tratamiento para demostrar cumplimiento con el RGPD, ya que como se indica en dicho considerando “el responsable del tratamiento debe adoptar políticas internas y aplicar medidas que cumplan en particular los principios de protección de datos desde el diseño y por defecto”.
Este principio es también un criterio a considerar por responsables del tratamiento en el sector público “en el contexto de los contratos públicos”, como finaliza señalando el considerando 78, de manera que sea un requisito o condición a exigir en la adquisición de productos o servicios por las Administraciones Públicas.
En relación con lo anterior, y por lo que se refiere al cumplimiento de la obligación de protección de datos desde el diseño, el artículo 25 del RGPD comienza estableciendo los criterios a considerar en la aplicación del mismo y que son los relativos a:
- El estado de la técnica;
- El coste de la aplicación;
- La naturaleza, ámbito, contexto y fines del tratamiento, así como
- Los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas.
Este último criterio, el riesgo que pueda implicar el tratamiento de los datos personales para los derechos y libertades de las personas física, implica que deba atenderse en particular a los conceptos de riesgo y riesgo alto, estando todavía pendiente que el actual Grupo de trabajo del artículo 29 de la Directiva 95/46/CE, que se integrará en el Comité Europeo de Protección de Datos, emita alguna directriz al respecto como había indicado ya en 2016[[15]] y que es parte de su plan de acción para 2017[[16]].
Siguiendo con lo dispuesto en el citado artículo, el principio de protección de datos desde el diseño sirve también para determinar la aplicación de otros principios y de las obligaciones que tiene el responsable del tratamiento.
Es decir, la protección de datos desde el diseño es uno de los ejes sobre los que desarrollar un programa de cumplimiento en materia de protección de datos, de manera que la gestión del riesgo que implica todo tratamiento de datos personales sea considerada en el momento mismo de la concepción de una idea que dé lugar al diseño y/o desarrollo de aplicaciones, servicios y productos.
El derecho fundamental a la protección de datos personales debe ser, por tanto, uno de los aspectos esenciales a incluir en cualquier plan de negocio o diseño de una aplicación, servicio o producto, ya que ello facilitará desarrollar el programa de cumplimiento que permita, al mismo tiempo, generar o impulsar la confianza de los titulares de los datos personales que van a ser tratados, lo que ayuda a ser competitivo. Actuar de esta manera significa también ser responsable (en inglés, “accountable”) de manera proactiva.
Por tanto, la protección de datos desde el diseño es una cuestión de estrategia que, tanto el responsable como el encargado del tratamiento, aunque especialmente el primero, deben tener en consideración para asegurar el derecho fundamental a la protección de datos mediante la adopción e implementación de medidas técnicas y organizativas que consideren a la persona, titular de los datos personales, desde el principio o, incluso, desde el momento mismo en el que se genera una idea que pueda dar lugar a una aplicación, servicio o producto.
V. Conclusiones
En virtud del RGPD la protección de datos desde el diseño es un nuevo principio y una nueva obligación para quienes tratan datos personales, debiendo considerar el derecho fundamental a la protección de datos personales dese la fase más temprana de diseño o concepción de la idea que dé lugar al desarrollo una aplicación, servicio o producto.
Y aunque se trata de una nueva obligación, ni es un nuevo concepto ni es la primera vez que aparece en la normativa europea en materia de protección de datos personales.
En cualquier caso, el RGPD incluye los criterios a considerar en la aplicación de la protección de datos desde el diseño, debiendo prestar especial atención a los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, en particular el derecho fundamental a la protección de datos personales.
[1] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) [2016] DO L 119/1.
[2] Cavoukian, A. (2009). Privacy by design... Take the challenge. Information and Privacy Commissioner of Ontario.
[3] https://www.ipc.on.ca/wp-content/uploads/Resources/7foundationalprinciples.pdf
[4] https://www.enisa.europa.eu/
[5] https://www.enisa.europa.eu/topics/data-protection/privacy-by-design
[6] International Conference of Data Protection & Privacy Commissioners https://icdppc.org/
[7] Resolution on Privacy by Design https://icdppc.org/wp-content/uploads/2015/02/32-Conference-Israel-resolution-on-Privacy-by-Design.pdf
[8] La Resolución, en inglés, indica que “existing regulation and policy alone are not sufficient fully to safeguard privacy”.
[9] Dictamen del Supervisor Europeo de Protección de Datos acerca de la promoción de la confianza en la sociedad de la información mediante el impulso de la protección de datos y la privacidad [2010] DO C 280/1.
[10] Recomendación 2012/148/UE de la Comisión, de 9 de marzo de 2012, relativa a los preparativos para el despliegue de los sistemas de contador inteligente [2012] DO L 73.
[11] Ibid. Consideración 15.
[12] COM(2012) 11 final.
[13] United Nations Conference on Trade and Development. Data protection regulations and international data flows: Implications for trade and development. New York and Geneva, 2016. Pág. 93.
[14] COM(2012) 11 final. Págs. 81 y 82.
[15] Statement on the 2016 action plan for the implementation of the General Data Protection Regulation (GDPR), WP 236, adopted on 2 February 2016.
[16] Press release – Adoption of 2017 GDPR Action Plan.
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación