Uno de los cambios que introducirá el nuevo Reglamento General de Protección de Datos (RGPD) es el reconocimiento explícito del concepto de Privacidad por Diseño y Privacidad por Defecto.

El concepto de privacidad por diseño proviene de la ingeniería de sistemas y aboga por tener en cuenta la privacidad en todo el ciclo de un producto o servicio desde su creación hasta su comercialización. En el ámbito legislativo fue aplicado por primera vez por las autoridades de protección de datos de Ontario (Canadá) en la década de los noventa.

Los siete principios fundacionales de la privacidad por diseño son:

  • Proactiva, no reactiva; prevenir, no remediar
  • Privacidad como opción por defecto
  • Privacidad entretejida en el diseño
  • Total funcionalidad – que sume y no que reste
  • Seguridad de punto a punto – protección en todo el ciclo de vida
  • Visibilidad y transparencia
  • Respeto por la privacidad del usuario – que todo gire en torno al usuario

La obligatoriedad de cumplir con el RGPD llegará el 25 de mayo de 2018 y a partir de entonces las organizaciones y empresas se verán obligadas a tener en cuenta la privacidad desde el inicio a la hora de crear y desarrollar nuevos productos y servicios.

El RGPD también habla de de privacidad por defecto, algo que en la práctica se traduce en la obligatoriedad por parte de las empresas y organizaciones de que sólo se recojan y procesen aquellos datos personales que sean necesarios para la actividad que se esté desarrollando y que sólo estén disponibles para aquellas partes directamente involucradas. Es decir, que si necesitamos nombre y apellidos pero no DNI o fecha de nacimiento, no debemos pedir esos datos extra y que si estos datos sólo necesitan ser consultados por una parte, no estén disponibles para terceras partes. De acuerdo con este principio, las empresas deben minimizar la cantidad de datos personales recogidos y el tiempo durante el cual están almacenados y disponibles. Los datos personales no deben, por tanto, ser almacenados por más tiempo del necesario para prestar el servicio para el que fueron recogidos.

Un ejemplo práctico de privacidad por defecto sería la apertura de una cuenta en una red social en la que inicialmente, si nos damos de alta con la configuración por defecto, ésta sea la que más nivel de protección a la privacidad ofrece. Esto es algo que hoy en día no ocurre y, en muchas redes sociales, cuando un nuevo usuario abre cuenta, suele estar visible para todo el mundo hasta que se cambian los ajustes de seguridad. Esto no será posible cuando entre en vigor el RGPD.

La inclusión de los conceptos de privacidad por diseño y privacidad por defecto obliga a las empresas a actualizar sus procesos internos para adaptarlos a estos requerimientos. El objetivo final es que la privacidad sea algo más que una obligación legal y se convierta en una característica inherente de los productos y servicios de una empresa.