El Derecho

Conócenos

PROTECCIÓN DE DATOS

Protección de Datos desde el Diseño: principio y obligación en el RGPD

Por Miguel Recio Gayo

  • Imprimir

Miguel Recio

I. Introducción 

En Europa, y en particular en España, la protección de datos desde el diseño es una nueva obligación en virtud del Reglamento General de Protección de Datos (RGPD)[[1]], aunque se trata de un principio que durante años ha sido aplicado en otras regiones y países, especialmente en Canadá donde la Dra. Anna Cavoukian lo creó en los años noventa con la finalidad de incluir la noción de privacidad en la tecnología misma[[2]], formulando siete principios fundacionales[3]

Desde entonces, este concepto ha evolucionado a nivel internacional y, junto con el de protección de datos por defecto, fue tenido en consideración por la Comisión Europea en la elaboración de su propuesta de RGPD, en el que finalmente ha sido incluido. 

De esta manera, la Unión Europea ha adoptado formalmente un importante principio internacional, formulándolo como obligación en el RGPD. Ahora bien, es necesario tener en consideración que ni es la primera vez que aparece en la normativa europea en materia de protección de datos personales ni es tampoco la primera vez que se aplica a nivel europeo. Entre otras, la Agencia Europea de Seguridad de las Redes y de la Información (en inglés European Union Agency for Network and Information Security, ENISA)[[4]] ha analizado ya esta obligación, en relación con la privacidad o el tratamiento analítico (“analytics”) de datos masivos (“big data”)[5]

Es por ello que, para poder comprender el alcance de la obligación de protección de datos desde el diseño en el RGPD, es necesario atender a los antecedentes internacionales y europeos de la misma, siendo exigible a quien trata datos personales, así como a la aproximación seguida por el RGPD y al tratamiento de la misma en sus considerandos y articulado. 

II. Antecedentes internacionales y europeos de un nuevo principio y obligación 

Sin perjuicio de su inclusión en las leyes o regulaciones de otros países en materia de protección de datos personales o privacidad, según cada caso, el principio de privacidad desde el diseño fue reconocido internacionalmente en 2010 por la Conferencia Internacional de Autoridades de Protección de Datos y Privacidad[[6]] a través de una Resolución[[7]], adoptada durante la 32ª conferencia internacional que tuvo lugar en Jerusalén en octubre de dicho año, en la que se constataba que la protección efectiva de la privacidad requiere de dicho principio ya que la regulación y las políticas públicas existentes, por si solas, resultan ser insuficientes[[8]]. 

Es así que, como indicaron las Autoridades de Protección de datos y Privacidad en la citada Resolución, la privacidad desde el diseño “es un componente esencial” para proteger la privacidad. 

También en 2010, en el ámbito europeo, el Supervisor Europeo de Protección de Datos (SEPD) se refirió a la protección de datos desde el diseño como una herramienta clave para generar confianza en las TIC[[9]]. 

Con el RGPD la protección de datos desde el diseño adquiere la categoría de obligación, pero es necesario tener en consideración que ya se encontraba en la normativa europea. 

En concreto, debe atenderse a que la Recomendación de la Comisión, de 9 de marzo de 2012, relativa a los preparativos para el despliegue de los sistemas de contador inteligente[[10]], definía ya el concepto de protección de datos desde el diseño como la “aplicación, teniendo en cuenta el estado de la técnica y el coste de dicha aplicación, tanto en el momento de la determinación de los medios de tratamiento como en el del tratamiento propiamente dicho, de las medidas y los procedimientos técnicos y de organización adecuados para que el tratamiento satisfaga los requisitos de la Directiva 95/46/CE y garantice la protección de los derechos del interesado”. 

Si bien se trataba de una Recomendación, es un importante precedente a considerar que, sin perjuicio de otros aspectos, ponía ya de manifiesto que la protección desde el diseño empodera al titular de los datos personales por lo que se refiere a hacer posible una mejor protección[[11]]. 

En definitiva, la protección de datos desde el diseño en la Unión Europea es un principio y una obligación nueva, pero no la primera vez que aparece en la normativa europea sobre protección de datos personales, ya que la misma ha sido objeto de atención tanto por el Supervisor Europeo de Protección de Datos como por la Comisión Europea, reflejándose, entre otros documentos, en la  citada Recomendación dirigida a los operadores de redes inteligentes y sistemas de contador inteligente. 

III. La aproximación de la Comisión Europea en la propuesta del RGPD 

La inclusión del principio de protección de datos desde el diseño en el RGPD es también una decisión de política pública por lo que se refiere al derecho fundamental a la protección de datos personales. 

En este sentido, la Comisión Europea, al presentar en 2012 su propuesta de RGPD[[12]], adoptó una importante decisión de política pública ya que se trataba de ir más allá del cumplimiento, impulsando de manera decidida un marco normativo modernizado y sin que el mismo supusiera un coste adicional en la implementación por quienes tratan datos personales. 

Se trata, por tanto, de una política pública destinada a proteger al titular de los datos personales a través de obligaciones y garantías, ya que, a través de dicho principio, y también del principio de protección de datos por defecto, se busca conseguir el objetivo de que los productos y servicios que se ofrezcan a aquellos incluyan salvaguardias desde la fase más temprana posible de diseño[[13]]. 

Al introducir dicho principio en su propuesta, la Comisión Europea optó también por impulsar un estándar internacional relevante en materia de protección de datos personales y privacidad que requiere considerar las diferentes perspectivas sobre el mismo[[14]]. 

En cualquier caso, es necesario tener en consideración que el principio de protección de datos desde el diseño requiere ser aplicado junto con otros principios y obligaciones, en particular los principios de minimización de datos, de protección de datos por defecto y también de responsabilidad proactiva (en inglés, “accountability”), así como con la obligación de evaluación de impacto relativa a la protección de datos. 

Además, la protección de datos por defecto tiene especial importancia en el caso de niñas y niños, ya que los servicios de la sociedad de la información, entre los que se encuentran sitios y páginas web o aplicaciones, tienen que ser diseñados de manera que respondan a la obligación de proteger de manera efectiva su derecho fundamental a la protección de datos personales. 

IV. Protección de datos desde el diseño en el RGPD 

Como principio, que en la práctica da lugar al cumplimiento de una obligación, el RGPD hace referencia a la protección de datos desde el diseño en sus considerandos 78 y 108, en el artículo 25, relativo a la obligación del responsable del tratamiento de protección de datos desde el diseño y por defecto y, por último, lo menciona también en el artículo 47, relativo a las normas corporativas vinculantes. 

Cabe destacar que, a pesar de ser un principio, no se incluye expresamente entre los principios enunciados en el Capítulo II, artículos 5 a 11, del RGPD, sino que se trata como una obligación en el citado artículo 25, exigible a responsables del tratamiento tanto del sector privado como público. 

En concreto, a la luz del considerando 78, el principio de protección de datos desde el diseño es la clave a seguir por el responsable del tratamiento para demostrar cumplimiento con el RGPD, ya que como se indica en dicho considerando “el responsable del tratamiento debe adoptar políticas internas y aplicar medidas que cumplan en particular los principios de protección de datos desde el diseño y por defecto”. 

Este principio es también un criterio a considerar por responsables del tratamiento en el sector público “en el contexto de los contratos públicos”, como finaliza señalando el considerando 78, de manera que sea un requisito o condición a exigir en la adquisición de productos o servicios por las Administraciones Públicas. 

En relación con lo anterior, y por lo que se refiere al cumplimiento de la obligación de protección de datos desde el diseño, el artículo 25 del RGPD comienza estableciendo los criterios a considerar en la aplicación del mismo y que son los relativos a: 

  • El estado de la técnica;
  • El coste de la aplicación;
  • La naturaleza, ámbito, contexto y fines del tratamiento, así como
  • Los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas. 

Este último criterio, el riesgo que pueda implicar el tratamiento de los datos personales para los derechos y libertades de las personas física, implica que deba atenderse en particular a los conceptos de riesgo y riesgo alto, estando todavía pendiente que el actual Grupo de trabajo del artículo 29 de la Directiva 95/46/CE, que se integrará en el Comité Europeo de Protección de Datos, emita alguna directriz al respecto como había indicado ya en 2016[[15]] y que es parte de su plan de acción para 2017[[16]]. 

Siguiendo con lo dispuesto en el citado artículo, el principio de protección de datos desde el diseño sirve también para determinar la aplicación de otros principios y de las obligaciones que tiene el responsable del tratamiento. 

Es decir, la protección de datos desde el diseño es uno de los ejes sobre los que desarrollar un programa de cumplimiento en materia de protección de datos, de manera que la gestión del riesgo que implica todo tratamiento de datos personales sea considerada en el momento mismo de la concepción de una idea que dé lugar al diseño y/o desarrollo de aplicaciones, servicios y productos. 

El derecho fundamental a la protección de datos personales debe ser, por tanto, uno de los aspectos esenciales a incluir en cualquier plan de negocio o diseño de una aplicación, servicio o producto, ya que ello facilitará desarrollar el programa de cumplimiento que permita, al mismo tiempo, generar o impulsar la confianza de los titulares de los datos personales que van a ser tratados, lo que ayuda a ser competitivo. Actuar de esta manera significa también ser responsable (en inglés, “accountable”) de manera proactiva. 

Por tanto, la protección de datos desde el diseño es una cuestión de estrategia que, tanto el responsable como el encargado del tratamiento, aunque especialmente el primero, deben tener en consideración para asegurar el derecho fundamental a la protección de datos mediante la adopción e implementación de medidas técnicas y organizativas que consideren a la persona, titular de los datos personales, desde el principio o, incluso, desde el momento mismo en el que se genera una idea que pueda dar lugar a una aplicación, servicio o producto. 

V. Conclusiones 

En virtud del RGPD la protección de datos desde el diseño es un nuevo principio y una nueva obligación para quienes tratan datos personales, debiendo considerar el derecho fundamental a la protección de datos personales dese la fase más temprana de diseño o concepción de la idea que dé lugar al desarrollo una aplicación, servicio o producto. 

Y aunque se trata de una nueva obligación, ni es un nuevo concepto ni es la primera vez que aparece en la normativa europea en materia de protección de datos personales. 

En cualquier caso, el RGPD incluye los criterios a considerar en la aplicación de la protección de datos desde el diseño, debiendo prestar especial atención a los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, en particular el derecho fundamental a la protección de datos personales.


[1] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) [2016] DO L 119/1.

[2] Cavoukian, A. (2009). Privacy by design... Take the challenge. Information and Privacy Commissioner of Ontario.

[3] https://www.ipc.on.ca/wp-content/uploads/Resources/7foundationalprinciples.pdf

[4] https://www.enisa.europa.eu/

[5] https://www.enisa.europa.eu/topics/data-protection/privacy-by-design

[6] International Conference of Data Protection & Privacy Commissioners https://icdppc.org/

[7] Resolution on Privacy by Design https://icdppc.org/wp-content/uploads/2015/02/32-Conference-Israel-resolution-on-Privacy-by-Design.pdf

[8] La Resolución, en inglés, indica que “existing regulation and policy alone are not sufficient fully to safeguard privacy”.

[9] Dictamen del Supervisor Europeo de Protección de Datos acerca de la promoción de la confianza en la sociedad de la información mediante el impulso de la protección de datos y la privacidad [2010] DO C 280/1.

[10] Recomendación 2012/148/UE de la Comisión, de 9 de marzo de 2012, relativa a los preparativos para el despliegue de los sistemas de contador inteligente [2012] DO L 73.

[11] Ibid. Consideración 15.

[12] COM(2012) 11 final.

[13] United Nations Conference on Trade and Development. Data protection regulations and international data flows: Implications for trade and development. New York and Geneva, 2016. Pág. 93.

[14] COM(2012) 11 final. Págs. 81 y 82.

[15] Statement on the 2016 action plan for the implementation of the General Data Protection Regulation (GDPR), WP 236, adopted on 2 February 2016.

[16] Press release – Adoption of 2017 GDPR Action Plan.

Lefebvre - EL Derecho no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación

Widgets Magazine

Comentarios jurisprudenciales

CASE STUDY & MASTER CLASS

LOPD EN DESPACHOS DE ABOGADOS

  • Caso práctico: absorción o adquisición del despacho por otra entidad

    Tanto el despacho como persona jurídica, como los integrantes del mismo, los terceros a los que se ceden esos datos, y aquellos que prestan servicios al despacho y tienen acceso a datos de carácter personal, están obligados al secreto y al deber de guardar esos datos, 

  • Caso práctico: Lexnet

    El consentimiento para la comunicación de los datos de carácter personal a un tercero será nulo cuando la información que se facilite al interesado no le permita conocer la finalidad a que se destinarán los datos cuya comunicación se autoriza, o el tipo de actividad de aquel a quien se pretenden comunicar.

  • Caso práctico: almacenamiento de información

    Como decimoctava entrega de la serie de artículos sobre protección de datos personales en los bufetes de abogados, hoy les mostraré un caso práctico sobre almacenamiento de información personal y las ventajas del despacho digital.

ebook gratuito

ENTREVISTAS

GESTIÓN DE DESPACHOS

  • ¿Por qué es importante implementar el marketing en una empresa de servicios jurídicos?

    Hoy en día, el mercado legal está inmerso en una etapa de dinamismo que se está llevando a cabo a través de numerosas integraciones y/o fusiones entre despachos de diferente perfil que lo que buscan es crear una marca más sólida con la que poder prestar un servicio más completo a sus clientes.

  • La web y el blog, primeras piedras del camino hacia el posicionamiento SEO

    ¿Recuerdas cuando captar clientes se reducía al ‘boca a oreja’ y al prestigio del despacho? ¿Todo iba mucho más rodado, ¿verdad? ¿Cuál es el motivo por el que ahora ya no es tan fácil? Muy sencillo: se ha constituido un nuevo canal de captación que aún tiene mucho potencial: internet, la web y Google, el mayor canal de información y búsqueda de contenidos de España.

REDES SOCIALES & ABOGADOS

  • Internet y Redes Sociales para despachos de abogados: una exigencia necesaria

    ¿Por qué es importante que los despachos de abogados entren en la dinámica de las redes sociales e Internet? ¿Cómo puede afectar a un bufete el estar o no en el mundo digital? ¿Qué es lo que quieren tus futuros clientes de su abogado? El mundo se ha digitalizado y los abogados no pueden quedarse atrás.

COLABORA CON NOSOTROS

Colabora

Envianos un artículo sobre nuevas tecnologías aplicadas al ámbito jurídico

Colaborar

Enviar Artículo

He leído y acepto las condiciones de la Política de Privacidad y el Aviso Legal

(*) Campos obligatorios

Pablo García Mexía

Abogado, Cofundador de Syntagma, Centro de estudios estratégicos.

1

Carlos Pérez Sanz

Socio del área de Information Technology y Compliance de ECIJA.

1

Raúl Rubio

Partner, Information Technology & Communications Baker & McKenzie

1

Los ayuntamientos españoles pueden ahorrar hasta un 60% en gastos con tecnologías de smart cities

Los ayuntamientos españoles pueden ahorrar entre un 20% y un 60% de sus gastos gracias a la aplicación de tecnología digital en la gestión de agua, residuos, alumbrado, movilidad y edificación, según un estudio elaborado por la consultora KPMG en colaboración con la empresa tecnológica Siemens, que señala que la digitalización puede mejorar la calidad de vida de los ciudadanos y, al mismo tiempo, permitir importantes ahorros en las arcas públicas.

La empresa española Lleida.net obtiene la patente de su método de contratación electrónica certificada en USA por un periodo de 20 años

La concesión consolida la presencia de Lleida.net en el mayor mercado mundial en derechos de propiedad y servicios tecnológicos. La firma tecnológica, que cotiza en el MAB (Mercado Alternativo Bursátil: LLN) desde hace dos años, refuerza su apuesta por el sector de la contratación electrónica.

AirHelp incorpora su primer AI lawyer, abogado con Inteligencia Artificial, para gestionar las reclamaciones por retraso de vuelos

El lanzamiento de Lara optimizará las capacidades legales de la compañía permitiendo el crecimiento de sus servicios legales y su expansión en este mercado

feedburner

Reciba LAW & TIC de forma gratuita.

Atención al cliente: De lunes a viernes de 8:30 a 20:00 horas ininterrumpidamente. Tel 91 210 80 00 - 902 44 33 55 Fax. 915 78 16 17