Privacy by desing
El 14 de enero de 2015 tuvo lugar en el Ilustre Colegio de Abogados de Madrid un Foro, con asistencia e intervención de Rojas Pozo Abogados, sobre un novedoso aspecto del tratamiento de datos de carácter personal que es objeto de regulación en el futuro Reglamento general de protección de datos europeo, recientemente aprobado, y recogido en su artículo 23 “Protección de datos desde el diseño y por defecto”.
El Privacy by desing significa plantearse el garantizar la protección de los datos de carácter personal de los interesados desde el momento de la determinación de los medios de tratamiento y no solamente desde el momento en que se produzca el tratamiento de datos propiamente dicho. Implica que la empresa, profesional u organización desde el primer estadio de creación de su proyecto empresarial en donde determina que medios (software, hardware, redes…) va a utilizar para el tratamiento de datos personales tiene que pensar en priorizar el garantizar los derechos de los interesados, sus datos personales y privacy. Esos medios no pueden ser cualesquiera, sino que tienen que ser medios que permitan implementar medidas y procedimientos técnicos y organizativos apropiados.
La ingeniería del software, desde el momento de la ideación del proyecto de desarrollo del software, debe dar respuesta adecuada a la protección de los datos personales integrando medidas y procedimientos técnicos adecuados que garanticen dicha protección. En este sentido nuestro actual Reglamento de desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal (RLOPD) en su Disposición adicional única incide también en que los productos de software destinados al tratamiento automatizado de datos personales deberán incluir en su descripción técnica el nivel de seguridad, básico, medio o alto, que permitan alcanzar las medidas de seguridad de carácter técnico y organizativos que recoge el propio RLOPD.
Sin embargo, en el Foro hubo consenso en que el Privacy by desing es algo más. No se trata sólo de cumplir la norma de protección de datos, sino que el responsable del fichero o tratamiento debe garantizar la protección de los datos personales y los derechos de los interesados. Es decir, se impone una responsabilidad interna dentro de las empresas para garantizar los datos personales, se exige una actitud proactiva de protección, en donde el personal que accede a la información tiene que estar motivado, implicado en cumplir y garantizar los derechos de los interesados.
Por lo tanto, no sólo las medidas y procedimientos técnicos son importantes en el Privacy by desing, sino también los organizativos, con especial significación a la educación y motivación del personal, para garantizar con procedimientos adecuados los datos personales de los interesados y privacy.
La empresa tiene que creer en la protección de los datos personales y considerar la implementación del Privacy by desing en sus proyectos como un importante factor de competitividad al generar confianza en los clientes y usuarios de servicios que ven así garantizada la seguridad de sus datos personales y privacy.