Privacidad por diseño y privacidad por defecto (protección de datos diseñada y privacidad predeterminada por GDPR)

En mayo de 2018, entró en vigor una nueva ley sobre la protección de datos personales: el Reglamento general de protección de datos o el Reglamento del Parlamento Europeo y el Consejo de la Unión Europea de 2016/679, de 27 de abril de 2016, sobre la protección de las personas en el procesamiento de datos personales y la libre circulación de dichos datos, y la derogación de la Directiva 95/46 / CE (en adelante GDPR ), que proporciona a los residentes de la UE herramientas para el control total de sus datos personales, cuya protección es un derecho fundamental en la Unión Europea. El artículo 25 del RGPD exige que las empresas creen sistemas con protección integrada de datos personales y sistemas de privacidad de forma predeterminada: privacidad por diseño y privacidad por defecto . En el presente material analizaremos estos conceptos.

El texto del Artículo 25 de las Reglas en inglés y en ruso:

1. Teniendo en cuenta el estado de la técnica, el costo de implementación y la naturaleza, el alcance, el contexto y los propósitos del procesamiento, así como los riesgos de diferentes probabilidades y severidad de los derechos y libertades de las personas físicas que representa el procesamiento, el controlador deberá, tanto en el momento de la determinación de los medios para el procesamiento como en el momento del procesamiento en sí, implementar medidas técnicas y organizativas apropiadas, como la seudonimización, que están diseñadas para implementar principios de protección de datos, como la minimización de datos, en de manera efectiva e integrar las salvaguardas necesarias en el procesamiento para cumplir con los requisitos de este Reglamento y proteger los derechos de los interesados.

1. Teniendo en cuenta el estado de desarrollo de la ciencia y la tecnología, los costos de implementación, la naturaleza, el alcance, las características y los objetivos del procesamiento, así como la probable ocurrencia de riesgos y peligros para los derechos y libertades de las personas como resultado del procesamiento, el controlador debe, como durante la determinación de los medios de procesamiento, y durante el procesamiento en sí, introducir medidas técnicas y organizativas apropiadas, por ejemplo, seudonimización, que están diseñadas para implementar efectivamente los principios de protección de datos, por ejemplo, para minimizar datos e integrar Las garantías necesarias para el procesamiento a fin de cumplir con los requisitos del presente Reglamento y proteger los derechos de los interesados.

2. El controlador implementará medidas técnicas y organizativas apropiadas para garantizar que, por defecto, solo se procesen los datos personales que son necesarios para cada propósito específico del procesamiento. Esa obligación se aplica a la cantidad de datos personales recopilados, el alcance de su procesamiento, el período de su almacenamiento y su accesibilidad. En particular, tales medidas garantizarán que, por defecto, los datos personales no sean accesibles sin la intervención del individuo a un número indefinido de personas físicas.

2. El controlador debe implementar medidas técnicas y organizativas apropiadas para garantizar que, de forma predeterminada, solo se procesen los datos personales que son necesarios para cada objetivo de procesamiento específico. Esta obligación se aplica a la gran cantidad de datos personales recopilados, la cantidad de su procesamiento, el período de almacenamiento y la posibilidad de acceso a los mismos. En particular, estas medidas deberían garantizar que, por defecto, el acceso a los datos personales no se proporcionará a un número indefinido de personas sin la participación de una persona.

3. Un mecanismo de certificación aprobado de conformidad con el artículo 42 podrá utilizarse como elemento para demostrar el cumplimiento de los requisitos establecidos en los párrafos 1 y 2 de este artículo.

3. Un mecanismo de certificación aprobado de conformidad con el artículo 42 podrá utilizarse como elemento para confirmar el cumplimiento de los requisitos establecidos en los párrafos 1 y 2 de este artículo.

Que es esto

Privacidad por diseño

Esto significa que el controlador de datos se compromete a integrar el sistema de protección de datos en todos los procesos comerciales (incluidos los procesos de desarrollo de productos o servicios) en una etapa temprana de su diseño y se compromete a mantener dicho sistema continuamente en el futuro. La protección de datos incorporada en su diseño es una obligación de proporcionar la protección de datos personales por adelantado en todas las acciones, compromisos y decisiones de la empresa. Por ejemplo, al crear una aplicación móvil, es necesario analizar y prevenir posibles riesgos asociados con la confidencialidad, y establecer mecanismos para gestionar dichos riesgos antes de escribir el código.

Según la filosofía de privacidad por diseño, la mejor manera de reducir los riesgos asociados con la confidencialidad es, en primer lugar, no crearlos.

Privacidad por defecto

Por defecto, la privacidad implica que el usuario no necesita tomar ninguna medida para proteger su privacidad. La configuración para mantener la confidencialidad y, en consecuencia, proteger sus datos personales se establece de forma predeterminada. Los supervisores no deben suponer automáticamente que el usuario acepta el intercambio de datos. Solo los datos que son necesarios para lograr objetivos de procesamiento específicos están sujetos a recopilación. Para garantizar esta confidencialidad, por defecto, los supervisores deben implementar medidas técnicas y organizativas apropiadas.

La casilla de verificación del consentimiento del usuario para la transferencia de sus datos a terceros no debe marcarse automáticamente en el sitio en el perfil del usuario. El usuario debe marcar esta casilla de verificación él mismo, expresando así el consentimiento explícito (ver consentimiento explícito a los Artículos 4 (11), 6 (1) (a), 7 GDPR). O, por ejemplo, cuando se recopilan los datos necesarios para el registro del usuario, la aplicación no debe requerir que el usuario proporcione datos que no son necesarios para el registro.

Cuantos menos datos recopile y procese una empresa, menor será el riesgo de violar el RGPD.

Historial de privacidad por diseño, privacidad por defecto

Según el Supervisor Europeo de Protección de Datos (en lo sucesivo, el SEPD), los términos "privacidad integrada" y "privacidad predeterminada" fueron desarrollados en la década de 1990 por Ann Cavoukian, Comisionada de Información y Protección de Datos Personales en la provincia canadiense de Ontario. En 2009, publicó Integrated Privacy: 7 Fundamental Principles , que explica que "privacidad incrustada" significa que las empresas deben considerar activamente los problemas de privacidad a lo largo de su ciclo de vida de datos, comenzando desde la fase de diseño. Esta "Protección del ciclo de vida completo" garantiza que todos los datos se almacenen de forma segura y luego se destruyan de manera oportuna. De esta manera, la privacidad por diseño proporciona una gestión continua y segura del ciclo de vida de los datos, de principio a fin. De acuerdo con estos principios, esta protección puede y debe actuar sin comprometer la funcionalidad de la empresa o el sistema.

Kavukyan desarrolló los siguientes principios:

1. Medidas preventivas (proactivas), no solo mitigación
2. Privacidad predeterminada
3. Privacidad integrada
4. Funcionalidad completa con beneficio mutuo
5. Protección de la información personal durante todo el ciclo de su recopilación, almacenamiento, procesamiento y destrucción.
6. Accesibilidad y transparencia.
7. Respeto a la privacidad del usuario: el sistema debe estar orientado al usuario

La privacidad predeterminada, a su vez, significa que el principio de privacidad integrada debe incluirse de manera predeterminada en cualquier sistema o negocio, de modo que los datos personales estén protegidos automáticamente sin ninguna acción por parte del interesado. No se debe exigir a una persona que tome ninguna medida para proteger su privacidad: todo está integrado en el sistema de forma predeterminada.

El SEPD explica que esta configuración predeterminada significa que el interesado no debe soportar la carga de proteger sus datos cuando utiliza cualquier servicio o producto. El derecho a la privacidad estará protegido "automáticamente" como la configuración predeterminada.

Los principios de privacidad por diseño y privacidad por defecto, desarrollados por Kavukyan, pronto fueron adoptados por los legisladores europeos como un estándar en el campo de la protección de datos personales.

Proyecto de recomendaciones
Consejo Europeo de Protección de Datos 13 de noviembre de 2019

El 13 de noviembre de 2019, una autoridad independiente de protección de datos personales a nivel europeo, la Junta Europea de Protección de Datos (EDPB), publicó un borrador de recomendaciones sobre la aplicación del Artículo 25 del RGPD en el sistema de privacidad incorporado. Esta versión no es definitiva, EDPB acepta comentarios de cualquier parte interesada hasta el 16 de enero de 2020, después de lo cual, teniendo en cuenta dichos comentarios, publica la versión final de las recomendaciones. Las recomendaciones no tienen fuerza de ley, pero a pesar de su naturaleza no normativa, los reguladores de protección de datos en los países y compañías de la UE las siguen.

Los siguientes son los puntos principales de estas recomendaciones que ayudarán a interpretar y comprender correctamente los requisitos del artículo 25 del RGPD.

1. Privacidad por diseño

• Los supervisores pueden mostrar la efectividad de las medidas destinadas a cumplir con el requisito de confidencialidad incorporada utilizando indicadores de desempeño . Por ejemplo, indicadores cuantitativos: una disminución en el número de quejas, una disminución en el tiempo de respuesta a las solicitudes de confidencialidad de los usuarios. O indicadores de calidad: análisis de desempeño, uso de escalas de calificación u opiniones de expertos.
• Las medidas técnicas u organizativas pueden ser tanto el uso de tecnologías integradas avanzadas como la capacitación básica para los empleados, por ejemplo, cómo manejar los datos de los interesados ​​(usuarios). Es decir, no es necesario tomar medidas complejas; lo principal es que las medidas funcionen de manera efectiva.
• Las medidas pueden incluir: proporcionar a los interesados ​​la oportunidad de intervenir en el procesamiento de sus datos, un recordatorio sobre el almacenamiento de datos en la base de datos, la introducción de un sistema de detección de malware y la higiene cibernética básica.
• Un ejemplo de una medida técnica: seudonimización de datos (ver artículo 4 (5) GDPR). Esto es, en particular, hashing y encriptación.
• Aunque no es necesario utilizar tecnologías avanzadas, las medidas deben tener en cuenta el desarrollo de tecnologías ( 'estado del arte' es el nivel tecnológico de un servicio o producto que existe en el mercado y es más efectivo para lograr sus objetivos). Esto significa que los controladores deben estar al tanto de los últimos avances tecnológicos, así como también tomar las medidas organizativas apropiadas. La falta de medidas organizativas adecuadas puede reducir o incluso socavar por completo la efectividad de la medida técnica seleccionada. Por lo tanto, el uso de software de seguridad con vulnerabilidades conocidas probablemente no se considere una medida que tenga en cuenta las tecnologías modernas.
• El artículo 25 (1) del RGPD en discusión establece que el costo de implementación debe tenerse en cuenta al elegir las medidas que se aplicarán. Las recomendaciones aclaran que dichos costos deben considerarse en un sentido amplio. Por lo tanto, estamos hablando no solo de costos en efectivo, sino también de costos de tiempo, recursos humanos. "El incumplimiento de los costos no justifica el incumplimiento de los requisitos del RGPD". Sin embargo, EDPB también advierte que el alto costo de la tecnología no significa que sea necesariamente efectiva. De hecho, en algunos casos, las soluciones simples de bajo costo pueden ser más efectivas como resultado que las tecnologías costosas.

2. Privacidad por defecto

• Los términos "medidas técnicas y organizativas" deben considerarse solo dentro del marco del principio de minimización de datos, como en la privacidad por diseño.
• "Por defecto" en informática significa un valor preseleccionado, un parámetro configurable que se asigna a un programa o dispositivo informático. Por lo tanto, según EDPB, la "protección de datos predeterminada" es la tarea del controlador para establecer ajustes preestablecidos . Tales ajustes previos deberían, en particular, regular la cantidad de datos personales recopilados, el grado de su procesamiento, la vida útil y la disponibilidad. Si no hubiera una configuración predeterminada, los interesados ​​se sobrecargarían con varias opciones que no pueden analizar y comprender.
• Las medidas organizativas también deben estar dirigidas a garantizar que desde el principio se procese la cantidad mínima de datos personales o solo los datos personales necesarios para operaciones y propósitos específicos.
• Dichas medidas deberían minimizar el procesamiento innecesario de datos personales, restringir el acceso a los datos personales a las personas relevantes.

3. La responsabilidad del cumplimiento de la privacidad por diseño, por defecto recae en el controlador de datos, pero EDPB enfatiza que los procesadores y proveedores también juegan un papel importante en el cumplimiento de los principios . Los controladores a menudo transmiten datos para su procesamiento a un procesador (por ejemplo, un proveedor de servicios en la nube) o adquieren soluciones tecnológicas para el procesamiento de datos (por ejemplo, un dispositivo que permite procesar datos biométricos). Estas personas pueden identificar mejor los riesgos asociados con los datos personales como parte del uso de un servicio. Los procesadores y proveedores deben usar su experiencia para desarrollar productos que incorporen privacidad por diseño, por defecto. Ejemplos de decisiones del proveedor: eliminación automática de datos después de un cierto tiempo o seudonimización inmediata de datos después de la recopilación.

4. La certificación de conformidad con el Artículo 42 del RGPD también se puede utilizar para demostrar el cumplimiento de la privacidad por diseño y la privacidad por defecto, y proporcionar una ventaja competitiva en el mercado de proveedores. Es importante agregar que existen recomendaciones de certificación para los artículos 42, 43 del GDPR, también desarrollados por el EDPB.

5. Las recomendaciones también proporcionan ejemplos prácticos sobre los elementos importantes de la privacidad por diseño, privacidad por defecto: transparencia, legalidad, integridad, limitación de propósito, precisión, limitación de almacenamiento, integridad y confidencialidad.

Por ejemplo, para el elemento de "precisión", EDPB presentó la siguiente situación y su posible solución:

El controlador es una institución médica que busca formas de garantizar la integridad y la precisión de los datos personales en sus registros de clientes. En situaciones donde dos personas llegan a la institución al mismo tiempo y reciben el mismo tratamiento, existe el riesgo de error si el único parámetro que las distingue es el nombre. Para garantizar la precisión, el controlador necesita un identificador único para cada persona y, por lo tanto, más información que solo el nombre del cliente. La institución utiliza varios sistemas que contienen información personal de los clientes y debe garantizar que la información relacionada con el cliente sea correcta, precisa y coherente en todos los sistemas en un momento dado. Se identificaron varios riesgos que podrían surgir si la información cambiara en un sistema, pero no en otro. Para reducir los riesgos, el controlador decide utilizar un método de hash para garantizar la integridad de los datos en los registros de tratamiento. Se crean firmas hash permanentes para los registros de tratamiento y el empleado asociado para que cualquier cambio pueda ser reconocido, correlacionado y rastreado si es necesario.

Como se mencionó anteriormente, esta no es la versión final de las recomendaciones, por lo que debe seguir la actualización teniendo en cuenta los comentarios de las partes interesadas.

Gran multa según el art. 25 GDPR

El 30 de octubre de 2019, la empresa inmobiliaria alemana Deutsche Wohnen SE recibió una multa de € 14.5 millones por almacenamiento incorrecto de datos solo con referencia al Artículo 25 (1) GDPR. La compañía utilizó un sistema de archivo para almacenar los datos personales de los inquilinos, que no permitían eliminar datos que ya no eran necesarios. Los datos personales de los inquilinos se almacenaron sin verificar la validez de su almacenamiento adicional. Por lo tanto, fue posible acceder a datos personales que se almacenaron durante años, ya que ya no cumplían el propósito de su recopilación inicial. Se almacenó información sobre la situación personal y financiera de los inquilinos, certificados salariales, formularios de divulgación, extractos de contratos de empleo y capacitación, datos sobre impuestos, seguridad social y seguro médico, así como extractos bancarios. .

La pena máxima por violación del artículo 25 (1) del GDPR es de 10 millones de euros o el 2% de la facturación mundial. Se calculó una multa de € 14.5 millones utilizando las pautas publicadas previamente por BBDI (Autoridad Alemana de Protección de Datos, Berliner Beauftragte für Datenschutz und Informationsfreiheit).

En este sitio (GDPR Enforcement Tracker) puede monitorear las multas y sanciones que se imponen en la UE bajo el GDPR.

Conclusión

El artículo 25 del RGPD impone una carga significativa al proporcionar protección de datos personales y privacidad incorporados por defecto. Para cumplir con los requisitos de esta norma y evitar grandes multas, los controladores deben analizar cómo, dónde y cuándo procesan la información, y garantizar que se tenga en cuenta el derecho a la privacidad en cada etapa del procesamiento, comenzando con el diseño de un producto / servicio, un nuevo proceso comercial. Esto debe incluir lo siguiente:

• El desarrollo de un programa de confidencialidad para toda la organización, que determina dónde y cuándo se procesan los datos personales, y garantiza que cada departamento que procesa datos personales tenga un plan de protección de datos personales.
• Un plan de protección de datos personales que debe ser parte de cualquier proceso comercial nuevo que pueda incluir el procesamiento de datos personales.
• Minimización del procesamiento de datos personales (procesando solo aquellos datos personales que son necesarios para alcanzar los objetivos de procesamiento).
• Seudonimizar o cifrar datos cuando sea posible.
• Garantizar la transparencia de cualquier procesamiento de datos personales para los interesados ​​e informar a los interesados ​​sobre cómo se utilizan sus datos personales.
• .
• , , .
• EDPB.