Desarrolla tus proyectos pensando en la privacidad
El nuevo reglamento europeo de protección de datos, impone la privacidad por defecto en los proyectos empresariales
Publicado el viernes, 11 de noviembre de 2016 a las 09:36
El nuevo reglamento europeo de protección de datos, aprobado el pasado mes de abril, incluye entre su articulado un concepto que, bajo mi punto de vista, es más importante de lo que parece.
Se trata en concreto del artículo 25 de dicho reglamento que regula la Protección de Datos desde el Diseño y por Defecto. En sus primeros apartados, ese artículo dice:
“Artículo 25
Protección de datos desde el diseño y por defecto
1. Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.
2. El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.…”
Es decir, se regula desde el mismo momento de la concepción de los proyectos que requieran tratamiento de datos personales, que la privacidad ha de estar presente incluso en el diseño del modelo de negocio. ¿Qué implica esto? Fundamentalmente, varias cosas:
-
Hemos de empezar a pensar en los datos y en la importancia que tienen desde el momento en que pensamos en llevar a cabo una idea de negocio.
-
Que los responsables de los proyectos deberán asumir que toda gestión de datos personales conlleva una serie de riesgos y tendrán que establecer de inicio medidas de seguridad para limitarlos.
-
La recogida de datos personales tendrá que llevarse a cabo pensando en los mínimos datos necesarios para que el negocio funcione. No tiene sentido recoger más datos de los estrictamente necesarios, pues a más datos, más riesgos.
-
Todos los requisitos que el Reglamento prevé, tienen que estar cubiertos desde el mismo origen del proyecto, incluidas las medidas de seguridad técnicas y organizativas.
-
Se deberá pensar en cual será el plazo de tiempo durante el que estos datos nos van a ser útiles, es decir, cuanto tiempo los almacenaremos.
-
Tendremos que tener en cuenta quién podrá tener acceso a ellos. Una vez concretados que datos necesitamos, como y donde los vamos a gestionar, el paso lógico es saber quién puede acceder a esos datos.
Como se puede ver, el nuevo Reglamento busca poner orden en una situación que se daba de forma generalizada: monto la empresa, recabo datos, hago negocio y luego cuando a alguien cae en la cuenta de que había una ley que regulaba “nosequé” de los datos personales, pongo parches y soluciones parciales a un sistema que tiene ya muchos problemas.
Pensar en la información y en los datos necesarios, desde el mismo momento de la creación de nuestro proyecto, nos permitirá reflexionar sobre como vamos a gestionar de la forma más eficiente esa información y sobre todo, a conocer el valor que tiene.