La protección de datos funciona mejor cuando la tienes en cuenta desde el principio, no cuando intentas añadirla después. Esa es la esencia de dos obligaciones del RGPD: la protección de datos desde el diseño (privacy by design) y por defecto (privacy by default). Suenan técnicas, pero afectan a quien participa en dar forma a un nuevo proceso, formulario o sistema.
¿Qué significan ambos conceptos?
La protección desde el diseño significa que incorporas la privacidad desde el primer diseño de un producto, servicio o proceso. Decides de antemano qué datos son realmente necesarios y cómo protegerlos, en lugar de tapar agujeros después.
La protección por defecto significa que la configuración por defecto es la más respetuosa con la privacidad. Un nuevo usuario debería estar ya bien protegido sin cambiar nada, por ejemplo porque un perfil no es público por defecto.
Un ejemplo concreto
Imagina que diseñas un nuevo formulario de inscripción. La protección desde el diseño es preguntarte qué campos son realmente necesarios y eliminar los superfluos. La protección por defecto es una casilla de boletín desmarcada por defecto, no marcada.
La misma mentalidad se aplica a una carpeta compartida (acceso restringido por defecto), una nueva aplicación (solo los permisos necesarios) o una encuesta (anónima donde se pueda).
Por qué es inteligente, no solo obligatorio
Incorporar la privacidad de antemano es más barato y eficaz que repararla después. Tapar un agujero en un sistema en producción cuesta más tiempo, dinero y riesgo que una buena decisión de diseño.
Además evita brechas: los datos que deliberadamente no recoges, o que están bien protegidos por defecto, no pueden filtrarse sin más. Es minimización de datos y seguridad unidas en el diseño.
Qué puedes hacer tú
Aun sin ser desarrollador, puedes contribuir:
- En cada nuevo proceso, pregunta: ¿qué datos necesitamos de verdad?
- Elige la configuración por defecto respetuosa con la privacidad, aunque la opción menos segura sea más fácil.
- Involucra pronto a la persona responsable de privacidad, no justo antes de la puesta en marcha.
- Piensa en una evaluación de impacto (EIPD) para tratamientos de alto riesgo.
Cómo integrarlo en tu programa de concienciación
Es material para quienes dan forma a procesos y proyectos; segmenta hacia ese público.
- Orienta este módulo a jefes de proyecto, propietarios de procesos y compras.
- Incorpora la pregunta '¿qué datos necesitamos de verdad?' como parte fija del inicio de cada proyecto.
- Vincúlalo a tu proceso de EIPD e involucra pronto a la persona responsable de privacidad.
- Ofrece profundización en nuestro catálogo de cursos.
Artículos relacionados
- La minimización de datos en la práctica: recoge solo lo necesario
- Implicaciones para la privacidad de las plataformas impulsadas por IA
FAQ
¿Qué es la protección de datos desde el diseño?
Incorporas la privacidad desde el primer diseño de un producto, servicio o proceso, en lugar de tapar agujeros después. Está previsto en el artículo 25 del RGPD.
¿Qué es la protección por defecto?
La configuración por defecto es la opción más respetuosa con la privacidad. Un usuario está ya bien protegido sin cambiar nada, por ejemplo porque un perfil no es público por defecto.
¿Esto solo concierne a los informáticos?
No. Quien participa en dar forma a un formulario, proceso o sistema puede contribuir: pidiendo menos datos y eligiendo la configuración por defecto respetuosa con la privacidad. La técnica sigue a esas decisiones.
¿Cuándo hace falta una EIPD?
Para tratamientos con un riesgo alto para los derechos y libertades de las personas, como la elaboración de perfiles a gran escala. La EIPD forma parte de la protección desde el diseño: evalúas el riesgo antes de empezar.
¿Por qué de antemano y no después?
Incorporar la privacidad de antemano es más barato, más eficaz y menos arriesgado que repararla después. Los datos que no recoges, o que están protegidos por defecto, no pueden filtrarse sin más.