El 31 de enero de 2023, la Organización Internacional de Normalización (ISO) publicó una nueva norma, la ISO 31700-1:2023, sobre privacidad desde el diseño para bienes y servicios de consumo. La privacidad desde el diseño (PdD) fue introducida como concepto en 1995 por el Comisario de Información y Privacidad de Ontario (Canadá), con el objetivo de que la privacidad se integrara por defecto en los productos, servicios y sistemas.
Hoy en día, la privacidad desde el diseño es un requisito legal en virtud de muchas normas de privacidad importantes en todo el mundo, incluido el Reglamento General de Protección de Datos (RGPD).
¿Cuáles son los principios de la privacidad desde el diseño?
La privacidad desde el diseño tiene siete principios fundamentales que las organizaciones deben tener en cuenta durante el proceso de diseño.
Proactivo, no reactivo; preventivo, no correctivo
En lugar de reaccionar a los riesgos o invasiones de la privacidad cuando se producen, las empresas crearán activamente procesos y procedimientos para evitar que ocurran en primer lugar.
Privacidad por defecto
Al navegar por un sitio web o iniciar sesión en una aplicación o software, la última preocupación del usuario debe ser su privacidad. Privacidad por defecto significa que sus usuarios reciben automáticamente el máximo nivel de protección de datos durante toda su experiencia.
Esto incluye conceptos como la limitación de la recopilación y la minimización de datos, que permiten recopilar y almacenar la cantidad mínima de datos necesaria.
Privacidad integrada en el diseño
La privacidad no debe ser algo que se añada a un producto o servicio después de haberlo diseñado: debe formar parte del proceso de desarrollo, y cada fase del diseño debe tener en cuenta los controles de privacidad del usuario.
Funcionalidad completa: suma positiva, no suma cero
Incorporar la privacidad a la experiencia de usuario de un producto o servicio no es un juego de suma cero. En otras palabras, las prácticas que dan prioridad a la privacidad no tienen por qué ir en detrimento de la experiencia del usuario; de hecho, la mejoran.
Seguridad integral: protección del ciclo de vida
Desde el momento en que su organización recopila los datos del usuario hasta el momento en que se destruyen, una parte fundamental de la PdD es asegurarse de que estos datos están seguros en cada etapa del ciclo de vida de los datos.
Visibilidad y transparencia: manténgalo abierto
Tus usuarios nunca deben saber cómo tratas sus datos. La transparencia conduce a la confianza, y este camino es posible gracias a una documentación y comunicación claras.
Respeto a la privacidad del usuario: centrarse en el usuario
La mejor experiencia de usuario da prioridad a la privacidad y respeta sus intereses. Esto se consigue proporcionándole el control sobre cómo se utilizan sus datos y obteniendo su opinión a lo largo del proceso.
La privacidad desde el diseño en las normativas de todo el mundo
Dado que los principios anteriores constituyen un marco natural que las organizaciones deben seguir para garantizar que la privacidad del usuario forme parte de su modelo empresarial, no es de extrañar que estos principios se hayan incluido en muchas normativas de privacidad importantes de todo el mundo.
Europa – RGPD
El artículo 25 del RGPD se titula “Protección de datos desde el diseño y por defecto” y establece que los responsables del tratamiento deben aplicar “medidas técnicas y organizativas apropiadas” para garantizar la seguridad de los datos y el respeto de los derechos de privacidad. La RGPD del Reino Unido también incluye la misma medida.
EE.UU. – Ley de Protección del Consumidor de California (CCPA), modificada por la Proposición 24
La CCPA, en su versión modificada, hace hincapié en las prácticas de privacidad por diseño, con menciones específicas para que las empresas integren la privacidad en el diseño de sus procesos y sistemas informáticos. Mandatos tales como un enlace claro para que los usuarios opten por no vender o compartir sus datos, una opción para que los usuarios limiten el uso de su información personal sensible, y un enfoque en la minimización de datos, todos apuntan a prácticas de privacidad por diseño.
Brasil – Lei Geral de Protecao de Dados (LGPD)
En Brasil, la LGPD exige a las empresas que diseñen sus procesos y sistemas de datos teniendo en cuenta la privacidad como “configuración por defecto”. También deben ser capaces de demostrar a la ANPD, el organismo de aplicación en Brasil, cómo se ha incorporado la privacidad en el diseño del producto o servicio.
Norma ISO PbD
La nueva norma ISO sobre privacidad desde el diseño consta de dos partes.
- ISO 31700-1:2023: Requisitos de alto nivel para la privacidad desde el diseño
- ISO 31700-2:2023: Casos de uso para ayudar a comprender estos requisitos
Se esbozan tres principios rectores para aprovechar las ventajas de la privacidad desde el diseño.
Capacitación y transparencia
Esto significa promover una mayor adopción del diseño respetuoso con la privacidad, ganarse la confianza de los consumidores y satisfacer su necesidad de privacidad y protección de datos sólidas.
Institucionalización y responsabilidad
Esto significa integrar la perspectiva del consumidor y su compromiso y necesidades de comportamiento en una fase temprana del proceso del ciclo de vida del producto y respetarla en todo momento. Esto promueve la coherencia en las decisiones sobre privacidad del cliente y, por extensión, ayuda a demostrar el compromiso del liderazgo con la privacidad desde el diseño.
Ecosistema y ciclo de vida
El enfoque de la privacidad desde el diseño puede aplicarse a ecosistemas de información más amplios que mezclan tecnologías y organizaciones. Este enfoque holístico tiene en cuenta todas las fases del ciclo de vida del producto y respalda los enfoques iterativos del desarrollo de productos, con la introducción de mejoras mucho después de la fase de diseño inicial.
Basándose en estos principios rectores, la norma se centra en cómo las organizaciones pueden llevar a cabo los pasos que se indican a continuación para poner en práctica la privacidad desde el diseño de forma eficaz.
1. Considerar los diferentes ciclos de vida de la IPI del consumidor y los ciclos de vida del producto/servicio.
Para que los esfuerzos de privacidad desde el diseño tengan éxito, los diseñadores deben tener en cuenta y adaptarse a ambos ciclos de vida.
2. Consultar la norma ISO/IEC 27701 y el marco de privacidad del NIST.
Las organizaciones deben seguir un sistema de gestión de la información sobre privacidad.
3. Diseñar capacidades que permitan a los consumidores ejercer sus derechos de privacidad.
Determinar las preferencias de privacidad de los consumidores y darles control y elección (por ejemplo, a través de un centro de preferencias, plataforma de gestión del consentimiento).
4. Garantizar la responsabilidad de la privacidad desde el diseño.
Asegúrate de formular las siguientes preguntas en tu empresa.
¿Está la privacidad desde el diseño distribuida con precisión dentro de la organización?
¿Están representadas las competencias clave?
¿Existen suficientes prácticas de concienciación, intercambio de conocimientos y formación sobre los elementos operativos de la privacidad desde el diseño?
5. Establecer una comunicación transparente y actualizada con los consumidores.
Asegúrate de que tus consumidores saben que pueden configurar los parámetros de privacidad según sus preferencias. La norma también indica que las organizaciones deben ser conscientes de la diversidad de su población de consumidores. Esto significa que los diferentes grupos de edad, los niveles de alfabetización tecnológica y el acceso a la tecnología deben tenerse en cuenta y reflejarse en el diseño del producto/servicio, así como en la documentación y las comunicaciones relacionadas.
6. Realizar Evaluaciones de Impacto a la Privacidad s cuando sea necesario.
Esto incluye tanto una herramienta de privacidad desde el diseño como la gestión de los riesgos para la privacidad.
7. Integrar los controles de privacidad en todas las operaciones de la empresa y en el ciclo de vida del producto.
La norma explica cómo conseguirlo para ayudar a su organización a prepararse para el éxito de la privacidad desde el diseño.
Aparte de estas medidas centradas en la privacidad desde el diseño que cubre principalmente la norma ISO, también aborda otros requisitos que suelen cubrirse como obligaciones más amplias de cumplimiento de la privacidad, incluida la gestión de proveedores, el diseño de resiliencia de ciberseguridad y la comunicación de las violaciones de datos de IPI.
Al abordar la privacidad desde el diseño, la norma no sólo menciona la posibilidad de graves consecuencias para un individuo en caso de que se pongan en peligro sus datos personales, sino también el daño que la consiguiente pérdida de confianza tendrá en la organización.
Cómo puede ayudar OneTrust
La implantación de la privacidad por diseño en su organización puede parecer una tarea abrumadora al principio.
OneTrust puede ayudar a tu organización a integrar la privacidad desde el diseño en sus procesos consolidando la información de las partes interesadas internas y externas para proporcionar una visión completa de cómo se recopilan los datos, la finalidad para la que se utilizan, dónde se encuentran los datos, los riesgos potenciales y qué protecciones existen. Los usuarios pueden evaluar, rastrear e informar sobre el riesgo para la privacidad en todos los activos, proveedores, actividades de procesamiento para proyectos o productos.
Implementa nuestra plantilla Privacidad desde el diseño en herramientas empresariales como Jira para que las partes interesadas puedan aportar información técnica y contextual cuando sea más relevante, con OneTrust PIA y DPIA Automation. Con los análisis en tiempo real, puedes demostrar el cumplimiento de las normativas de privacidad al tiempo que demuestras el valor de tu programa de privacidad a las partes interesadas pertinentes.
No te pierdas el seminario web: Evaluaciones de impacto a la privacidad (PIA)
Obtén más información sobre cómo OneTrust puede ayudarle en el camino hacia la privacidad por diseño con una demostración gratuita hoy mismo.