La GDPR, General Data Protection Regulation
GDPR son las siglas de “General Data Protection Regulation” y nace en abril de 2016 en el Marco de la Unión Europea. Dicha es de obligado cumplimiento y su fecha límite es mayo de 2018. A su vez, en España, la agencia española de protección de datos está supervisando su cumplimiento y establece de puente con el Marco Europeo. En España no es extraño el hablar de Protección de Datos, tenemos anteriores marcos de referencia como la “LOPD” o la “LSSI”. Ambas quedan derogadas a favor de la GDPR.
La Regulación es compleja, no se puede describir de otra manera, si bien es cierto el coste de su incumplimiento es todavía más complejo. Pudiendo llegar a multas de 20 millones de euros o el 4% del volúmen de negocio. Hay muchos informes que dicen que un ajustado 50% de las empresas creen estarán listas para poder aplicar dicha regulación.
Dicha regulación contempla, por ejemplo, el procesamiento de datos, de cualquier actividad, que traten con recolección, almacenamiento, edición, archivo, borrado y otros tipos de datos. Ya sean Tipos de datos personales o sensibles. En este caso desaparecen los tres niveles de datos, quedándose es datos “normales” o “sensibles”.
El espíritu de la regulación viene a establecer la privacidad de los datos como un derecho fundamental y su punto de partida o principal objetivo es almacenar la mínima cantidad de datos personales para así mitigar riesgos. No hace falta decir que su foco global es tecnológico, ya que no se podrá cumplir de otra manera con la GDPR.
Hagamos un resúmen de sus principales principios y/o premisas:
- Procesamiento lícito, justo y transparente, para ello se deberán tener motivos válidos y claro, como a la vez, explícitos para poder procesar datos personales.
- Limitación del objeto del tratamiento del dato, dichos datos personales deberán tener muy bien identificada la finalidad de la recolecta y, solo se podrán procesar para dicha finalidad.
- Consentimiento expreso, como decíamos, se deberá haber obtenido un consetimiento explícito de los datos mediante una manifestación inequívoca del propietario de los mismos.
- No más de lo necesario, el conjunto de los datos personales procesados deberan ceñirse a lo estríctamente especificado a lo necesario para su procesado. Es decir, para nada más.
- Retención de datos controlada, solo podrán retenerse los datos durante el tiempo necesario para el objetivo principal, no más de lo necesario y tan específico como sea posible. Si no se puede ser específico se tendrá que proveer de criterios objetivos para poder definir cuando se podrán bloquear o borrar los mismos.
- Integridad y confidencialidad, en todo momento debe poder garantizarse la integridad de los datos de carácter personal incluyendo la protección ante tratamientos que no estén expresamente autorizados.
Por encima de los puntos anteriormente comentados, hay tres principios todavía más básicos, seguramente no aplican todos; ya que depende mucho del modelo de negocio, son:
- Derecho a la portabilidad de datos, en caso de cambios de proveedores y/o de servicios, se deberá disponer a las partes, sea entidad jurídica o no, de los datos recolectados para que estos puedan cederlo a un tercero, si procede.
- Derecho al olvido o cancelación, en caso de petición, se deberá poder eliminar la información personal almacenada o procesada.
- Notificadión de brechas de seguridad, en un plazo no superior a 72 horas se deberá comunicar la brecha de seguridad a los usuarios afectados y a la administración competente. En caso que durante éste período de tiempo se hayan podido subsanar las brechas de seguridad, podrá no reportarse al usuario pero si a la administración competente.
Privacy by Design
El concepto de “Privacy by Design nace cuando la Doctora Ann Cavoukian desarrolló su concepto y de esto ya hace veinte años.
Concepto
La Doctora Cavoukian propone superar la actual consideración de la privacidad como mero cumplimiento de la legalidad o “compliance”, como un módulo que hay que añadir a nuestro sistema, de modo que “cumpla las formas”, pero con el menor perjuicio posible de nuestros auténticos objetivos.
En realidad, el concepto de privacidad según la Doctora Cavoukian, se refiere a la necesidad de que las personas tengan control sobre la recogida, uso y divulgación de sus datos personales. A su vez, la relación entre la privacidad y las nuevas tecnologías se plantea en forma de falsos dilemas o dicotomías, entre los que hay que elegir una sola:
- privacidad o seguridad,
- privacidad o funcionalidad,
- privacidad o beneficio empresarial.
El Privacy by Designo, pretende llevar a nosotros un nuevo paradigma llamado a cambiar para siempre las nuevas tecnologías, devolviendo al usuario el control sobre su privacidad, y restaurando su confianza en las empresas privadas e instituciones públicas que tratan sus datos. Al menos en aquellas que implementen el estándar.
Design-Thinking
La Doctora Cavoukian, también, propone extender a la privacidad el mismo planteamiento de “Design-Thinking” que ha dado, en parte, lugar a la revolución tecnológica actual. Con el claro objetivo de realizar una revisión del contexto desde un planteamiento integral y transversal en el que nada se debe dar por sentado.
Bajo la nueva perspectiva, la privacidad debe protegerse por defecto y desde su mismo diseño en cualquier punto:
- tecnología informática,
- modelo organizativo,
- arquitectura física,
- ecosistema informático conectado,
- modelos de gobierno o gobernanza.
Atención, claro está, siempre que estos estén llamados a gestionar o entrar en contacto con datos personales.
Fundamentos del Privacy by Design
Por ello podemos decir que el concepto de Privacy by Design tiene siete principios fundamentales que son:
- Protección Preventiva y Proactiva.
- Privacidad “por Defecto”
- Privacidad integrada en el Diseño
- Funcionalidad Plena “Win-Win” en lugar de “Suma cero”
- Protección durante todo el Ciclo Vital: “End to End”
- Visibilidad y Transparencia: “Trust but Verify”.
- Respeto y Empoderamiento del Usuario. El Usuario en el Centro.
Podemos resumir los Fundamentos en tres grandes aspectos, como son: la proactividad, el por defecto y en el ADN. Veamos un poco más claramente estos.
Cualquier tecnología informática, actividad empresarial o infraestructura en red destinada a lidiar con datos personales debe ser concebida y diseñada desde cero identificando a priori los posibles riesgos que pueda suponer para la privacidad de esos datos, y minimizando esos riesgos antes de que puedan concretarse en daños, antes incluso de que el sistema o tecnología llegue a entrar en funcionamiento.
Como cambio de paradgima que es, debemos abandonar pues el reaccionar, subsanar o paliar los daños que hayan llegado a producirse, sino, debemos prevenirlos, sea identificando las debilidades de los sistemas o aplicaciones para neutralizarlos o minimizar su riesgo antes de que esos riesgos se concreten en daños.
En el paper de la Doctora Cavoukian podemos leer esta afirmación:
“Un solo diseñador no puede conseguir que la privacidad reine en una organización; una sola empresa no puede conseguir que la privacidad reine en una industria.”
Por lo tanto podemos casi afirmar lo siguiente:
- La implementación de la Privacidad debe venir “casi” impuesta desde el escalón de poder más alto.
- Se debe implementar y asegurarse que se concreta en acciones y que no queda sólo en políticas.
- Es totalmente imprescindible asignar la responsabilidad sobre ese diseño, aplicación y cumplimiento a una o varias personas determinadas (es una empresa muy grande).
- Se deberan implementar cuantos procedimientos sean necesarios para la detección temprana de diseños, prácticas y resultados deficientes en materia de privacidad, y se auditará la efectividad de su funcionamiento.
- Se deberá desarrollar preventivamente un procedimiento para gestionar contingencias “data breach”.
Por Defecto
Partiremos con la premisa inicial que los datos personales estarán protegidos por defecto en cualquiera de nuestros sistemas y, por lo tanto, la configuración por defecto será la más segura posible en términos de privacidad.
Acogiéndonos a los principios más básicos recogidos en el paper de la Doctora, no se deben recoger, almacenar ni tratar datos personales, salvo que sea imprescindible para la finalidad perseguida. Cumpliendo así una de sus principales exigencias, la “minimización de datos”.
Estos datos, anteriormente recogidos con una finalidad muy clara y concisa, no podrán ser alterados, perdidos, robados, hackeados o utilizados para finalidades secundarias no autorizadas por sus titulares. Por lo tanto, estamos delante de una série de exigencias, que son:
- Especificación de las finalidades,
- Minimización del perímetro de la información captada,
- Identificabilidad de los datos, así como de su uso, conservación y revelación.
En el ADN
Si tomamos esta afirmación de la Doctora: “debe estar integrada en el diseño”, está más que claro que el principio como tal estará embebido en el ADN de los sistemas informáticos y de las prácticas empresariales. Por lo tanto es un elemento “core”, nuclear, pero sin perjuicio de la funcionalidad del sistema.
Ahora bien, se puede leer entre lineas que este debe ser un modelo totalmente “win-win” (debe ser así). Hace un momento hemos comentado el concepto, todavía más abstracto de “Design-Thinking”, pues bien, la confirmación nos viene cuando el Privacy by Design exige un total acercamiento multidisciplinar e integral y eminentemente creativo. No podemos obviar que en este gran impaso que exige la implantación de la GDPR será totalmente necesario y preciso innovar para poder reinventar, muchas veces nos va a pedir hacerlo desde cero.
El diseño que nos va a permitir llegar a nuestro objetivo, debe ser demostrable, documentado y publicado, como ponerlo a disposición de los usuarios y/o titulares de los datos afectados. Esto nos dice que:
- Los estándares y políticas que apliquemos deben ser susceptibles de revisión y auditoría externa,
- Deberemos ejecutar evaluaciones de impacto y análisis de riesgo en términos de privacidad. Los resultados serán publicados.
- Deberá ser demostrable la minimización del impacto en términos de privacidad.
Por último, es más que evidente que todo este enfoque no puede afectar sólo a los departamentos de tecnología.
Fuentes de Datos recomendables
Hay que decir que la GDPR está enmarcada en un conjunto de estándares como por ejemplo son:
- ISOs 20000, 27000 Series, 31000 y 38500
- PRINCE2
- ITIL v3 2011
- TOGAF
Algunas fuentes de datos recomendables: