Por Erika Rodriguez, abogada del Departamento de Nuevas Tecnologías de BDO

El constante desarrollo de las tecnologías de la información permite el acceso ilimitado a una serie de recursos, servicios y programas que implican el tratamiento de información de carácter personal. Hoy por hoy las empresas y organizaciones explotan al máximo el potencial de la web 2.0, los servicios cloud computing y otras nuevas tecnologías para optimizar sus servicios y los canales de comunicación con sus clientes, consumidores y usuarios. Sin embargo, la realidad es que estos grandes desarrollos tecnológicos suponen un importante impacto en la privacidad de los individuos que, como se ha visto en infinidad de ocasiones, ha derivado en situaciones de pérdida de datos y accesos no autorizados sancionados con cuantiosas multas sobre todo a compañías del sector de las telecomunicaciones.

La solución está, evidentemente, en la implementación y mantenimiento de controles efectivos para garantizar la seguridad de la información. Pero, ¿Cómo desarrollar sistemas garantes de la privacidad de forma efectiva? La propuesta de regulación de protección de datos a nivel europeo, actualmente en discusión, ha introducido el privacy by design como una nueva estrategia de protección y elemento clave para el control efectivo en el tratamiento de la información personal. La novedad radica en la previsión y análisis del impacto en la privacidad con anterioridad a la implementación de un proceso, programa o servicio de tal manera que desde una fase inicial, no a posteriori, se determinen las medidas y controles de seguridad necesarios para mantener la integridad de la información. Bajo esta tónica, la privacidad sería una constante en todo aquel sistema físico, tecnológico o proceso de negocio que se pretenda adoptar en una organización.

La implementación de sistemas privacy by design, actualmente con gran auge en países anglosajones, si bien es una solución ideal para casar la privacidad con la tecnología, representa todo un reto a nivel práctico. Este nuevo esquema apuesta por la configuración predeterminada de controles en un sistema o proceso para minimizar los riesgos de pérdida de datos y desde una perspectiva que va más allá de los mínimos exigibles por la normativa vigente. Para hacerlo, es necesario evaluar el impacto en la privacidad de los procesos y funcionalidades ofrecidos identificando previamente una serie de aspectos, desde el flujo de los datos tanto interno como externo, los agentes implicados en el tratamiento, hasta la eliminación de la información. El punto es que cada vez más entran en juego desarrollos tecnológicos como la arquitectura orientada a servicios o el cloud computing en los que no queda clara la localización real de los datos y, en consecuencia, el régimen de responsabilidad al que estarán sujetos los agentes involucrados en el servicio, y esto implica que la implantación de una red de protección predeterminada en materia de privacidad resulte aún más compleja.

Otro de los retos que supone la estrategia privacy by design consiste en involucrar a la organización en todos sus niveles. Esto es importante ya que la protección de la privacidad no siempre constituye una prioridad para la organización; en ocasiones tampoco se tienen claras las responsabilidades en torno al tratamiento de la información personal y todo esto deriva en la falta de implementación de políticas adecuadas y efectivas que, desde la cultura organizacional, incentiven el valor de la privacidad. Por tanto, una pieza fundamental para el éxito de este nuevo esquema consiste en la implicación total de las áreas clave dentro de una organización de tal forma que, el modelo de negocio basado en la privacidad, sea liderado desde la administración ejecutiva de la empresa a través de protocolos y políticas de compliance adecuados.

Sin duda, la filosofía de la privacidad desde el diseño representa todo un cambio de paradigma para las organizaciones comúnmente arraigadas a modelos de negocio que por tradición no consideran la privacidad como una premisa. Ante este panorama, resulta necesaria no sólo la implicación de la organización, sino de las autoridades de protección de datos y otros organismos reguladores para respaldar esta propuesta a través del desarrollo de guías y estándares que a nivel práctico permitan incorporar tecnologías garantes de la privacidad y al mismo tiempo asegurar que dichos estándares respondan a las necesidades de las organizaciones, inmersas hoy por hoy, en una era digital en constante cambio.

Publicado en: diariojuridico.com