El futuro del RGPD

A medida que llegamos al final de nuestro largo viaje por el mundo de la protección de datos, tenemos que considerar un aspecto final: la privacidad desde el punto de vista del diseño. La legislación quiere que todos los responsables del tratamiento de datos tengan en cuenta el derecho a la privacidad a la hora de planificar las operaciones de tratamiento de datos personales en el futuro.

De ese modo, los creadores del RGPD asumen que esa gestión de la privacidad se refleje en lo que hagamos. Si lo hacemos, los requisitos legales se convertirán en un aspecto natural y evidente en la construcción de una aplicación o en la configuración de un sitio web o, igualmente, en la organización de una encuesta o de la realización de un estudio científico.

Es mejor no recopilar o procesar datos personales excepto cuando sea necesario; e incluso cuando tenemos una buena razón para recopilar y procesar tales datos, necesitamos limitar las operaciones de procesamiento a las estrictamente necesarias. Por lo tanto, todas las nuevas iniciativas en esta materia requieren una reflexión sobre qué es lo que debemos hacer.

  • Aunque en el pasado se consideraba aconsejable añadir más atributos o campos a un fichero al realizar un análisis para una nueva aplicación o al diseñar una base de datos (partiendo de la idea de que podrían resultar útiles en el futuro), hoy en día es más importante que la cantidad de datos se reduzca al mínimo y se adapte a la finalidad específica para la que se procesarán los datos.
  • Es aconsejable incluir información en una base de datos para indicar cuándo un dato específico está desactualizado u obsoleto, o simplemente cuándo debemos dejar de conservarlo. Esto facilita la eliminación sistemática de datos cuando ya no son necesarios, o cuando ya no podemos garantizar la exactitud de los mismos.

En el futuro, las solicitudes deberían contener una funcionalidad que garantice los derechos del interesado y facilite su ejercicio en la práctica.

  • Siempre que en una solicitud se pidan datos personales a los interesados, debemos facilitar al mismo tiempo información sobre la finalidad para la que se solicitan, la duración del tratamiento de esos datos, los riesgos que entraña y las medidas de protección. Por ejemplo, una aplicación para el smartphone que registra el rendimiento deportivo debe proporcionar al usuario información adecuada sobre los datos que recopila y almacena en segundo plano, y comunicar qué pretende hacer su creador con esos datos antes de que el usuario utilice la aplicación por primera vez. Es conveniente que se incorpore este aspecto en las interfaces de usuario de las aplicaciones.
  • Del mismo modo, todo aquel que intente recopilar datos a través de un sitio web debe ofrecer inmediatamente información básica y clara sobre las operaciones de tratamiento de datos. Dicha información debe proporcionarse en el momento oportuno. Además, en la medida de lo posible, se deben establecer distinciones entre los diferentes propósitos potenciales.
  • Las futuras aplicaciones también podrían incluir una funcionalidad que permita a los interesados visualizar sus datos y, si la situación lo permite, rectificarlos, completarlos o suprimirlos. Por supuesto, esto sólo es posible si los derechos del interesado no entran en conflicto con otros intereses.

La privacidad por diseño también significa que, cuando se diseña una aplicación, se consideren desde el principio las mejores prácticas para proteger los datos.

  • Por ejemplo, siempre que sea posible, puede crear la aplicación de manera que todo esté cifrado. Una web puede utilizar protocolos de cifrado, como puede ser https, y los datos pueden intercambiarse mediante archivos cifrados enviados a través de canales también cifrados. Si los datos deben conservarse durante algún tiempo después de una operación de tratamiento, también pueden conservarse en un archivo cifrado, por ejemplo, en un archivo digital seguro. Todas estas medidas reducen el riesgo de que los datos se hagan públicos o caigan en las manos equivocadas. Es importante tomar estas medidas desde el comienzo de la fase de diseño, ya que, además, será más barato que hacer los cambios más adelante.
  • Otra medida que también puede considerarse en algunas circunstancias es la seudonimización de los datos. Esto significa que eliminamos las referencias directas a individuos específicos de los archivos. A través de esta medida se reduce el riesgo de infracciones en caso de que se produzca un percance en relación con un expediente.

Todo esto nos lleva a hablar de la privacidad por defecto; lo que significa que cuando una aplicación permite al usuario elegir entre hacer públicos o no los datos, compartirlos con otros o ponerlos a disposición de determinados tipos de operaciones de procesamiento o futuras comunicaciones, la configuración estándar de esa aplicación debe ser siempre la más segura. Estos ajustes sólo se modifican si el usuario realiza un procedimiento de forma activa (por ejemplo, marcando una casilla o haciendo clic en un botón para indicar su consentimiento).

Como puedes ver, se puede garantizar la máxima privacidad de los datos utilizando todo tipo de medidas, que el RGPD anima a todos a aplicar en todo momento y en su mayor extensión. La privacidad de los datos no es un tema a olvidar o del que se pueda prescindir en un proyecto actual. Todo lo contrario. Es una cuestión que debe preocuparnos.

El futuro mostrará cómo las grandes y pequeñas empresas, los sujetos individuales de los datos (que pueden ser incitados a actuar por las organizaciones de consumidores o los sindicatos), las autoridades de supervisión y la propia UE se ocuparán del RGPD. No cabe duda de que los tribunales tendrán que ocuparse de algunos litigios complejos. Además, será difícil predecir cuáles serán las respuestas a las muchas preguntas que aún quedan por responder. Sin embargo, una cosa nos queda clara: la privacidad de los datos es algo que hay que tener en cuenta, y lo más probable es que siempre sea así.

Este artículo ha sido extraído de Group Joos.