Ya está disponible la Guía de Privacidad para incluir criterios de protección de datos en el diseño de productos y servicios sanitarios

La Agencia Española de Protección de Datos (AEPD) ha publicado recientemente la Guía de Privacidad para el diseño con el objetivo de proporcionar pautas que faciliten la incorporación de los principios de protección de datos y los requisitos de privacidad a nuevos productos o servicios desde el momento en el que se empiezan a diseñar. La Guía está dirigida a responsables y otros actores que intervienen en el tratamiento de datos personales, tales como proveedores y prestadores de servicios, desarrolladores de productos y aplicaciones o fabricantes de dispositivos.

A pesar de que el concepto de privacidad desde el diseño ya fue aceptado en la 32 Conferencia Internacional de Comisionados de Protección de Datos y Privacidad, es el Reglamento General de Protección de Datos (RGPD) el que le ha conferido la categoría de requisito legal, al incorporar en su artículo 25 la práctica de considerar los requisitos de privacidad desde las primeras etapas del diseño de productos y servicios. El objetivo de la privacidad desde el diseño pretende que la protección de datos esté presente desde el inicio de los nuevos desarrollos y no sea una capa añadida una vez finalizada. Se pretende pues que forme parte integral del producto (hardware o software), sistema, servicio o proceso.

El documento define el concepto y los principios de la privacidad desde el diseño, así como los requisitos que tiene que reunir el producto o servicio para garantizar esta privacidad. Analiza el concepto de ingeniería de privacidad, un proceso que tiene por objeto traducir los principios de privacidad desde el diseño en medidas concretas, tanto en la fase de concepción del producto o servicio como en la de desarrollo. También aborda las diferentes estrategias de diseño de la privacidad, algunas de las cuales están orientadas al tratamiento de datos (minimizar, ocultar, separar y abstraer) mientras que otras están dirigidas a definir procesos para una gestión responsable de los datos personales (informar, controlar, cumplir y demostrar). Así mismo, dedica un apartado a clasificar las tecnologías de privacidad mejorada o PETs (Privacy Enhancing Technologies), entre otros aspectos. Por último, la AEPD pone de manifiesto en la Guía que asegurar la privacidad y establecer un marco que garantice la protección de datos no representa un obstáculo para la innovación sino que ofrece ventajas y oportunidades tanto para las organizaciones como para el mercado y la sociedad en su conjunto. Así mismo, recuerda que la privacidad desde el diseño es una obligación sea como fuere la forma de desarrollo, adquisición o subcontratación del sistema, producto o servicio y no pudiendo delegar completamente la responsabilidad en fabricantes y encargados.

En estos casos, el Delegado de Protección de Datos (DPD) juega un papel fundamental en la implementación de esta estrategia, asesorando al responsable y supervisando el cumplimiento de la normativa de protección de datos dentro de la organización. También resulta efectiva la implementación de modelos de gestión de la privacidad como el propuesto por la reciente norma ISO/IEC 27701:2019 que especifica los requisitos y proporciona orientación para establecer, implementar, mantener y mejorar de manera continúa un sistema de gestión de información de la privacidad (PIMS, PrivacyInformation Management System).

Para más información podéis consultar la Guía Práctica sobre la evaluación de impacto relativa a la protección de datos y la plantilla de evaluación de impacto relativa a la protección de datos en el siguiente enllace