Ja està disponible la Guia de Privacitat de l'Agència Espanyola de Protecció de Dades

L’Agència Espanyola de Protecció de Dades (AEPD) ha publicat recentment la Guia de Privacitat des del disseny amb l’objectiu de proporcionar pautes que facilitin la incorporació dels principis de protecció de dades i els requisits de privacitat a nous productes o serveis des del moment en el qual comencen a dissenyar-se. La Guia està dirigida a responsables i altres actors que intervenen en el tractament de dades personals, tals com proveïdors i prestadors de serveis, desenvolupadors de productes i aplicacions o fabricants de dispositius.

Tot i que el concepte de privacitat des del disseny ja va ser acceptat en la 32a Conferència Internacional de Comissionats de Protecció de Dades i Privacitat, és el Reglament General de Protecció de Dades (RGPD) el que li ha conferit la categoria de requisit legal, en incorporar en el seu article 25 la pràctica de considerar els requisits de privacitat des de les primeres etapes del disseny de productes i serveis. L’objectiu de la privacitat des del disseny, es que la protecció de dades estigui present des del inicis dels nous desenvolupaments i no sigui una capa afegida un cop finalitzat, es pretén així que formi part integral del producte (maquinari o programari), sistema, servei o procés.

El document defineix el concepte i els principis de la privacitat des del disseny, així com els requisits que ha de reunir el producte o servei per a garantir aquesta privacitat, analitza el concepte d’enginyeria de privacitat, un procés que té per objecte traduir els principis de privacitat des del disseny en mesures concretes, tant en la fase de concepció del producte o servei com en la de desenvolupament. També aborda les diferents estratègies de disseny de la privacitat, algunes de les quals estan orientades al tractament de dades (minimitzar, ocultar, separar i abstreure) mentre que unes altres estan dirigides a definir processos per a una gestió responsable de les dades personals (informar, controlar, complir i demostrar). Així mateix, dedica un apartat a classificar les tecnologies de privacitat millorada o PETS (Privacy Enhancing Technologies), entre altres aspectes. Per últim, l’AEPD posa de manifest a la Guia que, assegurar la privacitat i establir un marc que garanteixi la protecció de dades no representa un obstacle per a la innovació, sinó que ofereix avantatges i oportunitats tant per a les organitzacions com per al mercat i la societat en el seu conjunt. Així mateix, recorda que la privacitat des del disseny és una obligació del responsable sigui com sigui la forma de desenvolupament, adquisició o subcontractació del sistema, producte o servei, no podent delegar completament la responsabilitat en fabricants i encarregats.

En aquests casos, el Delegat de Protecció de dades (DPD) juga un paper fonamental en la implementació d’aquesta estratègia, al assessorar al responsable i supervisar el compliment de la normativa de protecció de dades dins de la organització. També resulta efectiva la implementació de models de gestió de la privacitat com el proposat per la recent norma ISO/IEC 27701:2019 que especifica els requisits i proporciona orientació per establir, implementar, mantenir i millorar de manera continua un sistema de gestió d’informació de la privacitat (PIMS, Privacy Information Management System).

Per a més informació podeu consultar la Guia pràctica sobre l’avaluació d’impacte relativa a la protecció de dades i la plantilla d’avaluació d’impacte relativa a la protecció de dades en el següent enllaç