Una forma cada vez más habitual de diferenciar en el mercado los diferentes productos o servicios es la gestión que se hace de la privacidad de los usuarios. Y es que las empresas se han dado cuenta de que, además de una obligación legal, es una ventaja competitiva.
No hay que olvidar que la privacidad no debe ser una añadido al producto, sino que debe formar parte desde las primeras fases de creación de esos productos o servicios.
El artículo 25 del RGPD hace referencia esto, indicando:
“1. Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.
2. El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas física”
Por tanto, desde el inicio de planificación de cualquier servicio que vaya a suponer el tratamiento de datos personales, debemos tener en cuenta el tipo de estos datos que se van a tratar, cuáles son los riesgos añadidos y cuál puede ser el impacto que una incidencia en dichos datos puede suponer.
La privacidad desde el diseño.
Tal como hemos leído anteriormente en el artículo 25.1 del RGPD, “el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos…”.
Por tanto, los principios rectores que deben guiar el diseño de cualquier servicio que pueda incluir el uso de datos personales deberían ser los siguientes:
- Valorar la necesidad del uso de datos personales. Se debe determinar de forma clara si es absolutamente necesario el uso de estos datos personales y, si es así, determinar si son los mínimos imprescindibles.
- Qué uso les vamos a dar. Es necesario justificar completamente y a priori la necesidad de uso de esos datos personales. No se pueden recopilar “por si acaso”, sino que tienen que estar plenamente identificados, justificados e integrados en la política de seguridad.
- Los mínimos imprescindibles. Es necesario determinar qué datos mínimos necesitamos para prestar el servicio, y no más. No es conveniente recopilar más datos de los necesarios, pues eso supondrá un aumento de las obligaciones sobre ellos.
- Identificar a los afectados. Debemos identificar quiénes son las personas de las que vamos a tratar los datos personales. ¿Son clientes?, ¿son potenciales clientes?, ¿son trabajadores de la empresa? El análisis previo es fundamental para determinar si esta información la tenemos previamente o si la recogida provocará la redundancia de datos.
- Definir el flujo de información. Es fundamental definir cuál va a ser el ciclo de vida de los datos: cómo y cuándo se recogen, quién se encarga de ellos, cómo se almacenan y cómo y quién los destruye. Es vital recopilar toda esta información para poder tener una buena trazabilidad de la información en caso de que se produzca una incidencia.
Cada vez más, los usuarios se decantan por aplicaciones, productos y servicios que defienden su privacidad, y WhatsApp y el revuelo que hubo hace unos meses con la filtración de los cambios en la política de privacidad es una buena prueba de ello.
Autor: José Manuel Sanz. Consultor RGPD y Profesor de Tecnología Web en IM Digital Business School.
Formamos marketers digitales de alto rendimiento a través de una metodología que une capacitación en competencias técnicas con capacitación en habilidades de performance multiplicando resultados.