El RGPD está llamado a ser el mayor cambio en la ley de protección de datos personales en una generación. Con nuevas y estrictas normas y multas extremadamente punitivas por incumplimiento, las empresas tendrán que ser muy cuidadosas con la forma en que manejan la información que pertenece a sus clientes.
Pero a menos de un mes de su entrada en vigor, sólo el 7% de las empresas están preparadas para el RGPD. Esto significa que un pequeño porcentaje de organizaciones se adhieren al principio especificado de "privacidad mediante el diseño".
Según la Oficina del Comisionado de Información del Reino Unido: "La privacidad mediante el diseño es un enfoque de los proyectos que promueve el cumplimiento de la privacidad y la protección de datos desde el principio.”
Este cambio de enfoque tiene por objeto evitar que la seguridad y la privacidad se conviertan en una cuestión de última hora. Históricamente, muchos sistemas han sido diseñados para cumplir un objetivo empresarial específico, y luego las protecciones de seguridad pertinentes son añadidas en una fecha posterior.
Casi todos los días se informa de violaciones de los sistemas de datos corporativos, a menudo debido a deficiencias en la infraestructura de seguridad. Hay muchos factores que intervienen en una violación de datos, pero el diseño del sistema desempeña un papel importante.
Si la seguridad se añade después de que el sistema ha sido construido, es intrínsecamente débil. Moldear las provisiones de seguridad para que se ajusten a un sistema existente es casi imposible.
El RGPD busca restablecer cierto equilibrio en el diseño del sistema. Al obligar a los arquitectos y desarrolladores a considerar la seguridad de la información desde el comienzo de un nuevo proyecto, las protecciones se pueden incorporar directamente en cada nueva aplicación o proceso.
Por supuesto, esto requerirá un cambio de mentalidad para muchos desarrolladores que están más acostumbrados a prestar servicios, en lugar de proteger los datos personales que se encuentran detrás de ellos. En su lugar, la privacidad del individuo debe convertirse en su principal preocupación; el "cómo" hacer que el servicio funcione, aunque importante, siempre debe ser de importancia secundaria.
Al prepararse para el RGPD, algunas empresas parecen haber adoptado un enfoque totalmente distinto. En lugar de rediseñar las aplicaciones para alinearlas con los principios de "privacidad primero", han creado procesos de consentimiento previo del usuario diseñados para animar a las personas a que renuncien al mayor control posible de sus datos.
Las nuevas pantallas de las condiciones de servicio de Facebook son un excelente ejemplo de este enfoque. Mediante optimizaciones inteligentes de la interfaz de usuario, se anima a los usuarios a que simplemente hagan clic en todas sus opciones; cada oportunidad de denegar a Facebook el acceso a datos específicos es deliberadamente confusa y va acompañada de una advertencia seria sobre cómo puede verse afectado su servicio.
El enfoque de Facebook puede ser bueno para su modelo de negocio, pero hace poco para proteger a sus usuarios, incluso si cumple (técnicamente) con las demandas de RGPD de que se entregue a los individuos el control completo de sus datos personales.
Se trata de un enfoque arriesgado, sobre todo porque los controles de privacidad también parecen ser un elemento importante. Hay poca o ninguna evidencia de que las empresas que intentan convencer a los usuarios de que renuncien a sus derechos de esta manera hayan tenido en cuenta los principios de "privacidad mediante el diseño".
Puede llegar a que veamos a algunas de estas organizaciones en los tribunales después del 25 de mayo.
Para aprender más acerca de la privacidad mediante el diseño y para prepararse para RGPD, por favor póngase en contacto o empiece por descargar nuestro Cuestionario de Mapeo de GDPR.