La información recopilada en este formulario se almacena en un archivo computarizado por Smart Global Privacy Solutions para proporcionarle información comercial sobre Smart Global Privacy Solutions. Los datos se conservarán durante 18 meses y no se transmitirán a terceros. De acuerdo con la ley, puede ejercer su derecho de acceso a los datos que le interesen y corregirlos contactándonos a: hello@smartglobalprivacy.com

La dimensión práctica del respeto a la vida privada desde la concepción: el diseño de la privacidad

Desde 1995, Ann Cavoukian, quien después se convirtió en miembro de la Comisión de la Información y Privacidad de Ontario (CANADÁ), propuso el concepto de Privacidad por Diseño, que, con el tiempo, fue de aplicación en producciones académicas y profesionales. En octubre de 2010, los organizadores de la Conferencia Internacional de Comisionados de Protección de Datos y Privacidad, adoptaron por unanimidad una resolución que reconoce la protección integrada de la privacidad como un elemento esencial de la misma. De esta manera, el legislador europeo ha integrado esta noción en el marco legal comunitario como una herramienta esencial para garantizar la confianza de los ciudadanos de la Unión.

Concretamente, Privacy by Design consiste en estudiar el impacto en la vida privada de las personas desde el inicio de un proyecto de procesamiento de datos de carácter personal.

Este enfoque preventivo también tiene como objetivo garantizar el respeto a la privacidad en las operaciones realizadas por los sistemas técnicos, y esto, durante todo el período de uso de los datos hasta su obsolescencia.

Este enfoque preventivo también tiene como objetivo garantizar el respeto a la privacidad en las operaciones realizadas por los sistemas técnicos, y esto, durante todo el período de uso de los datos hasta su obsolescencia.

Privacy by Design también prevé un tipo de protección determinada: la configuración de la privacidad más estricta debe aplicarse sin ninguna acción por parte del usuario final.

Pues bien, estos dos conceptos han sido introducidos en el GDPR, que establece la responsabilidad de cualquier responsable de tratamiento de implementar las medidas técnicas y organizativas adecuadas para garantizar la privacidad.

Estos aspectos constituyen una innovación real que puede facilitar la articulación con uno de los principios clave que prevé la ley, el principio de transparencia, que permite exigir que cualquier información dirigida al público o al interesado sea concisa, de fácil acceso y de fácil entendimiento, expresada en términos claros y simples y, cuando corresponda, ilustrados con imágenes. Para el legislador europeo, en lo que respecta a la gestión de la protección de datos, la transparencia de la información entregada al interesado debe ser entendida tanto en su contenido como en su forma. El desafío de este principio se basa en que los profesionales deben revisar los elementos puestos a disposición de todos los usuarios de productos y servicios digitales. La Privacidad por Diseño se basa en aplicar los principios de protección de datos desde el principio. Se trata, pues, de integrar y aplicar el principio de transparencia en los datos personales obtenidos, así como obtener el consentimiento tan pronto como se diseñen las interfaces. Por lo tanto, este principio debe ser una parte integral del producto y su objetivo no es otro que el de enriquecer sus características.

La información que no sea clara o sea de difícil acceso no se considerará compatible ya que la simple presencia de la información no es suficiente: la forma en la que esta es presentada marcara la diferencia para saber si cumplimos o no con el Reglamento.

En su folleto IP4 de enero de 2019 (página 10), el laboratorio de la CNIL señaló estos términos: “Si bien el artículo 25 no parece dirigirse expresamente a los diseñadores, nos permite, sin embargo, interesar y señalar el “diseño de la privacidad”, la forma en que se utilizan las diferentes técnicas de diseño en la puesta en escena de los servicios para la protección de los datos y, en particular, en relación con los grandes principios de los mismos que son la transparencia, el consentimiento y el resto de derechos de los que disponen los interesados.” Por lo que, el GDPR coloca el control de los datos del usuario (sobre todo, el respeto a la autodeterminación de la información) en corazón del texto legal.

El diseño aplicado a la trasparencia de los datos personales y el ejercicio de los derechos que los interesados disponen, debería ser una palanca para implementar los conceptos de privacidad por diseño y por defecto. Por lo tanto, se debe utilizar un nuevo enfoque para la gestión de los datos personales para que sea más inteligible la obtención de la información por parte de los consumidores finales.

Para ello, el diseñador de las infraestructuras que presentan un tratamiento de datos personales a un usuario debe integrar un deber de lealtad y transparencia en los dispositivos 5. Como ejemplo de ello, Google recientemente ha sido condenado por la CNIL a 50 millones de euros por no haber obtenido un consentimiento válido de conformidad con lo establecido en el GDPR al registrar usuarios en Android sin haber cumplido con la obligación de transparencia en sus Términos de Información.

En este caso, la formación restringida de la CNIL 6 encuentra que el diseño general de la información elegida por la empresa no permite cumplir con las obligaciones del Reglamento. De hecho, la información que se debe divulgar a los interesados conforme a la sección 13 está excesivamente dispersa en varios documentos: Política de privacidad y Términos de uso, que se muestran durante la creación de la cuenta, luego los Términos de uso y las Reglas de confidencialidad a las que se pueden acceder por segunda vez a través de enlaces en los que se puede hacer clic en el primer documento. Estos documentos incluyen botones y enlaces que deben activarse para obtener información adicional, produciéndose una fragmentación de la información al obligar a los usuarios a multiplicar los clics necesarios para acceder a los diferentes documentos.
El usuario tubo que consultar con atención una gran cantidad de información antes de que pudiera identificar los párrafos relevantes. Sin embargo, el trabajo del usuario no acababa allí, sino que todavía tenía que realizar una verificación cruzada y comprar la información recopilada para comprender qué datos se obtenían de acuerdo con los diferentes parámetros que había escogido…

En resumen, se criticó la actuación de Google como responsable de tratamiento por implementar un diseño de información demasiado general el cual no cumplía con las obligaciones del Reglamento en los términos de información y transparencia con respecto a los usuarios. La información provista por Google en estas plataformas no era ni accesible ni comprensible para una persona que no tuviera conocimientos sobre privacidad en el contexto informático.

Con esto, se pretendió dar un mensaje por parte de la CNIL, la cual destacó las nociones básicas que muestran el vínculo entre la regulación y el diseño: : o La inadecuación del diseño de las denominadas interfaces “CMP” (Plataforma de Administración del Consentimiento) destinadas a la obtención del consentimiento para cumplir con el requisito de información. o El diseño pasa a formar parte del triángulo del cumplimiento (legal, técnico y de diseño) de acuerdo con las declaraciones ofrecidas por el presidente de la CNIL el 17 de enero de 2019, en el lanzamiento del IP Portátil. o La autoridad de control también menciona que “las indagaciones corresponden al escenario escogido para realizar la verificación en línea, es decir, los pasos a seguir por los usuarios y los documentos a los que podría tener acceso durante la configuración inicial”. Por lo tanto, la referencia al diseño de la interfaz del usuario diseñada por GOOGLE era decisiva y se relacionaba con los requisitos de la Privacidad por Diseño. o El diseño legal y las soluciones de la Prvacy Tech7 a trav´es de Privacy Icons pueden utilizarse como un primer elemento de respuesta que permite a cualquier organización mostrar de forma clara y concisa su compromiso con la protección de datos personales para los usuarios.

Como resultado de lo anteriormente expuesto, algunas herramientas están empezando a emerger para poner el diseño al servicio de la transparencia. Entre ellas podemos mencionar:

1. Los diferentes conjuntos de iconos existente para simplificar la comprensión, así como los de la Asociación de Tecnología de la Privacidad;

2. La presentación de las diferentes capas de información: información simple y rápida sobre los elementos más importantes y la posibilidad de que, aquellos que lo deseen, puedan acceder a un contenido más detallado;

3. Información contextual y solicitudes de consentimiento: No se preguntará todo de una vez, sino que se solicitará el consentimiento cuando sea necesario;

Ilustración del ejemplo 3 : En el caso de una aplicación donde se pueden hacer vídeos en vivo para transmitirlos online, la aplicación puede preguntar cuándo se iniciará el vídeo en directo y si el usuario desea activar y mostrar su geolocalización en vez de pedirlo en el momento de la instalación de la aplicación. Esto limita las acciones para el registro y aumenta las posibilidades de obtener el consentimiento, lo que en última instancia es de gran utilidad para la aplicación.

4. Al obtener el consentimiento, no solo se debe especificar el propósito del mismo, sino también por qué estos datos son útiles y el valor que les debe otorgar el interesado; 5. Se debe utilizar un lenguaje legal claro, esto implica que una persona de 12 años debe poder entender lo que se le está diciendo, tanto durante la fase de la obtención del consentimiento como en la política de privacidad; 6. Como en cualquier buen diseño: siempre se debe adaptar el enfoque al público y siempre se debe estar listo para cambiarlo, si es necesario.

Como tal, el proceso de transparencia 8 implementado por la joven red social francesa “Jollyclick” es innovador en la forma de dirigirse a sus usuarios sobre el control de sus datos.

Diferentes compañías, incluida Visions 9, ofrecen métodos y herramientas para abordar este problema y aumentar la transparencia de la información facilitada. Es innegable que cualquier producto basado en datos personales debe disponer de un diseño de sus interfaces al servicio de la transparencia; no solo para cumplir con la normativa, sino también para ganarse la confianza de los interesados para procesar y compartir sus datos personales.

Aún se tiene que avanzar mucho en este sentido, ya que hay preguntas que a día de hoy no se pueden responder, como, por ejemplo: 1. Sobre los iconos: ¿son estos comprensibles? 2. obre el consentimiento: ¿Qué grado de información se debe proporcionar? ¿Debe señalarse el período de conservación de los datos? 3. Sobre la transparencia: ¿Debe adoptarse una terminología común sobre los tratamientos y sobre los datos?

Por el contrario, presentar la información de forma transparente no debe interpretarse como un “lavado de la privacidad” para las prácticas organizativas débiles y la mala gestión del consentimiento o de los derechos en general. La herramienta VisionsTrust, de la compañía Visions, garantiza el cumplimiento de los permisos del sistema de la información para garantizar que la aplicación utilice solos los datos autorizados en cada momento. Del mismo modo, las empresas que utilizan VisionsTrust están sujetas a al menos una auditoría independiente bianual para garantizar que todos los derechos son respetados por la empresa. Por supuesto, la herramienta proporciona los medios para garantizar la integridad del sistema, el cumplimiento de los permisos otorgados por el usuario, así como el circuito y las condiciones operativas de los datos.

Por lo tanto, es aconsejable promover activamente los estándares de Privacidad por Diseño. El trabajo de estandarización y las buenas prácticas deben llevarse a cabo en la gestión más allá de la presentación del consentimiento. Por ejemplo, es necesario establecer pautas para que, al desarrollar un motor de búsqueda, un algoritmo de conciencia o un algoritmo de recomendación de contenido, pueda asegurarse de que funcionan específicamente con una parte de la información y no hacerlos depender de todos los datos. Las medidas técnicas, organizativas y de diseño deben combinarse completamente para respetar de manera eficiente y de acuerdo con el principio de Privacidad por Diseño.

En definitiva, debe surgir modelo común de las principales reglas de diseño para hacer que la comprensión de los principios fundamentales de la protección de datos del usuario conectado sea eficaz. Recordemos que el GDPR, a través de la Privacy by Design desea, entre otras cosas, un instrumento legislativo suave aplicable extraterritorialmente 10 para editores no europeos. ¿Cómo modelar el esquema de producción de una aplicación técnica que proteja los datos personales para que cada trabajador que solicite una línea de código tenga la información necesaria para que su actuación respete los términos básicos de la privacidad?

En un futuro, el diseño, la informática y el ámbito legal se combinarán para definir los nuevos patrones de los pasos a seguir por el cliente a partir del diseño de las ofertas. Las claves para un buen diseño radican ahora en la capacidad de las marcas para capitalizar los datos que recopilan de manera justa a lo que deberá añadirse la dimensión moral que implica la simplicidad y la claridad de la información que debe entregarse.

Autores: Pape Drame (Hub For Health)& Matthias De Bièvre (Visions).

Referencias

1 Ann Cavoukian, Privacy by Design : The 7 Foundational Principles, Information and Privacy Commissioner of Ontario, 2009. https://www.ipc.on.ca/wp-content/uploads/ Resources/7foundationalprinciples.pdf (consulté le 07/12/2018)

2 La Privacy by Design se basa en varios principios, 7 en total, a fin de apreciar y miniminizar los riesgos de seguridad y el no respeto a la ley:  : ● Diseño de medidas preventivas y proactivas ; ● Protección predeterminada ; ● Consideración de las normas sobre la protección de la privacidad en el diseño de los productos durante su uso ; ● Protección óptima e integral ; ● Garantía de seguridad a lo largo de la retención de datos ; ● Visibilidad y transparencia ; ● Respeto por la privacidad de los usuarios y/o los objetivos del servicio.

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, sobre la protección de datos personales y la libre circulación de dichos datos https://eur-lex.europa.eu/legalcontent/FR/TXT/PDF/?uri=CELEX:32016R0679&from=FR

4 Folleto IP de enero de 2018 del laboratorio de la CNIL, le LINC https://linc.cnil.fr/cahier-ip6-laforme-des-choix 5 Blog legal sobre la protección de datos “MEMENTOSAFE”, https://mementosafe.com/condamnation-cnil-rgpd-google-pme-concernees/, artículo de Marie-Claire Peroux titulado “Primera condena RGPD GOOGLE 21 de enero de 2019, PME interesadas” 6 –Deliberaciónn°SAN-2019-001 de 21 de enero de 2019 que impone una multa financiera a la empresa GOOGLE LLC https://www.cnil.fr/sites/default/files/atoms/files/san2019-001_21-01-2019.pdf

7 Organización sin ánimo de lucro que desarrolla proyectos de innovación en colaboración a fin de identificar, promover y desarrollar conjuntamente soluciones técnico-legales para la protección de la privacidad en Internet. Como tal, ofrece su ecosistema de iconos para mostrar gráficamente su compromiso con la privacidad. https://www.privacytech.fr/privacy-icons/

8 Artículo de Matthias De Bièvre titulado “Jollyclick, una joven red social francesa: Primera implementación de la ética de datos”https://medium.com/jollyclick/jollyclick-1èreimplémentation-de-la-data-ethic-511afed86457

9 https://visionstrust.com/information/VisionsTrust

A. 10Banck et D. Rahmouni, Le RGPD la nueva herramienta GDPR de soft law de Europa en lo digital, Revue Lamyline Intangible right n ° 151 -2018, publicada en septiembre de 2018 

2019-03-20T13:28:23+00:00marzo 5th, 2019|conformite|