La privacidad por diseño es un enfoque de la ingeniería de sistemas desarrollado inicialmente por Ann Cavoukian y formalizado en un informe conjunto sobre tecnologías que mejoran la privacidad realizado por un equipo conjunto del Comisionado de Información y Privacidad de Ontario (Canadá), la Autoridad de Protección de Datos Holandesa y la Organización Holandesa para la Investigación Científica Aplicada en 1995. [1] [2] El marco de privacidad por diseño se publicó en 2009 [3] y fue adoptado por la Asamblea Internacional de Comisionados de Privacidad y Autoridades de Protección de Datos en 2010. [4] La privacidad por diseño exige que se tenga en cuenta la privacidad a lo largo de todo el proceso de ingeniería. El concepto es un ejemplo de diseño sensible al valor , es decir, que tiene en cuenta los valores humanos de una manera bien definida a lo largo de todo el proceso. [5] [6]
El enfoque de Cavoukian sobre la privacidad ha sido criticado por ser vago, [7] difícil de hacer cumplir su adopción, [8] difícil de aplicar a ciertas disciplinas, [9] [10] difícil de ampliar a infraestructuras en red, [10] así como por priorizar los intereses corporativos sobre los intereses de los consumidores [7] y poner énfasis insuficiente en minimizar la recopilación de datos. [9] Los desarrollos recientes en informática e ingeniería de datos, como el soporte para codificar la privacidad en los datos [11] y la disponibilidad y calidad de las tecnologías de mejora de la privacidad (PET), compensan en parte esas críticas y ayudan a hacer que los principios sean factibles en entornos del mundo real.
El reglamento europeo GDPR incorpora la privacidad desde el diseño. [12]
El marco de privacidad por diseño fue desarrollado por Ann Cavoukian , Comisionada de Información y Privacidad de Ontario , luego de su trabajo conjunto con la Autoridad de Protección de Datos Holandesa y la Organización Holandesa para la Investigación Científica Aplicada en 1995. [1] [12] En 2009, la Comisionada de Información y Privacidad de Ontario organizó un evento, Privacidad por diseño: el taller definitivo , con la Autoridad de Derecho, Información y Tecnología de Israel en la 31.ª Conferencia Internacional de Comisionados de Protección de Datos y Privacidad (2009). [13] [14]
En 2010, el marco alcanzó aceptación internacional cuando la Asamblea Internacional de Comisionados de Privacidad y Autoridades de Protección de Datos aprobó por unanimidad una resolución sobre privacidad desde el diseño [15] reconociéndolo como una norma internacional en su conferencia anual. [14] [16] [17] [4] Entre otros compromisos, los comisionados resolvieron promover la privacidad desde el diseño lo más ampliamente posible y fomentar la incorporación del principio en las políticas y la legislación. [4]
La privacidad por diseño se basa en siete "principios fundamentales": [3] [18] [19] [20]
Los principios han sido citados en más de quinientos artículos [21] que hacen referencia al libro blanco Privacidad por diseño en la ley, la política y la práctica de Ann Cavoukian . [22]
El enfoque de la privacidad por diseño se caracteriza por adoptar medidas proactivas en lugar de reactivas. Anticipa y previene los eventos que invaden la privacidad antes de que ocurran. La privacidad por diseño no espera a que se materialicen los riesgos para la privacidad ni ofrece soluciones para resolver las infracciones a la privacidad una vez que han ocurrido; su objetivo es evitar que ocurran. En resumen, la privacidad por diseño se aplica antes de los hechos, no después. [18] [19] [20]
La privacidad por diseño busca ofrecer el máximo grado de privacidad al garantizar que los datos personales estén protegidos automáticamente en cualquier sistema de TI o práctica comercial. Si una persona no hace nada, su privacidad permanece intacta. No se requiere ninguna acción por parte de la persona para proteger su privacidad: está incorporada en el sistema por defecto. [18] [19] [20]
La privacidad por diseño está incorporada en el diseño y la arquitectura de los sistemas de TI, así como en las prácticas comerciales. No se agrega como un complemento a posteriori. El resultado es que la privacidad se convierte en un componente esencial de la funcionalidad básica que se ofrece. La privacidad es parte integral del sistema sin disminuir la funcionalidad. [18] [19] [20]
La privacidad por diseño busca dar cabida a todos los intereses y objetivos legítimos de una manera que genere un beneficio mutuo y no a través de un enfoque anticuado de suma cero, en el que se hacen concesiones innecesarias. La privacidad por diseño evita la pretensión de falsas dicotomías, como privacidad versus seguridad, y demuestra que es posible tener ambas cosas. [18] [19] [20]
La privacidad por diseño, al estar incorporada al sistema antes de que se recopile el primer elemento de información, se extiende de forma segura a lo largo de todo el ciclo de vida de los datos involucrados: es esencial contar con medidas de seguridad sólidas para la privacidad, de principio a fin. Esto garantiza que todos los datos se conserven de forma segura y luego se destruyan de forma segura al final del proceso, de manera oportuna. Por lo tanto, la privacidad por diseño garantiza una gestión segura de la información desde el principio hasta el fin, de principio a fin. [18] [19] [20]
La privacidad por diseño busca garantizar a todas las partes interesadas que cualquier práctica comercial o tecnología involucrada esté de hecho operando de acuerdo con las promesas y objetivos establecidos, sujeta a verificación independiente. Los componentes y operaciones permanecen visibles y transparentes, tanto para los usuarios como para los proveedores. Recuerde confiar, pero verificar. [18] [19] [20]
Por encima de todo, la privacidad por diseño exige que los arquitectos y operadores mantengan los intereses del individuo por encima de todo, ofreciendo medidas como fuertes valores predeterminados de privacidad, avisos apropiados y opciones fáciles de usar. Deben centrarse en el usuario. [18] [19] [20]
La Organización Internacional de Normalización (ISO) aprobó la propuesta del Comité de Políticas del Consumidor (COPOLCO) para una nueva norma ISO: Protección del consumidor: privacidad por diseño para bienes y servicios de consumo (ISO/PC317). [23] La norma tendrá como objetivo especificar el proceso de diseño para proporcionar bienes y servicios de consumo que satisfagan las necesidades de privacidad de procesamiento doméstico de los consumidores, así como los requisitos de privacidad personal de protección de datos . La norma tiene al Reino Unido como secretaría con trece miembros participantes [24] y veinte miembros observadores. [24]
El Consejo de Normas de Canadá (SCC) es uno de los miembros participantes y ha establecido un comité canadiense espejo de la norma ISO/PC317. [25]
El Comité Técnico de Documentación de Privacidad por Diseño para Ingenieros de Software (PbD-SE) de OASIS [26] proporciona una especificación para hacer operativa la privacidad por diseño en el contexto de la ingeniería de software. La privacidad por diseño, al igual que la seguridad por diseño, es una parte normal del proceso de desarrollo de software y una estrategia de reducción de riesgos para los ingenieros de software. La especificación PbD-SE traduce los principios PbD en requisitos de conformidad dentro de las tareas de ingeniería de software y ayuda a los equipos de desarrollo de software a producir artefactos como evidencia de la adhesión a los principios PbD. Seguir la especificación facilita la documentación de los requisitos de privacidad desde la concepción del software hasta su retiro, proporcionando así un plan en torno a la adhesión a los principios de privacidad por diseño y otras orientaciones sobre las mejores prácticas de privacidad, como el Apéndice J 800-53 del NIST (NIST SP 800–53) y los Principios de Prácticas Justas de Información (FIPPs) (PMRM-1.0). [26]
La privacidad por diseño se originó a partir de las tecnologías de mejora de la privacidad (PET, por sus siglas en inglés) en un informe conjunto de 1995 de Ann Cavoukian y John Borking. [1] En 2007, la Comisión Europea publicó un memorando sobre las PET. [27] En 2008, la Oficina del Comisionado de Información británico encargó un informe titulado Privacidad por diseño: una descripción general de las tecnologías de mejora de la privacidad . [28]
La privacidad por diseño tiene muchas facetas. Está el aspecto técnico, como la ingeniería de software y sistemas, [29] elementos administrativos (por ejemplo, legales, de políticas, de procedimiento), otros controles organizacionales y contextos operativos. La privacidad por diseño evolucionó a partir de los primeros esfuerzos por expresar principios de prácticas de información justas directamente en el diseño y funcionamiento de las tecnologías de la información y las comunicaciones. [30] En su publicación Privacy by Design: Delivering the Promises [2], Peter Hustinx reconoce el papel clave desempeñado por Ann Cavoukian y John Borking, entonces Comisionados Adjuntos de Privacidad, en la publicación conjunta de 1995 Privacy-Enhancing Technologies: The Path to Anonymity [1] . Este informe de 1995 se centró en explorar las tecnologías que permiten realizar transacciones de forma anónima.
Las tecnologías que mejoran la privacidad permiten a los usuarios en línea proteger la privacidad de su información de identificación personal (PII) proporcionada a los servicios o aplicaciones y manejada por estos. La privacidad por diseño evolucionó para considerar los sistemas y procesos más amplios en los que se integraban y operaban las PET. El Centro para la Democracia y la Tecnología (CDT) de los Estados Unidos, en su artículo The Role of Privacy by Design in Protecting Consumer Privacy [31], distingue las PET de la privacidad por diseño y señala que “las PET son más útiles para los usuarios que ya comprenden los riesgos de la privacidad en línea. Son herramientas esenciales para el empoderamiento del usuario, pero forman solo una parte de un marco más amplio que debe considerarse al analizar cómo se puede utilizar la tecnología al servicio de la protección de la privacidad”. [31]
Alemania publicó una ley (§ 3 Sec. 4 Teledienstedatenschutzgesetz [Ley de Protección de Datos de Teleservicios]) en julio de 1997. [32] El nuevo Reglamento General de Protección de Datos (RGPD) de la UE incluye "protección de datos por diseño" y "protección de datos por defecto", [33] [34] [12] el segundo principio fundamental de la privacidad por diseño. El Comisionado de Privacidad de Canadá incluyó la privacidad por diseño en su informe sobre Privacidad, Confianza e Innovación - Construyendo la Ventaja Digital de Canadá . [35] [36] En 2012, la Comisión Federal de Comercio de los Estados Unidos (FTC) reconoció la privacidad por diseño como una de sus tres prácticas recomendadas para proteger la privacidad en línea en su informe titulado Proteger la Privacidad del Consumidor en una Era de Cambio Rápido , [37] y la FTC incluyó la privacidad por diseño como uno de los pilares clave en su Informe Final del Comisionado sobre la Protección de la Privacidad del Consumidor . [38] En Australia, el Comisionado de Privacidad y Protección de Datos del Estado de Victoria (CPDP) ha adoptado formalmente la privacidad desde el diseño como una política central para respaldar la gestión de la privacidad de la información en el sector público de Victoria. [39] El sitio web de la Oficina del Comisionado de Información del Reino Unido destaca la privacidad desde el diseño [40] y la protección de datos desde el diseño y por defecto. [41] En octubre de 2014, se realizó la Declaración de Mauricio sobre la Internet de las Cosas en la 36.ª Conferencia Internacional de Comisionados de Protección de Datos y Privacidad e incluyó la privacidad desde el diseño y por defecto. [42] El Comisionado de Privacidad para Datos Personales de Hong Kong celebró una conferencia educativa sobre la importancia de la privacidad desde el diseño. [43] [44]
En el sector privado, Sidewalk Toronto se compromete con los principios de privacidad por diseño; [45] Brendon Lynch, director de privacidad de Microsoft , escribió un artículo llamado Privacidad por diseño en Microsoft ; [46] mientras que Deloitte relaciona la confianza certificada con la privacidad por diseño. [47]
El marco de privacidad por diseño atrajo un debate académico, en particular después de la resolución de 2010 de la Comisión Internacional de Datos que brindó críticas a la privacidad por diseño con sugerencias de expertos legales y de ingeniería para comprender mejor cómo aplicar el marco en varios contextos. [7] [9] [8]
La privacidad por diseño ha sido criticada por ser "vaga" [7] y dejar "muchas preguntas abiertas sobre su aplicación en la ingeniería de sistemas". Se ha sugerido que, en cambio, se comience por minimizar los datos y se concentre en ello, lo que se puede hacer mediante ingeniería de seguridad. [9]
En 2007, investigadores de la Universidad Católica de Lovaina publicaron Engineering Privacy by Design (Ingeniería de la privacidad por diseño) y señalaron que “el diseño y la implementación de requisitos de privacidad en sistemas es un problema difícil y requiere traducir preocupaciones sociales, legales y éticas complejas en requisitos de sistemas”. Los principios de privacidad por diseño “siguen siendo vagos y dejan muchas preguntas abiertas sobre su aplicación en la ingeniería de sistemas”. Los autores sostienen que “comenzar por la minimización de datos es un primer paso necesario y fundamental para diseñar sistemas en línea con los principios de privacidad por diseño”. El objetivo de su artículo es proporcionar una “investigación inicial sobre la práctica de la privacidad por diseño desde una perspectiva de ingeniería para contribuir a cerrar la brecha entre la comprensión de la privacidad por diseño por parte de los responsables de las políticas y los ingenieros”. [9] Sin embargo, consultas ampliadas entre pares realizadas diez años después en un proyecto de la UE confirmaron las dificultades persistentes para traducir los principios legales en requisitos de ingeniería. Esto es en parte un problema más estructural debido al hecho de que los principios legales son abstractos, abiertos con diferentes interpretaciones y excepciones posibles, mientras que las prácticas de ingeniería requieren significados inequívocos y definiciones formales de los conceptos de diseño. [10]
En 2011, la Agencia Nacional de Telecomunicaciones y Tecnologías de la Información de Dinamarca publicó un documento de debate en el que sostenía que la privacidad por diseño es un objetivo clave para la creación de modelos de seguridad digital, ampliando el concepto a "Seguridad por diseño". El objetivo es equilibrar el anonimato y la vigilancia eliminando la identificación tanto como sea posible. [48]
Otra crítica es que las definiciones actuales de privacidad por diseño no abordan el aspecto metodológico de la ingeniería de sistemas, como el uso de métodos de ingeniería de sistemas adecuados, por ejemplo, aquellos que cubren el ciclo de vida completo del sistema y de los datos. [7] Este problema se ve exacerbado aún más con el paso a iniciativas de infraestructuras digitales en red, como la ciudad inteligente o la Internet de las cosas . Mientras que la privacidad por diseño se ha centrado principalmente en las responsabilidades de organizaciones singulares para una determinada tecnología, estas iniciativas a menudo requieren la interoperabilidad de muchas tecnologías diferentes operadas por diferentes organizaciones. Esto requiere un cambio del diseño organizacional al diseño infraestructural. [10]
El concepto de privacidad por diseño tampoco se centra en el papel del titular de los datos, sino en el del diseñador del sistema. Este papel no se conoce en la legislación sobre privacidad, por lo que el concepto de privacidad por diseño no se basa en la ley. Esto, a su vez, socava la confianza de los interesados, los titulares de los datos y los responsables de las políticas. [7] Se han planteado preguntas a partir de estudios científicos y tecnológicos sobre si la privacidad por diseño cambiará el significado y la práctica de los derechos a través de la implementación en tecnologías, organizaciones, estándares e infraestructuras. [49] Desde una perspectiva de la sociedad civil, algunos incluso han planteado la posibilidad de que un mal uso de estos enfoques basados en el diseño pueda incluso conducir al peligro de lavado de imagen . Esto se refiere al uso instrumental mínimo por parte de las organizaciones del diseño de privacidad sin controles adecuados, con el fin de presentarse como más favorables a la privacidad de lo que se justifica fácticamente. [10]
También se ha señalado que la privacidad por diseño es similar a los esquemas de cumplimiento voluntario en industrias que impactan el medio ambiente y, por lo tanto, carece de la fuerza necesaria para ser eficaz y puede diferir según la empresa. Además, el enfoque evolutivo que se está adoptando actualmente para el desarrollo del concepto tendrá el costo de infringir la privacidad porque la evolución también implica dejar que los fenotipos no aptos (productos que invaden la privacidad) sigan existiendo hasta que se demuestre que no son aptos. [7] Algunos críticos han señalado que ciertos modelos de negocios se construyen en torno a la vigilancia del cliente y la manipulación de datos y, por lo tanto, el cumplimiento voluntario es poco probable. [8]
En 2013, Rubinstein y Good utilizaron los incidentes de privacidad de Google y Facebook para realizar un análisis contrafactual con el fin de identificar lecciones aprendidas que pudieran ser de utilidad para los reguladores a la hora de recomendar la privacidad por diseño. La primera fue que “principios más detallados y ejemplos específicos” serían más útiles para las empresas. La segunda es que “la usabilidad es tan importante como los principios y prácticas de ingeniería”. La tercera es que es necesario trabajar más en “refinar y elaborar los principios de diseño, tanto en la ingeniería de la privacidad como en el diseño de la usabilidad”, incluidos los esfuerzos para definir estándares internacionales de privacidad. La última lección aprendida es que “los reguladores deben hacer más que simplemente recomendar la adopción e implementación de la privacidad por diseño”. [8]
La llegada del RGPD, con su multa máxima del 4 % de la facturación global, ofrece ahora un equilibrio entre el beneficio empresarial y la facturación y aborda las críticas y exigencias de cumplimiento voluntario de Rubinstein y Good de que “los reguladores deben hacer más que simplemente recomendar la adopción e implementación de la privacidad por diseño”. [8] Rubinstein y Good también destacaron que la privacidad por diseño podría dar lugar a aplicaciones que ejemplificaran la privacidad por diseño y su trabajo fue bien recibido. [50] [8]
En su dictamen preliminar sobre la privacidad desde el diseño, publicado en mayo de 2018 por Giovanni Buttarelli , Supervisor Europeo de Protección de Datos , se afirma que «si bien la privacidad desde el diseño ha logrado avances significativos en el desarrollo jurídico, tecnológico y conceptual, aún está lejos de desplegar todo su potencial para la protección de los derechos fundamentales de las personas. Las siguientes secciones de este dictamen ofrecen una descripción general de los avances relevantes y recomiendan esfuerzos adicionales». [12]
El resumen ejecutivo formula las siguientes recomendaciones a las instituciones de la UE:
El SEPD:
El Supervisor Europeo de Protección de Datos, Giovanni Buttarelli, expuso el requisito de implementar la privacidad por diseño en su artículo. [51] La Agencia de la Unión Europea para la Seguridad de las Redes y la Información (ENISA) proporcionó un informe detallado Privacidad y Protección de Datos por Diseño – De la Política a la Ingeniería sobre la implementación. [52] La Escuela de Verano sobre criptografía y privacidad en el mundo real proporcionó un tutorial sobre "Ingeniería de la Privacidad por Diseño". [53] El Proyecto de los 10 Principales Riesgos de Privacidad de OWASP para aplicaciones web que ofrece sugerencias sobre cómo implementar la privacidad por diseño en la práctica. La Documentación de Privacidad por Diseño de OASIS para Ingenieros de Software (PbD-SE) [26] ofrece una extensión/complemento de privacidad al Lenguaje de Modelado Unificado (UML) de OMG y sirve como complemento al Lenguaje de Marcado de Control de Acceso Extensible (XACML) y al Modelo de Referencia de Gestión de Privacidad (PMRM) de OASIS. Las directrices de privacidad por diseño se desarrollan para hacer operativas algunas de las ideas de alto nivel de preservación de la privacidad en consejos más granulares y prácticos, [54] [55] como recomendaciones sobre cómo implementar la privacidad por diseño en los sistemas (de datos) existentes. Sin embargo, la aplicación de las directrices de privacidad por diseño por parte de los desarrolladores de software sigue siendo un desafío. [56]