La necesidad de involucrar la privacidad desde las fases mas tempranas del desarrollo de proyectos o negocios digitales se ha hecho evidente desde la década pasada. Sin embargo, conceptos como el de privacidad por diseño a veces son malinterpretados y asociados erróneamente a tecnologías o soluciones específicas. En este documento buscamos que el lector pueda aclarar este concepto al comentar los 7 principios de la privacidad por diseño planteados por Ann Cavoukian en 2010.
La capacidad de ofrecer servicios digitales personalizados se basa en gran parte en la recolección masiva de datos para establecer patrones o predecir los gustos o actividades de un usuario. Esto ha llevado a que muchas empresas hayan acumulado grandes volúmenes de información personal, obligándolas a enfrentarse a retos importantes asociados a la privacidad y la protección de datos personales o Personal Identifiable Information (PII). Debido al carácter global de esta problemática, desde la década pasada se dieron importantes avances por parte de organizaciones internacionales para ofrecer alternativas o guías que les permitieran a las empresas abordar la protección de la privacidad sin chocar con la capacidad de proveer sus servicios. Con esto en mente, y también bajo la noción del llamado Design-Thinking, en el año 2010 Ann Cavoukian, comisionada de información y privacidad de Ontario, publicó un documento llamado: Privacy by Design – The 7 foundational principles [CAV2010]. Este documento establece, como su nombre lo indica, 7 principios para el desarrollo de productos o servicios que consideren la privacidad desde su diseño, apoyándose en el llamado Estándar de Privacidad Global (GPS por sus siglás en inglés) que había sido publicado en 2005 [CAV2006]. A continuación citaremos los principios planteados en ese documento, y los relacionaremos con conceptos de la seguridad de la información y de la gestión de riesgos.
Principios fundamentales para la privacidad por diseño
Como se mencionó antes, los principios para la privacidad por diseño fueron planteados originalmente en [CAV2010], y siguen siendo una referencia importante para cualquier organización interesada en incluir la privacidad como un elemento central de su solución. Cabe resaltar que estos principios se pueden plasmar en el programa de privacidad que las empresas u organizaciones utilicen como guía para implementar por medio de tareas o actividades, como es mencionado en [STA2019]. Es decir, estos principios no indican que tecnologías se deben usar, o que tecnologías no se deben usar, sino que permiten orientar a las organizaciones para que establezcan políticas que permitan conciliar la funcionalidad de la solución con el respeto por la privacidad de los usuarios. A continuación presentamos los 7 principios mencionados en [CAV2010].
- Preventivo no correctivo
El primer principio que plantea Cavoukian hace referencia a que la privacidad por diseño no está orientada a corregir los problemas de privacidad una vez estas amenazas se han hecho reales, sino que busca que por medio del diseño se minimice la probabilidad de que este tipo de eventos se hagan realidad. Por lo tanto, esto requiere un trabajo importante de planeación mediante el cual se identifiquen y clasifiquen los riesgos asociados a la privacidad, y a la filtración de datos personales. De acuerdo a [NIS2010], dicho análisis debe considerar la identificación de los datos personales con los cuales cuenta la organización, su correcta clasificación por volumen, grado de sensibilidad (lo cual por ejemplo se puede realizar de la mano de la legislación de cada país), e incluso la manera en que dicha información es almacenada, por ejemplo si está relacionada con alguna categoría específica que la provea de un carácter diferente. Es decir, no es lo mismo una lista asociada a clientes, que una lista asociada a pacientes, ya que en el segundo caso la naturaleza de la lista puede ofrecer información sensible sobre las personas.
- Privacidad por defecto
Este principio busca que la carga por mantener la privacidad recaiga sobre la organización y no sobre el individuo, de tal manera que si el individuo por alguna razón no se esfuerza por mantener su privacidad, el sistema por defecto le ofrezca el máximo nivel de privacidad. Por lo tanto, es responsabilidad de la organización comunicar de manera clara al individuo por qué y para qué se esta recolectando información personal, antes de que se de dicha recolección. Por lo tanto, las organizaciones deben velar porque la información que recogen se limite al uso que comunicó, y que la cantidad de información sea la estrictamente necesaria para dicho uso. Esto es clave desde el punto de vista de gestión de riesgos, pues al manejar estrictamente la información necesaria, se mitiga el impacto que podría derivarse de una fuga de datos, como es mencionado en [NIS2010]. Así mismo, en [NIS2010] se manifiesta que la organización debería establecer mecanismos para evaluar periódicamente que la información que ha recolectado siga siendo pertinente para el uso, y de no serlo, debe eliminarla. Sin embargo, este tipo de actividades están mas relacionadas con lo que se ha denominado Ingeniería de Privacidad, que hace referencia a la implementación de medidas que permiten proteger la privacidad de los usuarios.
- Privacidad embebida en el diseño
Este principio es muy importante, y se puede decir que surge como respuesta a lo que ha ocurrido con la seguridad de la información en las tecnologías de la información y las comunicaciones. Como es bien sabido, la seguridad en las tecnologías de la información y las comunicaciones se implementó posteriormente a la aparición de las redes de comunicaciones y al internet, lo cual ha hecho que su implementación haya sido en mucho casos engorrosa y a veces ineficiente. Es decir, la seguridad de la información no está embebida en internet, por lo cual se han añadido diferentes elementos y protocolos que buscan solucionar el problema de la seguridad de la información, lo cual al final ha resultado muchas veces en implementaciones incompletas o directamente inseguras. Por lo tanto, se considera que al incluir la privacidad como un objetivo desde el principio del diseño de una solución digital, es más probable que se consiga de manera exitosa. Según [CAV2010], la privacidad debe estar embebida en todos los aspectos de la solución de tal manera que sea i) holística, ii) integrada y iii) creativa. En primer lugar, se refiere a que sea holística debido a que deben considerar aspectos técnicos, operacionales, regulatorios e incluso económicos. En segundo lugar, hace referencia a que la privacidad debe integrar a las diferentes partes interesadas, haciendo énfasis en los intereses del usuario. Finalmente, se refiere a que la privacidad debe estar embebida usando mecanismos creativos debido a que al considerar a todas las partes interesadas y los diferentes aspectos mencionados antes, las soluciones pre-existentes pueden no ser útiles, requiriendo soluciones creativas o novedosas.
- Suma positiva
Este principio también parece surgir en contraposición a lo que ha ocurrido con la seguridad de la información, donde suele existir un compromiso entre la seguridad y las prestaciones del sistema. Por el contrario, [CAV2010] plantea que la seguridad por diseño debe ofrecer soluciones gana-gana, es decir donde sea posible alcanzar los objetivos de la solución respetando la privacidad de los usuarios. De manera explícita se niega que incluir la privacidad en la solución afecte la eficiencia de la solución, y por lo tanto esta forma de abordar el diseño exige ser creativo para conseguir todos los objetivos.
- Seguridad extremo a extremo
En este caso, la seguridad extremo a extremo, que es un concepto que surge de la seguridad de la información, se plantea mas como la necesidad de que la información recolectada sea protegida durante todo el ciclo de vida. Se hace especial énfasis en el seguimiento de estándares que permitan que solo las partes autorizadas accedan a la información para los usos aprobados, y así mismo para que la información que no sea necesaria para el uso aprobado sea eliminada. Como seguramente puede intuir el lector, este principio está directamente asociado a la seguridad de la información, y a los procesos que las organizaciones definan para garantizarla, y así mismo para evaluarla y mejorarla.
- Visibilidad y transparencia
Este principio se relaciona directamente con la responsabilidad por el uso de los datos personales de los usuarios, y se refleja claramente en la ley de protección de datos de Colombia, donde se establecen condiciones sobre el responsable de los datos. Así mismo, [CAV2010] plantea que para generar confianza en el ecosistema digital es necesario que las organizaciones sean transparentes a la hora de permitir que un tercero verifique que las condiciones propuestas se están cumpliendo. En Colombia por ejemplo, es necesario que las bases de datos que recolectan datos personales sean registradas ante la Superintendencia de Industria y Comercio (SIC), lo cual le permite a un tercero, en este caso la SIC, conocer qué datos se recolectan, bajo qué condiciones técnicas y cual es el uso que se les da. De la misma forma, los usuarios dueños de los datos deben conocer el tratamiento que se hace de sus datos, y esta información debe poder ser accedida fácilmente.
- Respeto por la privacidad del usuario
Este último principio resalta la importancia del usuario por encima del resto de consideraciones en el diseño de la solución. Este aspecto es el que tal vez se puede relacionar más fácilmente con el design-thinking, sin embargo en este caso se asocia específicamente con los datos personales, y a la facilidad que se le ofrece a los usuarios para que los protejan. Uno de los aspectos que se resaltan es el del consentimiento informado, el cual se presenta generalmente por medio de un texto que se le pide al usuario que lea antes de hacer uso de un servicio digital, donde se le aclara qué datos se van a recoger, cómo se van a utilizar, y se le aclaran los derechos que tiene sobre sus datos. Parte de principio se asocia también con ofrecerle al usuario mecanismos sencillos para poder acceder a su información, modificarla, o eliminarla si es el caso. Un elemento de fácil acceso puede ser un correo electrónico, sobre el cual el usuario pueda realizar sus solicitudes sin limitaciones geográficas o de horario.
Conclusiones
La generación de nuevos servicios digitales suele tener como valor agregado la personalización, la cual requiere la recolección y tratamiento de datos personales. Esto ha obligado a que las empresas adopten modelos que los guíen a la hora de implicar la privacidad como un requerimiento desde el diseño de sus soluciones digitales. En este documento comentamos 7 principios planteados por Ann Cavoukian en 2010 que buscan aclarar el concepto de privacidad por diseño.
Diego Pacheco Páramo
Bibliografía
[CAV2010] Privacy by Design. The 7 Foundational Principles. Implementation and Mapping of Fair Information Practices. A. Cavoukian. 2010[CAV2006] Creation of a Global Privacy Standard Information and Privacy Commissioner/ Ontario. A. Cavoukian. 2006. https://danskprivacynet.files.wordpress.com/2008/06/up-gps.pdf
[STA2019] Information Privacy Engineering and Privacy by Design: Understanding Privacy Threats, Technology, and Regulations Based on Standards and Best Practices. W. Stallings. Addison-Wesley Professional. 2019.
[NIS2010] Special Publication 800-122. Guide to Protecting the Confidentiality of Personally Identifiable Information (PII). Recomendations of the National Institute of Standards and Technology. E. McCallister, T. Grance, K. Scarfone. NIST. National Institute of Standards and Technology. U.S. Department of Commerce. 2010
