El potencial revolucionario de la privacidad por diseño

Publicado por el Dec 17, 2012

Compartir

La primera jornada monográfica sobre “privacy by design” celebrada en España ha demostrado la máxima importancia de esta nueva dimensión de la privacidad.

La jornada tenía lugar en Madrid el pasado 12 de diciembre de 2012, bajo los auspicios del capítulo español de IASA-Global, la principal asociación mundial de arquitectos de software y el patrocinio de Microsoft, Indra, L&M Data Communications y Syntagma, centro de estudios estratégicos. Fue inaugurada por el Director de la Agencia española de protección de datos, José Luis Rodríguez Álvarez y, de no haber sido por un contratiempo personal, habría sido clausurada por el Secretario general de Red.es, Luis Santa-María. Intervinieron en la misma Pietro Romano, presidente de IASA-España, Santiago Núñez (Microsoft), Jorge Villarino (Cortes generales), Ricardo Aguado (INDRA), Bárbara Olagaray (Microsoft), Flora Egea (IBM) y José Morales (L&M Data), además del autor de esta columna. En ambos hipervínculos será posible consultar en breve los materiales completos de la jornada.

En su acepción clásica, acuñada en 1995 por la doctora Ann Cavoukian, Comisionada para la privacidad y la información de la provincia canadiense de Ontario, la privacidad por diseño o “desde el diseño” (PpD) pretende “encastrar” la privacidad en el interior de los sistemas de información, de las arquitecturas y las redes de comunicación y de los procesos productivos, de tal manera que la privacidad sea la opción “por defecto” en todos y cada uno de ellos y que les acompañe en todo momento, desde el inicio hasta el fin de su ciclo de vida.

La privacidad por diseño se basa en una noción sustantiva de privacidad, a su vez comprensiva de nociones como el derecho “a ser dejado en paz”, la confidencialidad de la información, la identidad personal, la seguridad de los sistemas y redes o la protección de datos en forma de control sobre los mismos.

A partir de aquí, la PpD opera en puridad como un método para proteger la privacidad en su vertiente sustantiva, mediante lo que podríamos describir como una “imprimación” de la privacidad en el corazón de los sistemas y procesos.

Un ejemplo, para comprender con claridad de lo que hablamos: supongamos que hemos de proceder a identificar a un conjunto de personas, para realizar un examen, pongamos por caso; probablemente la toma y registro de huellas dactilares nos parezca un mecanismo excesivamente invasivo de la privacidad a fin de garantizar la identificación. ¿Por qué no optar pues por el registro de la palma de la mano como alternativa? Las palmas identifican de modo absolutamente individual a una persona, mientras que su utilización para otros fines potencialmente lesivos de la privacidad no es hoy por hoy comparable a la de las huellas dactilares. Esa fue la conclusión que alcanzó un organismo norteamericano especializado en evaluación de directivos, el GMAC, razón por la cual implantó la identificación a través de la palma de la mano como alternativa. Y lo hizo “por diseño”, es decir: sirviéndose en primer lugar de software que permitía gestionar automatizadamente estos trámites de identificación; y, en segundo lugar, configurando los procesos correspondientes en su organización para hacer todo ello posible.

El caso del GMAC pone a la vez de relieve las dos dimensiones básicas de la PpD, también resaltadas por la doctora Cavoukian desde mediados de los noventa, la tecnológica y la organizativa (empresarial o administrativo-gubernamental). A ellas debe por supuesto añadirse la dimensión legal de la PpD, en la medida en que son las normas jurídicas en cada caso aplicables las que deberán marcar las pautas de privacidad “por encastrar”, normas que en este sentido suelen obligar, al menos en Europa, a la recogida y conservación de la mínima cantidad de datos posible y durante el mínimo tiempo asimismo posible.

Estas últimas ideas permiten recordar que, como indicábamos en otra entrega anterior de La Ley en la Red, la privacidad no es patrimonio exclusivo del derecho. Y, a raíz de ello, que como el de la privacidad “a secas”, el contexto natural y necesario de la privacidad por diseño es el de la Ciencia de la privacidad, único suficientemente amplio para acomodar esas tres vertientes legal, tecnológica y organizativa (empresarial o gubernamental), al que necesariamente debiéramos añadir una cuarta, la de las políticas de privacidad: todas ellas, por cierto, fueron abordadas en la Jornada, una de cuyas principales características fue justamente la multidisciplinaridad.

Ya en 1999, uno de los principales exponentes de la proyección legal de Internet, el ahora profesor de Harvard Lawrence Lessig, manifestaba que “el código es el derecho”, queriendo con ello decir que, por mucho que los operadores jurídicos pretendieran incidir en la red a través de los clásicos instrumentos de creación del derecho, lo que al final termina por imponerse en Internet son sus estándares y protocolos, es decir, el código, con arreglo a la configuración que a éste hayan dado los tecnólogos.

La privacidad por diseño permite aplicar este adagio al mundo de la privacidad, si bien en sentido exactamente inverso: gracias a la PpD, en efecto, “el derecho es código”, pues las pautas legales encargadas de proteger la privacidad pasan a imprimar el código que subyace a los sistemas de información y la arquitectura de las redes (además de los procesos organizativos, como hemos visto).

Es esta singular imprimación, propia de la PpD, la que a la vez puede permitir superar un problema ya antiguo de la privacidad, como es la falta de estándares internacionales que permitan homogeneizar su mismo concepto legal.

A ello pretende orientarse la reforma de la legislación de protección de datos que actualmente se lleva a cabo en el seno de la Unión Europea, a través de un nuevo Reglamento llamado a entrar en vigor en los años inmediatos: su artículo 23 consagra la protección de datos desde el diseño y por defecto, al tiempo que encomienda a la Comisión Europea la instrumentación de los “estándares y procedimientos” al efecto adecuados.

De este modo podría comenzar a resolverse uno de los principales obstáculos al que la PpD debe hacer frente, como en la propia Jornada se recalcó, cual es la ausencia de suficiente stock en el mercado de productos y servicios dotados de tecnologías orientadas a “mejorar la privacidad” (“Privacy Enhancing Technologies”, PETs). Como también el otro gran problema que lastra la implantación de la PpD, como es la falta del suficiente compromiso de los directivos de las organizaciones (empresa o Administraciones): mecanismos también previstos en el nuevo Reglamento europeo de protección de datos, como las evaluaciones de impacto en protección de datos (PIAs, art. 33) o la nueva figura del delegado de protección de datos (arts. 35-37), pueden resultar útiles a este efecto.

La privacidad, sin embargo, no se agota en la protección de datos. Así lo indicaba la Oficina del Comisionado de Información británica (equivalente a nuestra Agencia de protección de datos) en un excelente documento de 2008, al tiempo que resaltaba la necesidad, junto con la doctora Cavoukian, de centrar la atención en el usuario a la hora de proteger la privacidad. Ésta es idea también sostenida ya en un número anterior de La Ley en la Red, en el que se sostenía igualmente la importancia de redescubrir la lectura originaria de la privacidad como el citado “derecho a ser dejado en paz”, muy especialmente en el entorno de conectividad total en el que hoy día nos vemos envueltos; mientras que una entrega específicamente dedicada a la identidad digital destacaba la relevancia de ese concepto en este mismo contexto.

Lo que ambas ideas vienen a implicar a efectos prácticos es que las pautas legales que se deba “encastrar” en sistemas y procesos no solo habrían de ser las que estrictamente se refieran a la protección de datos, sino que también debieran serlo normas jurídicas relativas a otras facetas de la privacidad, como las propias intimidad e identidad digital o la confidencialidad de la información personal: las que regulan el secreto de una conversación mantenida a través de correo electrónico, por poner un ejemplo.

La privacidad por diseño reviste, en síntesis, una enorme importancia. Así lo reconoce la propia Comisión Europea, al mencionarla en el mismo frontispicio del apartado dedicado a la privacidad en la Agenda Digital para Europa 2010, por delante de todas sus demás manifestaciones.

En este sentido, puede que ciertamente no sea más que un método para proteger la privacidad en su dimensión sustantiva: no obstante, se trata de un método de potencial verdaderamente revolucionario, puesto que, al desplegarse en todos los planos en los que la privacidad resulta relevante, puede operar como “caballo de batalla” de políticas de privacidad que consoliden ésta como un derecho real y efectivo. Precisamente esto es lo que se propone lograr en los EE.UU. su Federal Trade Commission, responsable allá de estas materias: utilizar la PpD como ariete de toda una nueva política de revitalización de la privacidad en su conjunto, acción emprendida por la Administración Obama a comienzos de 2012. Deja constancia de ello un sólido documento elaborado por la propia FTC en marzo de 2012.

Al fin y al cabo, y por todo lo expuesto, el de la privacidad por diseño es el enfoque correcto de la privacidad en el actual contexto social y tecnológico de “Internet total”: en un mundo de conectividad por defecto, también la privacidad ha de ofrecerse por defecto.

 

 

Compartir

ABC.es

La ley en la Red © DIARIO ABC, S.L. 2012

Una visión en profundidad de la actualidad de Internet desde perpectivas jurídicas, sociales y políticasMás sobre «La ley en la Red»

Etiquetas
Calendario de entradas
julio 2017
M T W T F S S
« Feb    
 12
3456789
10111213141516
17181920212223
24252627282930
31