Principio del RGPD (Art. 25) que obliga a integrar la protección de datos personales desde la fase de diseño de cualquier producto, servicio, sistema o proceso, y no como una adaptación posterior. Incluye también la privacidad por defecto, que exige que la configuración predeterminada sea siempre la más protectora de la privacidad.
En la práctica
Qué es Privacy by Design
Privacy by Design (PbD) es un concepto desarrollado por la Dra. Ann Cavoukian en los años 90 y codificado como obligación legal en el artículo 25 del RGPD. Establece que la protección de datos debe integrarse de forma proactiva en el diseño y la arquitectura de los sistemas de información, productos y procesos de negocio, en lugar de añadirse como capa posterior.
Los 7 principios fundamentales
- Proactivo, no reactivo: anticipar y prevenir los riesgos antes de que se materialicen
- Privacidad como configuración predeterminada: sin acción del usuario, la configuración más protectora debe estar activa
- Privacidad integrada en el diseño: la privacidad es parte integral de la arquitectura, no un complemento
- Funcionalidad completa (suma positiva): privacidad y funcionalidad no son incompatibles
- Seguridad de extremo a extremo: protección durante todo el ciclo de vida del dato
- Visibilidad y transparencia: los procesos deben ser verificables y auditables
- Respeto por el usuario: los intereses del usuario son prioritarios
Obligación legal bajo el RGPD
El artículo 25 del RGPD establece que el responsable del tratamiento debe aplicar medidas técnicas y organizativas apropiadas, como la pseudonimización y la minimización de datos, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento. La privacidad por defecto complementa este principio: solo deben tratarse los datos estrictamente necesarios para cada finalidad específica.
Implementación práctica
En la práctica, PbD implica realizar evaluaciones de impacto (EIPD) antes de lanzar nuevos productos, aplicar minimización de datos en formularios y bases de datos, implementar cifrado y pseudonimización, establecer plazos de retención automáticos, y documentar las decisiones de diseño que afectan a la privacidad. Para equipos de desarrollo ágil, significa integrar revisiones de privacidad en cada sprint.