Privacy by Design

Las tres palabras que dan título a este artículo constituyen un mantra que los expertos en privacidad hemos escuchado y leído hasta el hartazgo en los últimos años. Los profesionales del sector conocen sobradamente el discurso de la Comisionada de Protección de Datos de Ontario, Anne Cavoukian, o el importante trabajo sobre Privacy Impact Assessment desarrollado por Adam Warren para el Information Comissioner Office (ICO) británico. En el ámbito nacional, la Agencia Española de Protección de Datos ha usado y abusado de este concepto hasta la saciedad y ofrece el servicio de autodiagnóstico EVALUA. Sin embargo, si esta afirmación es cierta ¿porqué no ha habido semana en el último ejercicio sin que nos haya sobresaltado una noticia sobre errores en el diseño e implantación de sistemas de información vinculados a la prestación de distintos tipos de servicio?sic96

Baste recordar algunos ejemplos. El primer desembarco de Google en las redes sociales naufragó por un problema en la privacidad. Algo aparentemente sencillo como vincular y fidelizar a todos los usuarios de Gmail a la nueva red social, no lo era tanto y hubo que abordar graves problemas de transparencia y consentimiento. En el debe de la compañía cabe situar también en este periodo la captación de IP’s y datos pertenecientes a redes wireless. Facebook ha padecido problemas de diseño, por ejemplo en la cancelación de perfiles y en aspectos relacionados con la información y el consentimiento en los procesos de transferencia de usuarios a aplicaciones de terceros como puso de manifiesto la auditoría de la Comisión Canadiense de Protección de Datos. A ellos se unen problemas de cumplimiento normativo en el consentimiento de menores en España, el anuncio de campañas de marketing comportamental no muy bien acogidas por los usuarios, o, simplemente, declaraciones de  su fundador anunciando la muerte de la privacidad. En el ámbito local, son conocidos los esfuerzos de Tuenti para garantizar un funcionamiento adecuado de la plataforma desde el punto de vista de la privacidad. Para finalizar con el rosario de ejemplos no podemos olvidar a los smartphones. Primero pudimos descubrir que, salvo modificación de la configuración, las fotografías además de metadatos relativos a la fecha incorporaban también datos sobre localización geográfica fácilmente obtenibles desde las propiedades del archivo. En otro sonado caso, descubrimos que generaban y guardaban un registro con datos de localización que abarcaba un periodo de un año.

Capítulo aparte merecería el constante goteo de noticias sobre graves incidentes de seguridad sistemáticamente ocultados a los usuarios. Y aquí, el problema de diseño no se debe tanto a las condiciones de implementación de los sistemas como al de los procedimientos de resolución de incidencias.

Aunque, como suele decirse en nuestra jerga de juristas, “escusatio non petita acusatio manifesta”, no es ocioso advertir al lector que el punto de vista de este artículo es el de quien ha colaborado como asesor de cumplimiento normativo en procesos de implementación de sistemas de información.

Desde esta aproximación pueden señalarse algunos referentes históricos en el camino de la consolidación del diseño basado, o respetuoso, con la privacidad. La preocupación por el intercambio de información personal en Internet y las trabas procedimentales que ello suponía en procesos de suscripción dio lugar a fines de los noventa a la propuesta de las Privacy Enhancing Technologies (PET) y la Plattform for Privacy Preferences (P3P). La idea que alumbraba estos proyectos ha sido magistralmente expuesta por Lawrence Lessig. Puesto que un programador materialmente actúa como un regulador al implementar las reglas del sistema, ¿porqué no hacer que los sistemas sean capaces de negociar la privacidad a través de perfiles predefinidos por el propio usuario que transmita su navegador? En otra línea, las autoridades de protección de datos, y singularmente la Comisionada de Ontario, han reivindicado la idea de “Privacy by Design”. Muy destacable es el esfuerzo del ICO británico que promovió el desarrollo del Privacy Impact Assessment Handbook por Adam Warren de la Universidad de Loughborough, premiado por la Agencia Española de Protección de Datos. Estas ideas se manifestaron con intensidad en sucesivas Conferencias Internacionales de Autoridades de Protección de Datos, -Londres y Canadá-, culminando en la Declaración de Madrid de 2005.

¿Pero a que nos referimos cuando se habla de Privacy by Design?, ¿es capaz un programador de incorporar elementos de privacidad en el diseño de cualquier sistema?, ¿es una cuestión únicamente lógica o alcanza a aspectos físicos?, ¿dónde encontraremos las referencias a seguir?, ¿acaso no es cierto que es imposible disponer de un referente normativo teniendo en cuenta la celeridad del avance tecnológico?

Las anteriores son una parte de las preguntas a las que deberíamos responder. Un lugar común, es el de considerar que la tecnología no puede esperar el ritmo del legislador ya que esto produciría un efecto paralizante para el desarrollo y la innovación. Sin embargo, esta es una verdad a medias. La implantación de modelos de negocio sobre una base tecnológica, el desarrollo de sistemas de información o la invención de nuevos ingenios no se produce en un vacío neutral y acrítico. Empresario, programador e inventor desarrollan su tarea en una sociedad determinada regida por unos valores muy concretos. Que cualquiera tenga la capacidad tecnológica de gestar proyectos que proporcionen nuevas prestaciones, e incluso beneficios socialmente relevantes, no le otorga el derecho a hacerlo sin antes verificar su impacto jurídico y social. Las modernas democracias han construido con el sacrificio de sus ciudadanos un modelo de convivencia en el que la garantía del secreto de las comunicaciones, la inviolabilidad del domicilio o el respeto a la vida privada poseen un valor sagrado. Y esto sucede, no desde ayer, desde la aprobación de la Cuarta Enmienda de la Constitución de los Estados Unidos. Por tanto la cuestión no es si el legislador ha desarrollado una ley específica que contemple de modo concreto una nueva invención o un nuevo proceso. La cuestión, es que ante el desarrollo de una nueva aplicación tecnológica debe realizarse una evaluación de impacto en estos derechos de los ciudadanos.

En todos los supuestos que conciernen a desarrollos recientes, y en muchos de los que están por llegar debemos partir de una premisa básica: el riesgo y la invasión en los derechos se genera por la mera existencia del tratamiento de cierta información personal. Por ejemplo, en la Unión Europea el registro de datos de geolocalización está sometido a severas restricciones que presuponen la necesaria concurrencia de una causa de legitimación, el consentimiento, que cíclicamente se renueva mediante mensajes al usuario recordándole el estado de su terminal. Más intensos son los límites cuando el que pretende utilizar tales datos es el Estado. En España sólo un agente facultado en los términos que fije un juez mediante auto podría acceder a los mismos. Ello se debe a que el mero tratamiento de esa información se proyecta no ya sobre un derecho concreto sino sobre nuestra libertad. El ciudadano es libre de decidir si asiste o no a una manifestación o a un acto político, de comprar en una u otra gran superficie, hacer turismo aquí o allá o de ocultar a sus más próximos donde se encuentra en un determinado momento. Y esa libertad se proyecta frente a todos y ello incluye, sin que quepa excepción alguna, a su proveedor de servicios de comunicaciones. Idénticos argumentos se proyectan sobre los servicios de redes sociales y, en general, sobre cualquier procedimiento que requiera del uso de información personal. En nuestra sociedad la garantía de la libertad es un valor absoluto que nació como defensa frente al Estado pero que debe proyectarse frente a cualquier sujeto que pueda ponerla en riesgo.

         Generalmente se confunde este tipo de argumentos bien como un ataque a la libertad de empresa y de mercado, o como una acusación a las empresas que proveen los servicios. Nada más lejos de la realidad. Hasta el más radical de los críticos debe reconocer que las redes sociales y la telefonía móvil han sido esenciales en la génesis de los movimientos democráticos más recientes. Sin embargo, los desarrolladores deberían tener en cuenta ciertos principios básicos que se enuncian a continuación.

El primero, es la asunción de los valores positivos inmanentes al desarrollo de actuaciones de diagnóstico previo, de privacy impact assesment. La experiencia de los expertos en privacidad en este campo suele ser similar. Primero, debemos enfrentarnos a un rechazo inicial. En España esta sensación resulta agravada por la antipatía que genera una legislación muy exigente, habitualmente mal comprendida, y con un fuerte aparato sancionador. Sin embargo, en rara ocasión, el asesorado, se para a pensar en los beneficios que el desarrollo de una PIA, y en general cualquier esfuerzo de cumplimiento normativo en esta materia, le reporta. En primer lugar, y de modo evidente, cualquier proceso de verificación del cumplimiento normativo en materia de privacidad, arroja resultados altamente útiles tanto desde el punto de vista de corregir riesgos normativos, como en la propia comprensión material de los procesos de captación de información personal y de desarrollo de un modelo de gestión que contemple el ciclo vital de un dato desde su recogida hasta su cancelación. En segundo lugar, no resulta en absoluto desdeñable entender que los costes de desarrollo e implementación de cualquier sistema pueden encarecerse si con posterioridad a su arranque se evidencian problemas en relación con la privacidad. Como se ha visto, en casos extremos este coste alcanza a la retirada completa del proyecto de que se trate.

Un elemento positivo adicional, es el relativo a la responsabilidad social corporativa y a la generación de una relación de confianza con el cliente. Podemos creer que los usuarios carecen de cultura de protección de datos, que no valoran su privacidad y que están dispuestos renunciar a ella a cambio de un servicio gratuito. Sin embargo, ésta es una afirmación falaz. Aquí es plenamente vigente una frase muy utilizada por los juristas norteamericanos: “no soy capaz de definir que es la privacidad pero les aseguro que un juez la reconoce en cuanto se la encuentra”. Pues bien, las dos oleadas en las que en la encuesta del CIS ha incluido preguntas sobre protección de datos han sido plenamente coherentes con esta afirmación.  De este modo, si bien pocos usuarios podían definir la protección de datos, todos identificaban como problemáticos casos concretos en los que este derecho pudiera estar en peligro.

Si se consultan las hemerotecas puede apreciarse como la red social española por excelencia pasó de ser cuestionada por sus políticas de privacidad a utilizar la excelencia en el cumplimiento como ventaja competitiva. A esa misma dinámica responde la relación de los productores europeos de Etiquetas de Identificación por Radiofrecuencia (RFID) con el Grupo de Trabajo del art. 29 de la Directiva sometiendo a su aprobación una metodología específica de PIA. Aplicándola, cuando un sector decida implementar esta tecnología sabrá cómo hacerlo, y a la vez respetar la legislación, y sobre todo podrá transmitir confianza al consumidor.

   Por otra parte, ¿dónde encontrar criterios? Es evidente,  por obvio, que el PIA Handbook del ICO es un buen punto de partida. Por otra parte, las distintas metodologías de análisis de riesgos existentes serán recursos inestimables. Por último, debemos desterrar de nuestros prejuicios la idea de que no existe una guía normativa a seguir. Desde luego en el plano de los principios aspectos como la transparencia, la lealtad o el consentimiento se encuentran perfectamente regulados. Por otra parte, el propio flujo de datos a otros responsables, a encargados o a países terceros enfrenta una regulación complicada pero disponible y consolidada. Es obvio, que con independencia de otros estándares el Título VIII del Reglamento de Desarrollo de la LOPD, o el Esquema nacional de Seguridad serán recursos a considerar con carácter preferente en nuestro análisis.

Debe destacarse, adicionalmente, un aspecto esencial. En protección de datos no existen recetas genéricas. Cualquier diseño basado en privacidad es necesariamente contextual. Y ello no sólo significa tener en cuenta las dimensiones física, técnica y organizativa o el modelo de negocio de la organización. Supone tener en cuenta, la legislación específica del sector. Nunca va ser el mismo el ciclo de vida de un dato obtenido, por ejemplo para cumplir con obligaciones fiscales, que el de un dato tratado para prestar servicios relacionados con la salud. Y ello, no sólo por cuestiones relacionadas con el nivel de seguridad exigible. Ni la información será la misma, ni el proceso de obtención del consentimiento idéntico, e incluso el ciclo de vida de un dato, –captación, tratamiento, bloqueo, supresión-, no tendrá nada que ver.

Otra pregunta que cabe hacerse, se refiere a en qué momento insertar este análisis. La respuesta es obvia y se deduce claramente del conjunto de este artículo. Debe identificarse el momento preciso en el que el programador analiza los requerimientos de la futura aplicación. Diferir el análisis sobre cumplimiento normativo a cualquier momento posterior puede comportar, ante una evaluación negativa, la obligación de rehacer gran parte del camino andado y convertir algo banal, si se tiene en cuenta desde el inicio, en un costoso problema de diseño.

Por último, en esta reflexión, creo que es oportuno destacar que nuestro país es una de las mejores canteras globales de expertos en privacidad. La presión que comporta el disponer de una potente legislación desde hace ya casi veinte años, con la LORTAD en 1992- ha dado lugar al nacimiento de un sector de asesoramiento especializado con una alta cualificación técnica y jurídica. La presencia de formación universitaria de alto nivel o la aparición de certificaciones profesionales confirman esta impresión. Por tanto, el mercado dispone de una masa crítica de expertos en cumplimiento normativo y de especialistas en programación y seguridad con conocimientos de privacy by design de muy alto nivel.  Las organizaciones que apuesten por un diseño basado en la privacidad podrán contar con personas adecuadamente preparadas para gestionar este tipo de procesos. La aparición de asociaciones como la que tengo el honor de presidir, demuestran que el sector ha alcanzado un adecuado nivel de madurez y se encuentra en condiciones de asumir el reto.    

Originalmente publicado en el núm. 96 de la Revista SIC