Guía para desarrolladores sobre privacidad desde el diseño y por defecto

Índex

Índex 2

1. Introducció 3

2. Els rols vinculats a la protecció de dades des del disseny i per defecte 4

3. L'aplicació efectiva de la protecció de dades des del disseny i per defecte 6

Fase de disseny

3.1 Fase de disseny 7

Fase de desenvolupament i de proves

3.2 Fase de desenvolupament i de proves 9

Recollida de les dades

3.3 Recollida de les dades 11

Minimització de les dades

3.3.1 Minimització de les dades 11

Licitud de la recollida i el tractament de dades.

3.3.2 Licitud de la recollida i el tractament de dades. 13

Transparencia i lleialtat per a la persona usuaria

3.3.3 Transparencia i lleialtat per a la persona usuaria 15

Ús de les dades

3.4 Ús de les dades 17

Comunicació o divulgació de les dades

3.5 Comunicació o divulgació de les dades 18

Manteniment i conservació de les dades

3.6 Manteniment i conservació de les dades 19

Confidencialitat, integritat i disponibilitat de la informació

3.6.1 Confidencialitat, integritat i disponibilitat de la informació 20

Limitació del termini de conservació.

3.6.2 Limitació del termini de conservació. 24

Mesures clau per protegir les dades personals

4. Mesures clau per protegir les dades personals 26

Xifratge

4.1 Xifratge 26

Anonimització

4.2 Anonimització 27

Tècniques d'anonimització

4.2.1 Tècniques d'anonimització 28

Riscos en l'anonimització

4.2.2 Riscos en l'anonimització 30

Pseudonimització

4.3 Pseudonimització 31

Normativa de protecció de dades

5. Normativa de protecció de dades 33

Bibliografia

6. Bibliografia 34

Annex I: Anàlisi prèvia

Annex I: Anàlisi prèvia 36

Annex II: Checklist

Annex II: Checklist 37

Introducció

El concepte de la privacitat des del disseny, desenvolupat ja des de finals dels anys 90 en gran mesura gràcies a l'activitat del Comissionat de Protecció de Dades d'Ontàrio, fa referencia a la necessitat de tenir en compte l'impacte en termes de privacitat dels productes o serveis, especialment els tecnologics, ja des de la fase del seu disseny.

Estretament lligat amb aquest concepte apareix també el de la privacitat per defecte, que requereix aplicar les mesures tècniques i organitzatives adequades per garantir que, sense que l'usuari hagi de fer cap tipus d'acció (per defecte), únicament es tracten les dades personals indispensables per a cadascuna de les finalitats específiques del tractament.

Amb l'aprovació del Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d'abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades i pel qual es deroga la Directiva 95/46/CE (Reglament general de protecció de dades, d'ara endavant RGPD), tant la protecció de dades des del disseny, com la protecció de dades per defecte passen de ser una recomanació o una bona practica a ser una obligació.

En concret, l'article 25 de l'RGPD exigeix:

1. Que, ja des del moment en què es dissenyi un servei o una aplicació, s'implementin les mesures tècniques i organitzatives adequades, com ara la pseudonimització, la minimització de dades i altres garanties per aplicar de manera efectiva els principis de la protecció de dades personals, per garantir el compliment de l'RGPD i els drets i les llibertats de les persones interessades (protecció de dades des del disseny).
2. Que s'apliquin les mesures tècniques i organitzatives adequades per garantir que, per defecte, les dades personals que es tractin i l'abast del tractament que se'n faci siguin només els necessaris per a cadascuna de les finalitats especifiques del tractament (protecció de dades per defecte).

Aquesta obligació s'aplica a:

• La quantitat de dades que es recullen.
• L'abast del tractament.
• El termini de conservació.
• L'accessibilitat de les dades, de manera que, per defecte, les dades no siguin accessibles a un public indeterminat sense la intervenció de la persona afectada.

Detectar aquestes necessitats i donar-hi solució ja des del mateix moment del disseny de les eines tecnologiques permet estalviar temps, recursos, perjudicis a les persones afectades i els evidents costos reputacionals, que es poden derivar de la incorporació tardana d'aquests requeriments.

Per altra banda, en ser una obligació, incomplir-la pot constituir una infracció de conformitat amb I'RGPD, que pot comportar una sanció de fins a 10.000.000 euros o d'un 2% del volum Autoritat Catalana de Protecció de Dades 3/39La privacitat des del disseny i la privacitat per defecte - Guia per a desenvolupadors de negoci total anual global de l'exercici anterior si el resultat d'aquest calcul resulta superior aos 10.000.000 d'euros.

En qualsevol cas, més enllà d'aquesta obligació, la protecció de dades constitueix cada vegada més un factor qualitatiu valorat per les empreses i les institucions que adquireixen un determinat producte o servei i també per les persones usuàries.

En definitiva, la protecció de dades és un avantatge competitiu i aquesta guia pretén ser un mitjà útil per poder treure'n profit.

Des de l'Autoritat Catalana de Protecció de Dades (APDCAT) considerem estrategicament prioritari que els diferents actors de l'ecosistema digital ho percebin així. Per això, aquesta guia s'elabora per facilitar als desenvolupadors, i també als responsables del tractament que els encarreguen el desenvolupament d'aplicacions, la identificació dels diferents elements rellevants per a la protecció de les dades personals, i les mesures que es poden adoptar per fer-hi front, ja des del moment del disseny.

Rols vinculats a la protecció de dades

La protecció de dades des del disseny i per defecte, tal com preveu I'RGPD, té com a destinatari directe el responsable del tractament, que és qui té l'obligació d'aplicar i vetllar perquè s'apliquin les mesures tècniques i organitzatives que corresponguin.

Per identificar qui és el responsable del tractament cal tenir en compte la definició de l'apartat 7 de l'article 4 de I'RGPD, que defineix el responsable com qui determina les finalitats del tractament de dades i els mitjans que s'empraran.

En tot cas, el mateix RGPD preveu la possibilitat que el responsable delegui el tractament de les dades en un tercer o, simplement, li permeti accedir a les dades per prestar un servei per compte del responsable. Es el que s'anomena "encarregat del tractament". Aquesta figura pot abastar tant les entitats prestadores del servei en si mateix (com ara un concessionari d'un servei públic), com els que col·laboren amb el responsable per prestar-lo (per exemple, un servei d'allotjament (hosting) o una empresa que faci el desenvolupament o el manteniment d'una aplicació o plataforma que comporti accedir o tractar dades personals).

En qualsevol cas, si el desenvolupador necessita accedir a dades personals per compte del responsable del tractament, encara que només sigui en la fase de desenvolupament, cal formalitzar un contracte amb el contingut que preveu la normativa de protecció de dades1.

Cal destacar que el responsable ha d'escollir un encarregat del tractament que ofereixi prou garanties pel que fa a l'aplicació de mesures tècniques i organitzatives apropiades. Així, un element a tenir en compte a l'hora de fer aquesta elecció és que l'encarregat disposi de segells o certificacions o de procediments i protocols d'actuació que incorporin la protecció de dades des del disseny i per defecte.

1 Vegeu article 28 de l'RGPD. Autoritat Catalana de Protecció de Dades 4/39La privacitat des del disseny i la privacitat per defecte - Guia per a desenvolupadors Especialment, cal tenir en compte que les dades personals només es poden transferir fora de l'espai econòmic europeu si el país de destí té una decisió d'adequació dictada per la Comissió Europea,2 o es tenen garanties adequades d'acord amb algun dels mecanismes previstos a l'article 46 de I'RGPD.

En qualsevol cas, les mesures que el responsable ha de complir en virtut dels articles 25 i 32 de I'RGPD també les ha d'imposar a l'encarregat del tractament i, així mateix, les ha d'exigir als productes i serveis que adquireixin o que encarreguin.

En altres termes, els nous productes i serveis desenvolupats, ja siguin interns (del mateix responsable o encarregat del tractament) o externs, han de complir amb la protecció de dades des del disseny i per defecte. Altrament, el responsable del tractament no podrà complir les seves obligacions.

Per altra banda, no és descartable que els desenvolupadors que tinguin la consideració d'encarregats del tractament subcontractin alguna actuació a tercers (allotjament, utilització d'eines facilitades per tercers, etc.) que comporti que hagin d'accedir a dades personals. Aquests tercers reben la consideració de subencarregats. En aquest cas, el desenvolupador que tingui la consideració d'encarregat del tractament ha d'escollir un sostencarregat que ofereixi garanties adequades i ha de disposar de l'autorització del responsable. Al sostencarregat li son aplicables les mateixes obligacions i garanties que a l'encarregat del tractament.

A títol de resum, en el desenvolupament d'una solució tecnologica encarregada a un tercer que, a la vegada, encarrega a un altre tercer l'allotjament durant aquesta fase, els principals rols es recullen a la taula que figura a continuació:

Rols Responsable Encarregat Subencarregat

Funció Determina les finalitats i els mitjans del tractament de dades personals Presta un servei al responsable que implica accedir a dades personals Presta un servei a l'encarregat que implica accedir a dades personals

Exemple Entitat que inicia una solució tecnologica que implica tractar dades personals Desenvolupadors Servei d'allotjament (hosting)

Cal remarcar que, perquè la protecció de dades des del disseny i per defecte sigui efectiva, s'ha de garantir especialment que els desenvolupadors han tingut en compte el context en el qual s'acabarà aplicant el seu desenvolupament. Per configurar el producte amb totes les 2 La llista de països amb una decisió d'adequació es pot consultar en aquest enllaç. Autoritat Catalana de Protecció de Dades 5/39