El anglicismo que alude al tema es Privacy by Design, y los conceptos usados son el de protección de datos por diseño y por defecto, la privacidad por diseño o simplemente “PpD”. Se consigna, (i) que la privacidad o protección de datos “por diseño”, como originalmente se le denominó, posteriormente y conceptualmente fue complementada con la expresión “por defecto”, y (ii) que se refiere al proceso mediante el cual, las organizaciones abocadas al tratamiento de datos, aplican medidas técnicas y organizativas en las fases iniciales del diseño de las operaciones de tratamiento, de manera de garantizar la privacidad (léase la confidencialidad) y el respeto de los principios basales de la PDP.
En Europa es un principio de la protección de datos recogido en el RGPD, más no en una sola norma o artículo concreto del RGPD, sino que se menciona en diferentes acápites. Se le define como la aplicación de medidas técnicas y organizativas, necesarias y adecuadas, preventivas no correctivas y proactivas no reactivas (cuestión de hecho), “incrustadas en el diseño”, para garantizar la protección “y la confidencialidad”[i] de los datos de los titulares o interesados antes de llevar a cabo el tratamiento. De otra forma, se traduce en que al diseñarse una plataforma, aplicación o medio a través del cual se tratarán datos personales se deben diseñar también las medidas de seguridad necesarias que por ende cubrirán todo el ciclo de vida de loa DP “desde el momento en el que se plantea un diseño para su tratamiento hasta su definitivo despliegue y utilización” por los usuarios. Técnicamente, antes de su puesta en producción o comercialización.
En efecto: (i) el Considerando 78 del RGPD alude a que con el objeto de poder demostrar la conformidad con el Reglamento, el responsable del tratamiento deberá adoptar (es imperativo) políticas internas y aplicar medidas que cumplan en particular los principios de protección de datos desde el diseño y por defecto; (ii) el artículo 25.1 alude a que teniendo en cuenta el estado de la técnica, el costo de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que implique para los derechos y libertades de las personas natrales (físicas), el responsable del tratamiento aplicará, diseñará o establecerá al momento de determinar los medios de tratamiento y al momento del propio tratamiento, “medidas técnicas y organizativas apropiadas”[ii], que deberán ser proporcionales en función de la sensibilidad de los datos que se pretenden recoger o tratar, y concebidas para aplicar de forma efectiva los principios de protección de datos e integrar las garantías necesarias.
A la letra y según el Grupo Ático 34, un sistema así diseñado[iii], reunirá o debiera reunir las siguientes características, que por cierto equivalen a los siete principios que determina la Norma ISO 37001:2023:
(i) Preventivo, no Correctivo; Proactivo, no Reactivo, o basado en medidas proactivas que previenen y anticipan problemas de confidencialidad antes que ocurran o sin esperar “que los riesgos se materialicen”[iv]; (ii) se leerá como Privacidad con Configuración Predeterminada, porque se trata de que un producto o servicio desarrollado bajo este concepto no requiere ninguna acción por parte del usuario para proteger su privacidad, y aunque la persona no realice ninguna acción la privacidad se mantiene intacta porque ha sido predeterminada y porque los datos personales deben estar automáticamente protegidos en cualquier sistema; (iii) se habla de Privacidad Incrustada en el Diseño, porque debe convertirse en una parte esencial o integral del producto o servicio que se está desarrollando y no debe influir en su funcionalidad; (iv) se exige una Funcionalidad Total, porque un producto o servicio debe estar plenamente operativo con todas las funcionalidades activas, sin dejar de lado la privacidad de los usuarios; (v) se exige Seguridad de Extremo a Extremo, porque se pretende que la privacidad sea constante y englobe el ciclo de vida completo del sistema o servicio, antes incluso que el primer dato personal sea recolectado y hasta la eliminación del servicio; el efecto es que se garantiza que durante la vida de instrumento tecnológico la información será segura; y, (vi) se espera Visibilidad y Transparencia, para asegurar que el tratamiento esté funcionando bajo los objetivos declarados, pueda someterse si es necesario a una verificación independiente y sus componentes y operaciones permanecen visibles y transparentes a usuarios y proveedores.
La Comisión Europea consigna ejemplos concretos. Uno, de protección de datos desde el diseño, sería el uso de seudónimos y el cifrado de la información; un ejemplo de acciones de protección de datos por defecto, sería el limitar la accesibilidad de perfil de usuarios de redes sociales, de forma tal que no sea accesible a un número indefinido de personas. Ambos ejemplos evidencian que se trata de enfocar el tratamiento de datos a la gestión del riesgo de forma proactiva, mediante el uso de estrategias que incorporen la protección de la privacidad en todo el ciclo de vida del tratamiento de los DP.
Metodológicamente, se ha propuesto el siguiente ejemplo o caso concreto. Una empresa está diseñando una aplicación móvil a través de la cual los usuarios podrán organizar partidos de sus deportes favoritos con otros usuarios, pudiendo marcar sus preferencias de deportes, horarios, lugar para la celebración del partido, etc. Si la empresa quiere basarse en el Principio en estudio, para desarrollar la aplicación y cumplir con el RGPD, debería: (i) analizar los datos que se van a tratar y ver qué consideración tienen; (ii) establecer mecanismos predeterminados que velen por la máxima privacidad para el usuario; (iii) considerar que los ajustes de privacidad del usuario saldrán de partida con la máxima privacidad; (iv) deberá ser el usuario el que los modifique si desea tener menos protección; y, (v) lo anterior se deberá realizar antes del lanzamiento de la aplicación y validarlo mediante una serie de pruebas con datos no reales (por ejemplo, usando RUTs falsos)[v].
Debiera quedar en evidencia de lo explicado que para que los riesgos no se materialicen , será necesario analizar los que sean posibles de verificarse, antes de hacer un tratamiento de datos personales y, cuando así se requiera –por ejemplo por la naturaleza de los datos y el volumen o número de los tratados-, una evaluación de impacto[vi]. Por cierto, si sumamos la evaluación de la gestión de riesgos del tratamiento de DP, la evaluación de impacto y la protección desde el diseño y por defecto, se construye el contexto de la denominada responsabilidad activa o proactiva, misma que en la normativa colombiana se denomina Principio de Responsabilidad Demostrada.
También relacionando temas, la Ley chilena de Ciberseguridad de Abril del 2024, establece vínculos importantes con la normativa de protección de datos personales. En concreto, se alude al Principio de seguridad y privacidad por defecto y desde el diseño, porque sistemas informáticos y aplicaciones deben ser diseñados, implementados y gestionados teniendo en cuenta la seguridad y la privacidad (léase la confidencialidad) de los datos personales que se procesen, garantizándose la protección de la información en todo momento. Así lo establece el artículo 3° N°8 de la Ley N° 21.663.
Proyecciones al ámbito de la IA. En el mes de mayo del 2024, el Ejecutivo abordó dos iniciativas. A diferencia de la Política Nacional de Ciberseguridad, que en Chile es un Decreto Supremo que pasó por la CGR para toma de razón (el D.S. N°164 de junio del 2023) sin peso normativo alguno se formula una nueva versión de Política de IA para Chile. Pero, en segundo lugar, se presentó un proyecto de ley ad hoc o «Sobre Inteligencia Artificial» para el blindaje jurídico, y que incluso regula el llamado reconocimiento facial.
Se afirma que el proyecto de ley presenta avances significativos en materia de ciberseguridad, con un enfoque basado en la clasificación de los sistemas de IA según su nivel de riesgo, lo que permite aplicar medidas proporcionales para mitigar los posibles daños; la inclusión de sistemas de IA de alto riesgo, con requisitos específicos de seguridad, es un paso fundamental para proteger la integridad de infraestructuras críticas y la privacidad (léase confidencialidad) de los datos. Y se considera además que la creación de un Consejo Asesor Técnico de IA, con la participación de expertos en ciberseguridad y de la futura Agencia de Datos Personales, que tendrá facultades de fiscalización y cumplimiento de las disposiciones del proyecto, sería un acierto para orientar las políticas públicas en esta materia.
La Ley N° 19.628 modificada. Artículo 14 quáter sobre el deber de protección desde el diseño y por defecto. Dispone la norma que, con la finalidad de cumplir los principios y los derechos de los titulares establecidos en la ley, “el responsable debe aplicar medidas técnicas y organizativas adecuadas desde el diseño, con anterioridad y durante el tratamiento de los datos personales”. Agrega que las medidas a aplicar deberán tener en consideración el estado de la técnica, los costos de implementación, la naturaleza, ámbito, contexto y fines del tratamiento de datos, y los riesgos asociados a dicha actividad. En otro contexto, las mismas medidas o de igual naturaleza se deberán aplicar –dice la ley- para garantizar que “por defecto sólo sean objeto de tratamiento los datos personales específicos y estrictamente necesarios para dicha actividad”, considerándose el número de datos recogidos, la extensión del tratamiento, el plazo de conservación y su accesibilidad. (Santiago, 21 de marzo de 2025)
[i] La literatura suele hablar de la intimidad o privacidad, que ya se ha explicado es un derecho diverso de la PDP. Que cierta data sea intima o privada dependerá de su naturaleza, pero en sede de PDP la exigencia de confidencialidad o reserva es más general y predicable en materia de SGSI.
[ii] Un ejemplo de estas medidas recogido expresamente en el RGPD y citado en la página de la AEPD sobre la privacidad desde el diseño y por defecto, es la seudonimización, que, creando un seudónimo (que por cierto será reversible) permite que no se pueda reconocer la identidad de una persona sin usar información adicional y reduciendo así el riesgo de vincular unos datos con su titular. “Consiste en quitar los datos denominativos del titular de los datos sustituyéndolos, por ejemplo, por un código numérico”.
[iii] A la hora de fijar las medidas y porque no todos los sistemas son iguales, como tampoco son iguales los datos que se van a recoger, se sugiere tener en cuenta: (i) la naturaleza, ámbito, contexto y finalidad del tratamiento; (ii) los riesgos de diversa probabilidad y gravedad (no solo respecto al riesgo alto); (iii) el estado de la técnica; y (iv) los costos de implementar una solución.
[iv] La cultura al parecer mayoritaria opta por valorar el riesgo y solucionarlo después de que haya ocurrido.
[v] El año 2019 se habría aplicado la primera sanción por infracción a las disposiciones del citado Reglamento; una multa de 130.000 Euros a una entidad financiera que no cumplió con el deber de implementar medidas técnicas y organizativas apropiadas, lo que derivó en la divulgación de datos sobre el número de identificación personal y la dirección de los clientes.
[vi] A modo de anticipo, el artículo 15 ter de la modificación aprobada a la LPDP de Chile y publicada en Diciembre del 2024 alude a la evaluación de impacto en protección de datos personales; y dispone que cuando sea probable que en un tipo de tratamiento que por su naturaleza, alcance, contexto, tecnología utilizada o fines pueda producir un alto riesgo para los derechos de las personas titulares de los datos personales, siempre el responsable del tratamiento deberá realizar, previo al inicio de las operaciones del tratamiento, una evaluación del impacto.
