D’ençà que el Reglament General de Protecció de Dades (GDPR) va entrar en vigor a Europa el 2016, la legislació i els organismes públics han estat molt més exigents amb les empreses que no oferien una correcta protecció de les dades personals dels seus usuaris. Un dels aspectes més oblidats de la normativa són la privacitat des del disseny i la privacitat per defecte, dos conceptes que fan referència a incorporar des de l’inici de la creació d’un nou producte tecnològic els mecanismes per assegurar que la informació personal estigui plenament blindada. Una filosofia que, segons la vicepresidenta de privacitat global de Future of Privacy Forum, Gabriela Zanfir-Fortuna, pot generar “avantatges competitius” a qui l’adopti més aviat: “No es tracta només de complir la llei i evitar multes, sinó que també evita danys reputacionals”. Així s’ha expressat l’experta en una sessió organitzada per l'Autoritat Catalana de Protecció de Dades (APDCAT) al 4YFN que ha servit com a entrant per presentar la guia per a desenvolupadors que han elaborat.

En la seva intervenció, Zanfir-Fortuna s’ha mostrat contundent: “La protecció de la privacitat no pot ser un pensament posterior”. La conferenciant ha assenyalat que aquest aspecte no només afecta les empreses que desenvolupen productes informàtics, sinó també a tota companyia que compri aquestes solucions. “De fet, molts dels casos en què les obligacions no es compleixen involucra corporacions que han comprat productes que tracten dades sense validar la seva seguretat”, ha afegit. Un dels exemples que ha mostrat és el del Budapest Bank, entitat a qui l’Autoritat de Protecció de Dades va imposar una multa de 250 milions d’euros per utilitzar un sistema d’intel·ligència artificial que enregistrava les veus dels clients per prioritzar els que sonaven més enfadats. La sanció es va establir perquè el software no tenia les garanties suficients de protecció d’aquesta informació personal.

Zanfir-Fortuna: “No es tracta només de complir la llei i evitar multes, sinó que també evita danys reputacionals”

Un cas similar, i encara més sonat, és el d’Instagram, que el passat mes de setembre va rebre una multa de 405 milions d’euros per no comptar amb un sistema que protegís correctament la privacitat dels usuaris menors d’edat. El problema es trobava quan un usuari passava de tenir un compte personal a un de comercial, un moviment habitual en el món dels influenciadors digitals. En aquests casos, la plataforma obligava a oferir un mètode de contacte públic, com el número de telèfon o el correu electrònic. “Les mesures que va prendre l’empresa eren reactives en comptes de proactives”, ha subratllat Zanfir-Fortuna.

És en aquest context que l’experta considera que les start-ups són les que estan “millor situades per canviar tot el paradigma de la protecció digital”, ja que poden implementar aquesta manera de dissenyar des de l’inici i “convertir-ho en un model de negoci per si mateix, la privacy as a service“. Per potenciar aquests projectes, la guia de l’APDCAT explica tots els punts que cal tenir en compte en cinc fases: disseny, desenvolupament i proves, recollida de dades, ús de les dades, comunicació o divulgació de les dades i manteniment i conservació de les dades. El document també detalla quines mesures cal aplicar per xifrar i anonimitzar la informació personal, així com els riscos que van associats a aquestes pràctiques. En darrer lloc, la guia incorpora un esquema gràfic que sintetitza els passos i les decisions que cal prendre i una checklist dividida en les cinc fases anteriors per no oblidar cap de les actuacions que cal aplicar.