Vivimos en una sociedad en la que el número de objetos conectados se está disparando: 1.800 millones en Europa, según un estudio de 2022 [1] llevado a cabo por ADEME (Agencia de Transición Ecológica) y ARCEP (Autoridad Reguladora de Comunicaciones Electrónicas, Correos y Distribución de Prensa), mientras que los riesgos cibernéticos aumentan. Desde 2015, el coste anual mundial del ciberdelito se ha duplicado, alcanzando los 5,5 billones de euros en 2020. [2] !

Ya que está establecido que las violaciones de seguridad se deben con mayor frecuencia a un fallo de diseño desde el principio y no a un ataque informático. [2]“por diseño” se ha consolidado gradualmente como el medio para “pensar en el cumplimiento” antes del diseño de un objeto o de un sistema conectado y, luego, a lo largo de su ciclo de vida.

GDPR: proteger los datos personales desde el diseño

El concepto “by-design” designa un principio de “cumplimiento por diseño” que se desglosa en dos nociones relativas, por un lado, a la privacidad y, por otro, a la seguridad.

En la mayoría de los casos, se traduce en obligaciones vinculantes.

Así, el RGPD dedica un artículo específico a lo que se denomina “privacidad por diseño” (RGPD, art. 25, §1). Para proteger eficazmente la “privacidad”, el texto europeo prevé una lista no exhaustiva de medidas técnicas y organizativas restrictivas para proteger los datos personales, desde el diseño del procesamiento (RGPD, art. 32). En cuanto a las medidas técnicas, podemos citar la seudonimización y el cifrado de los datos, el principio de minimización que limita la cantidad de datos recogidos en relación con la finalidad del tratamiento y el establecimiento de procedimientos de control que permitan evaluar la seguridad del tratamiento, como como pruebas de penetración para identificar posibles vulnerabilidades de seguridad.

Las medidas organizativas también deben permitir restringir, dentro de la estructura de la empresa o institución, el acceso a los datos así como a los resultados obtenidos de su control cruzado, para formar al personal en cuestiones de protección de datos. datos personales o involucrar al delegado de protección de datos lo antes posible en el diseño de un proyecto. Además, el responsable del tratamiento tiene la obligación de realizar estudios de impacto en la privacidad (Privacy Impact Assessment) con el fin de mapear los riesgos (RGPD, art. 35). Tantas obligaciones para la empresa cuyo incumplimiento puede acarrear fuertes multas de hasta 10 millones de euros o el 2% de la facturación anual global de la empresa. [3] !

DSA: garantizar la información al consumidor

Más recientemente, la Ley de Servicios Digitales, que entró en vigor el 25 de agosto de 2023, exige que “los proveedores de plataformas en línea que permitan a los consumidores celebrar contratos a distancia con profesionales” garanticen “que su interfaz en línea esté diseñada y organizada de manera que permita a los profesionales cumplir con sus obligaciones en materia de información precontractual, cumplimiento e información sobre seguridad de los productos que les corresponden en virtud del Derecho de la Unión aplicable. » (DSA, art. 31).

A veces, el concepto “por diseño” forma parte de un proceso de certificación simple y no vinculante, “seguridad por diseño”. Este es el caso de la Ley de Seguridad Cibernética de 2019, que insta a los proveedores de TIC a garantizar [4] seguridad del producto desde la etapa de diseño y respaldarlo durante todo el ciclo de vida del producto (Ley de Seguridad Cibernética, art. 56). Sin embargo, debería generalizarse porque es el objeto de una propuesta de reglamento europeo, la “ley de ciberresiliencia”, destinada a imponer normas esenciales relativas al diseño de productos digitales para garantizar su ciberseguridad. [5].

Por defecto complementario al por diseño

Además del diseño por defecto, se ha desarrollado otro concepto: “por defecto”. En una primera variante denominada "privacidad por defecto", el operador tiene la obligación de garantizar que, por defecto, sólo se traten los datos personales necesarios para cada finalidad específica del tratamiento (RGPD, artículo 25§2). El legislador europeo quería imponer aquí el máximo grado de protección, que se aplica por defecto. Es con este objetivo que el usuario es el único capaz de autorizar nuevos tratamientos (por ejemplo, al descargar una aplicación en su teléfono inteligente, le corresponde autorizar o no el acceso a la cámara).

En una versión de “seguridad por defecto”, la Ley de Seguridad Cibernética invita a los diseñadores a configurar sus productos, servicios y procesos “de tal manera que garanticen un mayor nivel de seguridad” (Ley de seguridad cibernética, considerando 13). De esta forma, el primer usuario recibe una configuración por defecto con los ajustes más seguros posibles, sin tener que realizar ninguna manipulación. Una vez puesto a disposición del usuario, el objeto o sistema conectado deberá configurarse de forma que sea, por defecto, resistente a las técnicas de explotación más extendidas, sin coste adicional.

Tantas reglas destinadas a garantizar el cumplimiento... ¡siempre que se domine bien el sistema!

[1] https://medias.vie-publique.fr/data_storage_s3/rapport/pdf/283889.pdfcitando a Ademe y Arcep (2022), Evaluación del impacto ambiental de la tecnología digital en Francia y análisis prospectivo, enero.
[2] Fuente: Dalloz, Larcier, Delegado de Protección de Datos
[3] En concreto, la multa puede ascender hasta 20 millones de euros o el 4% de la facturación global anual en caso de incumplimiento de los principios fundamentales del RGPD, de los derechos de las personas, de las disposiciones sobre transferencias o del incumplimiento de un pedido. de una autoridad. (RGPD artículo 83°5)
[4] Ley de Seguridad Cibernética, artículo 56. 3: "La Comisión evaluará periódicamente la eficacia y el uso de los sistemas europeos de certificación de la ciberseguridad adoptados y determinará si un sistema europeo específico de certificación de la ciberseguridad debería ser obligatorio en virtud de la legislación pertinente de la 'Unión en para garantizar un nivel adecuado de ciberseguridad de los productos TIC'
[5] Véase el considerando 5 de la “ley de ciberresiliencia”