Legal Design, pieza clave para el fomento de la competitividad empresarial

También se declara que el principio de cumplimiento normativo desde el diseño es de aplicación íntegramente al desarrollo de los entornos digitales, y por ello los desarrollos científicos, tecnológicos y su despliegue contemplarán en la determinación de sus requerimientos un análisis sobre el cumplimiento de tal principio.

Esto justifica el interés creciente por implantar modelos y políticas de tecnología responsable en las empresas, así como el establecimiento de Oficinas de Apoyo a la Innovación y la Transformación Digital, que operan bajo un criterio de Legal Design y también de criterios de ética digital, con apoyo en políticas o protocolos que permitan demostrar a aquellas un cumplimiento proactivo y diligente de la norma en desarrollo de sus productos y servicios en entornos digitales.

¿Es el Legal Design algo distinto al Privacy by Design?

Los criterios de diseño legal de productos y servicios, atendiendo a tal criterio general, pueden aplicarse de forma sectorial a diferentes aspectos a controlar durante los procesos de legal design, es decir, es un modelo o proceso de trabajo necesario que puede englobar la comprobación de distintos dominios. Entre ellos están los controles asociados a la política de privacidad desde el diseño (“Privacy by Design” o “PbD”).

Respecto al PbD, el artículo 25.1 del Reglamento General de Protección de Datos (RGPD) dispone que teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento, como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del RGPD y proteger los derechos de los interesados.

Además, el RGPD prevé que puedan utilizarse mecanismos de certificación, conforme lo dispuesto en esta norma para poder demostrar que se aplican tales “principios y modelos de Legal Design” en el ámbito de la privacidad. De hecho, recientemente, se presentó la nueva “ISO/DIS 31700. Consumer protection — Privacy by design for consumer goods and services” y que establece un marco de referencia particular en este sentido.

La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para aplicar de forma efectiva los principios de protección de datos desde el diseño, así como la no integración de las garantías necesarias en el tratamiento, determina la comisión de una infracción grave, según el artículo 73 d) de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

De ahí que sea tan necesario en este caso:

• Contar con una Política de Privacidad desde el Diseño, pudiendo basar la misma en las consideraciones y orientaciones dispuestas por las distintas autoridades de control competentes. Esta política suele ser requerida en caso de inspección por parte de la Agencia Española de Protección de Datos (AEPD) en procesos de verificación del cumplimiento por la Organización de la normativa protectora de datos personales.

• Contar con estructuras internas que permitan aplicar de forma efectiva y práctica lo contenido en la política de PbD. Estas estructuras suelen integrar más funciones asociadas a otros procesos de diseño legal y responsable de los productos y servicios corporativos. De hecho, parece lógico realizar un ejercicio de amplio espectro y holístico en este sentido puesto que la privacidad desde el diseño no es algo ajeno al diseño legal, formando parte de las estrategias generales de las Organizaciones en este ámbito, junto con otros dominios de diseño legal a controlar.

• Concienciar y formar a los distintos equipos implicados en la importancia de estos procesos específicos de diseño legal, a fin de que les permita entender las implicaciones jurídicas, de negocio y competitivas en caso de no aplicar estos parámetros. También su carácter estratégico y diferencial frente a la competencia, pues los usuarios requieren cada vez mayor confiabilidad en los productos y servicios que usan por parte de las empresas.
• Prever recursos y elementos de apoyo suficientes para garantizar la aplicación efectiva de criterios de diseño legal y privacidad desde el diseño.

Por consiguiente, la privacidad desde el diseño forma parte crucial de los procesos y operativas de diseño legal, si bien este último aborda otros tantos aspectos más allá de la privacidad. Contar con esta mirada amplia es absolutamente crucial para no quedarse corto desde el punto de vista del adecuado cumplimiento normativo.

¿Qué aporta un modelo de Legal Design a las empresas?

Los nuevos modelos y estructuras de “Legal Design” aportan un enorme valor a las empresas, destacándose las siguientes de manera enunciativa:

• Permite demostrar cumplimiento proactivo de la normativa actual, mitigando al máximo posibles riesgos legales y reputacionales asociadas a la falta de cumplimiento legal de productos y servicios que se lancen al mercado.

• Evita costes innecesarios derivados de la adecuación posterior de líneas de negocio lanzadas al mercado sin las necesarias garantías jurídicas previas, estableciendo una operativa más coherente con la correcta aplicación de los recursos y presupuestos de una Organización.

• Facilita el uso inteligente de la ley como factor competitivo al permitir garantizar, quizás frente a otros competidores, un elevado grado de confiabilidad de los productos y servicios porque estos han sido desarrollados con parámetros de legalidad y ética digital desde su proyección inicial.

• Promueve el cumplimiento de criterios ESG porque ayuda en el cumplimiento de indicadores y métricas importantes como son los de gobernanza y ética de los negocios, por relación a la adecuada protección de las personas y sus derechos.

Cumplir con la agenda normativa digital de los próximos meses requerirá poner el foco en los procesos de “Legal Design”. Por ejemplo, la necesaria adaptación de los intermediarios en línea a la nueva Ley europea de Servicios Digitales (DSA), norma en vigor y de directa aplicación el próximo 17 de febrero de 2024, requerirá de un importante esfuerzo de re-diseño legal de tales plataformas y el mantenimiento sostenido en el tiempo de este tipo de procesos y operativas legales.

En el mismo sentido, la normativa europea de Inteligencia Artificial requerirá adoptar medidas reforzadas en este ámbito. La nueva Agencia Española de Supervisión de la Inteligencia Artificial, o el nuevo Centro europeo de Transparencia Algorítmica (sobre todo, por relación a DSA) centran parte de sus esfuerzos en promover prácticas responsables desde el diseño legal de sistemas de Inteligencia Artificial o su uso por las empresas a diferente nivel. También la AEPD ha emitido diversos criterios en el diseño legal coherente por relación a la IA que son importantes conocer y aplicar.

Dicho todo  lo anterior  y a modo de conclusión, hoy más que nunca, resulta altamente recomendable prever estrategias integrales de “Legal Design” en las Organizaciones que incluyan aspectos como el “Privacy by Design”, pero también otros dominios, áreas y aspectos importantes a la vista de las tendencias asociadas al Derecho Digital, que abogan por aplicar de forma integral criterios de diseño legal de forma transversal, sobre todo, cuando se opera en ecosistemas digitales.