Viktoria ComplianceStart Assessment
Volver al blog
Buenas prácticas9 min readDecember 20, 2025

Privacidad por diseño según el artículo 25 del GDPR: Guía de implementación para equipos de producto e ingeniería

El artículo 25 del RGPD establece dos obligaciones complementarias: la protección de datos desde el diseño y la protección de datos por defecto. No se trata de objetivos ambiciosos. Se trata de requisitos jurídicamente vinculantes que se aplican a todos los responsables del tratamiento y que pueden hacerse cumplir con multas de hasta 10 millones de euros o el 2 % del volumen de negocios anual mundial en virtud del artículo 83, apartado 4. Sin embargo, para muchos equipos de producto e ingeniería, traducir estas obligaciones legales en flujos de trabajo de desarrollo prácticos sigue siendo un reto.

Esta guía tiende un puente entre el texto normativo y el desarrollo cotidiano de software. Proporciona un marco práctico para integrar la privacidad en el ciclo de vida del producto, desde el diseño inicial hasta la implantación y más allá.

Comprender el artículo 25

El artículo 25, apartado 1, obliga al responsable del tratamiento a aplicar medidas técnicas y organizativas apropiadas para aplicar de manera efectiva los principios de protección de datos y a integrar en el tratamiento las garantías necesarias. Esta obligación se aplica en el momento de la determinación de los medios para el tratamiento y en el momento del propio tratamiento.

El apartado 2 del artículo 25 exige que, por defecto, sólo se traten los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esto se aplica a la cantidad de datos recogidos, el alcance del tratamiento, el periodo de almacenamiento y la accesibilidad. Por defecto, los datos personales no serán accesibles sin intervención individual a un número indefinido de personas físicas.

Las Directrices 4/2019 del BEPD sobre el artículo 25 aclaran que la obligación de aplicar la protección de datos desde el diseño es un requisito continuo y dinámico que debe evaluarse continuamente durante todo el ciclo de vida del tratamiento.

Los 7 principios fundamentales

El marco fundacional de Ann Cavoukian para la privacidad desde el diseño, desarrollado originalmente en la década de 1990, sigue siendo el modelo conceptual más ampliamente referenciado. Estos siete principios constituyen la base filosófica del artículo 25:

  1. Proactivo, no reactivo; preventivo, no correctivo. Anticipe y evite los sucesos invasivos de la privacidad antes de que ocurran. No espere a que se materialicen los riesgos para la privacidad.
  2. Privacidad como configuración predeterminada. Garantizar la protección automática de los datos personales en cualquier sistema. No debe ser necesaria ninguna acción por parte del individuo para proteger su privacidad.
  3. Privacidad integrada en el diseño. Integrar la privacidad en el diseño y la arquitectura de los sistemas informáticos y las prácticas empresariales. La privacidad no es un añadido añadido.
  4. Plena funcionalidad: suma positiva, no suma cero. Dar cabida a todos los intereses y objetivos legítimos. La privacidad no debe ir en detrimento de la funcionalidad, y la funcionalidad no debe ir en detrimento de la privacidad.
  5. Seguridad de extremo a extremo: protección de todo el ciclo de vida. Garantice la aplicación de medidas de seguridad adecuadas a los datos a lo largo de todo el ciclo de vida, desde su recogida hasta su eliminación.
  6. Visibilidad y transparencia: manténgalo abierto. Garantice a todas las partes interesadas que los procesos en los que intervienen datos personales funcionan de acuerdo con las promesas y objetivos declarados, sujetos a verificación independiente.
  7. Respeto a la privacidad del usuario: centrarse en el usuario. Los arquitectos y operadores deben velar por los intereses de las personas ofreciendo opciones de privacidad sólidas, avisos adecuados y opciones fáciles de usar.

Integración de la privacidad desde el diseño en flujos de trabajo ágiles

A menudo se considera que la privacidad desde el diseño es incompatible con el desarrollo ágil. En la práctica, se integra de forma natural en los flujos de trabajo basados en sprints cuando se enfoca correctamente.

Planificación de sprints

Durante la planificación del sprint, cada historia de usuario que implique datos personales debe dar lugar a una evaluación de la privacidad. Añade una lista de comprobación de privacidad a tu plantilla de historias:

  • ¿Recoge esta función nuevos datos personales?
  • ¿Cambia esta función el tratamiento de los datos personales existentes?
  • ¿Comparte esta función datos personales con nuevos destinatarios?
  • ¿Implica esta función la toma de decisiones automatizada o la elaboración de perfiles?
  • ¿Puede aplicarse la función con menos datos personales (minimización de datos)?

Si alguna de las respuestas es afirmativa, la historia requiere una revisión de privacidad antes de que comience la implementación. Esta revisión puede ser realizada por el RPD, un ingeniero de privacidad o un miembro formado del equipo, dependiendo de la complejidad.

Historias de usuarios con requisitos de privacidad

Los requisitos de privacidad deben estar explícitos en las historias de usuario. Por ejemplo:

Historia de usuario estándar: "Como usuario, quiero ver mi historial de pedidos para poder hacer un seguimiento de mis compras".

Privacidad mejorada: "Como usuario, quiero ver mi historial de pedidos para poder hacer un seguimiento de mis compras". Criterios de aceptación: (1) Sólo se muestran los pedidos pertenecientes al usuario autentificado. (2) Los datos del pedido se recuperan con los campos mínimos necesarios para su visualización. (3) Las direcciones de entrega están parcialmente enmascaradas por defecto. (4) El acceso se registra con fines de auditoría".

Definición de Hecho

La definición de "hecho" de su equipo debe incluir criterios de privacidad:

  • Lista de control de la privacidad revisada y completada
  • Se confirma la minimización de datos (no se recogen ni conservan datos innecesarios)
  • Controles de acceso aplicados y comprobados
  • Aviso de privacidad actualizado si se introducen nuevos datos
  • Conservación de datos conforme a la política de conservación documentada
  • DPIA actualizado si la característica cambia el perfil de riesgo

Patrones de minimización de datos

La minimización de datos (artículo 5.1.c) es la expresión más práctica de la privacidad desde el diseño. Exige que los datos personales sean adecuados, pertinentes y limitados a lo necesario para los fines del tratamiento. Las pautas eficaces de minimización de datos incluyen:

Minimización de la recogida:

  • Recopilar sólo los campos necesarios para el fin declarado
  • Utilizar la divulgación progresiva: recopilar datos mínimos al principio, solicitar datos adicionales sólo cuando sea necesario.
  • Evite los campos "agradables de tener": si los datos no son necesarios para el tratamiento, no los recoja.

Minimización del tratamiento:

  • Procesar los datos al nivel de agregación más alto que sirva al propósito
  • Utilizar la seudonimización cuando la identificación individual no sea necesaria para el tratamiento
  • Separar los datos: almacenar los identificadores separados de los datos de comportamiento.

Minimización de la retención:

  • Definir y aplicar periodos de conservación para cada categoría de datos
  • Aplicar la supresión automatizada o la anonimización al final del periodo de conservación
  • Revisar anualmente los periodos de conservación y reducirlos cuando sea posible.

Minimización del acceso:

  • Aplicar controles de acceso basados en funciones: los usuarios sólo deben acceder a los datos que necesitan para su función.
  • Implementar el acceso basado en el tiempo: acceso temporal para tareas específicas, revocado automáticamente.
  • Registrar y auditar todos los accesos a datos personales

Tecnologías de protección de la intimidad

El artículo 25 y el considerando 78 del RGPD hacen referencia específica a medidas técnicas como la seudonimización y el cifrado. Un conjunto más amplio de tecnologías de mejora de la privacidad (PET) puede reforzar la aplicación de la privacidad desde el diseño:

Pseudonimización (artículo 4, apartado 5):

Sustituir los datos de identificación directa (nombres, direcciones de correo electrónico) por identificadores seudónimos. La correspondencia entre seudónimos e identidades se almacena por separado con estrictos controles de acceso. La seudonimización reduce el riesgo en caso de infracción, al tiempo que permite volver a identificar los datos cuando sea necesario para un tratamiento legítimo.

Cifrado:

Implementar el cifrado en reposo (AES-256 o equivalente) para los datos personales almacenados y el cifrado en tránsito (TLS 1.3) para todas las transmisiones de datos. El cifrado hace que los datos sean ininteligibles para las partes no autorizadas y se reconoce explícitamente en el artículo 34, apartado 3, letra a), como un factor que puede eliminar la obligación de notificar una violación a los interesados.

Controles de acceso:

Implemente controles de acceso granulares y basados en funciones con el principio del menor privilegio. Combínelo con la autenticación multifactor para el acceso a datos confidenciales. Supervise y registre todos los accesos para auditoría y detección de anomalías.

Anonimización:

Cuando los datos personales ya no sean necesarios para su finalidad original, pero los patrones subyacentes sean valiosos (por ejemplo, análisis), aplique técnicas de anonimización que imposibiliten la reidentificación. Los datos verdaderamente anonimizados quedan totalmente fuera del ámbito de aplicación del RGPD. Sin embargo, sea prudente: el Dictamen 05/2014 del Grupo de Trabajo del Artículo 29 advierte de que muchas supuestas técnicas de anonimización pueden revertirse con datos auxiliares.

Privacidad diferencial:

En los casos de uso analítico y de aprendizaje automático, la privacidad diferencial añade ruido calibrado a los conjuntos de datos para evitar que se infieran registros individuales. Esta técnica permite el análisis estadístico al tiempo que ofrece garantías matemáticas contra la reidentificación.

Integración de la DPIA

La privacidad desde el diseño y las evaluaciones de impacto sobre la protección de datos (artículo 35) son procesos complementarios. Cuando una nueva función o sistema exige una EIPD, el análisis de la privacidad desde el diseño se incorpora directamente a la EIPD:

  • La evaluación de la minimización de datos sirve de base para el análisis de necesidad y proporcionalidad de la EIPD.
  • La selección de PET informa la sección de mitigación de riesgos de la EIPD
  • El diseño del control de acceso informa la sección de medidas de seguridad de la DPIA
  • La política de conservación informa el análisis de limitación de almacenamiento de la EIPD

Integre las revisiones de DPIA en su ciclo de sprints para las funciones que impliquen un procesamiento de alto riesgo. De este modo se evita el antipatrón habitual de realizar las DPIA a posteriori, una vez que el sistema ya está construido e implantado.

Medir la madurez de la privacidad desde el diseño

Para ir más allá de la integración ad hoc de la privacidad, establezca métricas que realicen un seguimiento de la madurez de la privacidad desde el diseño de su organización:

  • Porcentaje de historias de usuario con listas de comprobación de privacidad cumplimentadas
  • Número de funciones desplegadas sin revisión de la privacidad (objetivo: cero)
  • Tiempo medio para resolver los problemas de privacidad detectados en la revisión del código
  • Delta de recogida de datos: número de nuevos campos de datos personales añadidos frente a los suprimidos por trimestre
  • Tasa de conformidad de la retención: porcentaje de categorías de datos dentro de su periodo de retención definido.
  • Tasa de realización de DPIA: porcentaje de características de alto riesgo con DPIA completadas antes de su despliegue.

Crear una cultura de ingeniería de la privacidad

En última instancia, el éxito o el fracaso de Privacy by Design depende de si los equipos de ingeniería interiorizan la privacidad como una restricción de diseño. Para ello es necesario:

  • Formación: Formación periódica en ingeniería de la privacidad para desarrolladores, control de calidad y gestores de productos.
  • Herramientas: Herramientas de filtrado de privacidad, integraciones de mapeo de flujo de datos y activadores automatizados de PIA en su canal de CI/CD.
  • Defensores: Designar campeones de privacidad dentro de cada equipo de ingeniería que sirvan como primer punto de contacto para cuestiones de privacidad.
  • Incentivos: Reconocer y recompensar las decisiones de diseño que protejan la privacidad. La privacidad debe ser un atributo de calidad, no un obstáculo burocrático.
  • Circuitos de retroalimentación: Compartir con los equipos de ingeniería las medidas de ejecución, los estudios de casos de infracción y los resultados de las auditorías para mantener la conciencia de las consecuencias en el mundo real.

El artículo 25 no es un ejercicio de marcar casillas. Es un compromiso permanente para crear sistemas que respeten la privacidad individual por diseño y por defecto. Las organizaciones que integren este compromiso en su cultura de ingeniería descubrirán que la privacidad se convierte en un elemento facilitador, no en una limitación: genera confianza en el usuario, reduce el riesgo de infracción y demuestra la responsabilidad que exige el RGPD.

Evalúe su preparación en cumplimiento

Realice nuestra evaluación gratuita de preparación para RGPD, NIS2 y Reglamento de IA y obtenga recomendaciones personalizadas en minutos.

Iniciar evaluación gratuita

EU Compliance Weekly

Get the latest regulatory updates, compliance tips, and enforcement news delivered to your inbox every week.

We respect your privacy. Unsubscribe anytime.