Las tres palabras que dan título a este artículo constituyen un mantra que los expertos en privacidad hemos escuchado y leído hasta el hartazgo en los últimos años. Los profesionales del sector conocen sobradamente el discurso de la Comisionada de Protección de Datos de Ontario, Anne Cavoukian, o el importante trabajo sobre Privacy Impact Assessment (PIA) desarrollado por Adam Warren para la Information Commissioner’s Office (ICO) británica. En el ámbito nacional, la Agencia Española de Protección de Datos ha usado y abusado de este concepto hasta la saciedad y ofrece el servicio de autodiagnóstico EVALUA. Sin embargo, si esta afirmación es cierta, ¿por qué no ha habido semana en el último ejercicio sin que nos haya sobresaltado una noticia sobre errores en el diseño e implantación de sistemas de información vinculados a la prestación de distintos tipos de servicio?.