En este audiovisual, y continuando con la misma temática del post anterior, Julio César Miguel Pérez nos explicará la protección de datos desde el punto de vista del diseño y por defecto.
Estas son dos novedades que recoge el RGPD de Europa que no incluía la ley 15/1999 ni su reglamento de desarrollo, las cuales se dirigen a la raíz de la protección de datos, desde el propio diseño o producto tener en cuenta la normativa de protección de datos para que ya el producto o servicio nazca con una conciencia de proteger los datos personales que se van a almacenar dentro de él.
En concreto nos dice la normativa que el responsable aplicará medidas técnicas y organizativas apropiadas:
Tanto en el momento de determinar los medios de tratamiento, es decir, que sistemas va a utilizar, que programas, que aplicaciones, etc… como en el momento del propio tratamiento cuando ya se esté llevando a cabo esa recogida y ese uso de los datos.
El reglamento señala algunas medidas técnicas que se pueden utilizar, como puede ser:
La seudonimización, que consiste en ocultar la identidad de una persona sustituyendo sus datos identificativos por un código, de tal modo que no es anonimizado (eliminar totalmente los datos identificativos para que no podamos identificar a esa persona), por lo tanto, en un lugar tendríamos el tratamiento de datos con códigos, y en otro lugar diferente y separado, al que no tendrían acceso las mismas personas, encontraríamos el código con los datos identificativos de esa persona, de tal modo necesitaríamos reunir las dos bases de datos para acceder a la reidentificación de ese individuo.
La minimización de datos consistiría en utilizar los datos mínimos necesarios para el tratamiento que se está llevando a cabo, esto sería la protección de datos desde el diseño, diseñar los productos y los servicios para que utilicen los menos datos posibles, lo más anónimo posible, y respetando en todo momento las medidas de seguridad.
La protección de datos por defecto indica que el responsable deberá aplicar las medidas técnicas y organizativas apropiadas para que, por defecto, solo sean objeto de tratamiento los datos necesarios para cada uno de los fines específicos:
- Cantidad de datos recogidos.
- Extensión del tratamiento.
- Plazo de conservación.
- Accesibilidad de los datos.
La protección de datos por defecto consiste en llevarlo todo al mínimo tratamiento requerido.
Estos son dos disposiciones muy interesantes de cara a la normativa de protección de datos porque obligan al responsable del tratamiento a que desde el diseño ya esté pensado en protección de datos y en el momento en que realiza un tratamiento de protección de datos sea lo más restringido posible.
El presente vídeo, “Responsable y encargado de tratamiento: Protección de datos desde el diseño y por defecto”, pertenece a los cursos de DPO y Experto en el RGPD desarrollados por Julio César Miguel Pérez para el Instituto Superior de Ciberseguridad – Grupo CFI.