La AEPD ha publicado recientemente en su labor como  divulgadora de la protección de datos la “Guía de protección de datos por defecto”. Se trata de una guía práctica para ayudar a aplicar este principio recogido en el art. 25 del RGPD y lo establecido en la guía publicada por el Comité Europeo de Protección de Datos “Guidelines 4/2019 on Article 25 Data Protection by Design and by Default”.

¿A quién va destinada?

 

Es una guía con un marcado carácter práctico, que cuenta con un catálogo de medidas a adoptar que deberán tener en cuenta todos los sujetos que participan en el tratamiento de datos personales, siendo los siguientes:

  • Los responsables de tratamiento
  • Los delegados de protección de datos
  • Los Departamentos del responsable que diseñen, seleccionen o desarrollen la explotación de aplicaciones y servicios.
  • Los encargados de tratamiento.

La formación y actualización del conocimiento en la normativa de protección de datos de todos los sujetos implicados en el tratamiento, se convierte en un factor clave para conseguir la aplicación de los principios y exigencias del RGPD con éxito.

 

 

¿Cuáles son las principales estrategias para aplicar la protección de datos por defecto?

 

Lo primero que tenemos que conocer es la definición del término protección de datos por defecto, en la guía aparece denominado con las siguientes siglas PDpD. Este principio consiste en que sólo deben ser objeto de tratamiento los datos personales que sean estrictamente necesarios y suficientes para cada uno de los fines de tratamiento.

Estrategias de procesamiento

 

La configuración por defecto la tiene que llevar a cabo el responsable, sin que sea necesaria la intervención del usuario para garantizar que el tratamiento sea respetuoso con los principios de protección de datos. Debe ser un procesamiento mínimamente intrusivo; mínima cantidad de datos personales, mínima extensión del tratamiento, mínimo plazo de conservación y mínima accesibilidad a datos personales.

Las principales estrategias que recoge la guía para alcanzar ese procesamiento mínimo son:

  1. A) La optimización del tratamiento, lo que supone aplicar medidas con relación a la cantidad de datos recogidos, la extensión del tratamiento, su conservación y accesibilidad.
  2. B) La configuración del tratamiento mediante valores disponibles en las aplicaciones, dispositivos o sistemas que lo implementan. Parte de esa configurabilidad ha de estar bajo el control del usuario.
  3. C) La restricción garantiza que, por defecto, el tratamiento es lo más respetuoso posible con la privacidad, de modo que, las opciones de configuración han de estar ajustadas, por defecto, en aquellos valores que limiten la cantidad de datos recogidos, la extensión del tratamiento, su conservación y accesibilidad.

Por último, señalar que la AEPD subraya la idea de que este principio ha de implementarse necesariamente en todos los tratamientos independientemente de su naturaleza, no se trata de una medida aplicable tras la realización de un análisis de riesgos, sino que se trata de una medida que es de cumplimiento obligado en todo caso.