La AEPD publica la Guía de protección de datos por defecto

Recientemente, la Agencia Española de Protección de Datos (AEPD) ha publicado la guía de protección de datos por defecto. La nueva guía está dirigida a los responsables del tratamiento, delegados de protección de datos, encargados del tratamiento, desarrolladores y suministradores, que se encargan de diseñar, desarrollar y explotar aplicaciones y servicios que comportan el tratamiento de datos personales.

El artículo 25 del Reglamento Europeo de Protección de Datos (RGPD), establece que los principios, derechos y obligaciones relativas a la protección de datos deben tenerse en cuenta «desde el diseño y por defecto». El concepto de privacidad por defecto hace referencia a que sólo deben ser objeto de tratamiento, los datos personales que sean estrictamente necesarias y suficientes para cada una de las finalidades del tratamiento. El tratamiento de datos debe ser analizado en sus diferentes fases, de tal modo que no todas las operaciones realizadas en el marco del tratamiento se ejecutarán sobre todos los datos, sino que actuarán sólo sobre aquellas fases y operaciones que sean estrictamente necesarias.

La configuración por defecto debe integrar el resto de las medidas y garantías establecidas en el RGPD, enfocado a realizar tratamientos mínimamente intrusivos: mínima cantidad de datos personales, mínima extensión del tratamiento de datos personales, mínimo período de conservación y mínima accesibilidad a los datos personales.

El Documento recoge las directrices adoptadas por el Comité Europeo de Protección de Datos, en las Guidelines 4/2019 donde Artículo 25 Data Protection by Design and by Default, que se centran en tres estrategias: optimizar, configurar y restringir.

– La primera estrategia es la optimización, referente a aplicar medidas con relación a la cantidad de datos, la extensión del tratamiento, la conservación y accesibilidad.

– La segunda estrategia relativa a la configuración del tratamiento de datos, entendida como que la aplicación, dispositivo o sistema debe poder configurarse a través de valores / parámetros. Estas medidas de protección de datos, por defecto, se agruparán a través de opciones de configuración que permitan determinar la extensión del tratamiento. En la medida de lo posible, se recomienda que parte de las opciones de configuración de la privacidad estén bajo el control del usuario.

– Por último, la estrategia de restringir al máximo y por defecto, la cantidad de datos recogidos, la extensión del tratamiento, su conservación y accesibilidad, con el fin de realizar un tratamiento de datos lo más respetuoso posible con la privacidad.

Uno de los capítulos de la guía está destinado a la documentación y auditoría, aspectos necesarios para cumplir con el principio de responsabilidad proactiva. Recordemos que las medidas y garantías definidas deben estar documentadas, para poder demostrar de forma satisfactoria el cumplimiento del RGPD.

La guía de la AEPD incluye un documento editable, para ayudar a las entidades a aplicar el principio de protección de datos por defecto, en el que se facilita una lista no exhaustiva y con carácter orientativo, de aquellas opciones en las que un tratamiento podría ser configurable, para implementar las medidas con relación a la cantidad de datos personales utilizadas, la extensión de tratamiento, el periodo de conservación, la accesibilidad de los datos y cualquier otra circunstancia en el proceso de tratamiento susceptible de incidir en la privacidad de los usuarios.

 

Facebooktwittergoogle_pluslinkedinmail

@ Faura-Casas

Aquest lloc web utilitza cookies pròpies i de tercers per obtenir informació dels seus hàbits de cerca i intentar millorar la qualitat dels nostres serveis i de la navegació pel nostre lloc web. Si està d’acord fes click a ACCEPTAR o segueixi navegant. Més informació. aquí.

ACEPTAR
Aviso de cookies