L’AEPD publica la Guia de protecció de dades per defecte

Recentment, l’Agència Espanyola de Protecció de Dades (AEPD) ha publicat la guia de protecció de dades per defecte. La nova guia està dirigida als responsables del tractament, delegats de protecció de dades, encarregats del tractament, desenvolupadors i subministradors, que s’encarreguen de dissenyar, desenvolupar i explotar aplicacions i serveis que comporten el tractament de dades personals.

L’article 25 del Reglament Europeu de Protecció de Dades (RGPD), estableix que els principis, drets i obligacions relatives a la protecció de dades han de tenir-se en compte “des del disseny i per defecte”. El concepte de privacitat per defecte fa referència al fet que només han de ser objecte de tractament, les dades personals que siguin estrictament necessàries i suficients per cadascuna de les finalitats del tractament. El tractament de dades ha de ser analitzat en les seves diferents fases, de tal manera que no totes les operacions realitzades en el marc del tractament s’executaran sobre totes les dades, sinó que actuaran només sobre aquelles fases i operacions que siguin estrictament necessàries.

La configuració per defecte ha d’integrar la resta de mesures i garanties establertes en el RGPD, enfocat a realitzar tractaments mínimament intrusius: mínima quantitat de dades personals, mínima extensió del tractament de dades personals, mínim període de conservació i mínima accessibilitat a les dades personals.

El Document recull les directrius adoptades pel Comitè Europeu de Protecció de Dades, en les Guidelines 4/2019 on Article 25 Data Protection by Design and by Default, que se centren en tres estratègies: optimitzar, configurar i restringir.

  • La primera estratègia és l’optimització, referent a aplicar mesures amb relació a la quantitat de dades, l’extensió del tractament, la conservació i accessibilitat.
  • La segona estratègia relativa a la configuració del tractament de dades, entesa com que l’aplicació, dispositiu o sistema ha de poder configurar-se a través de valors/paràmetres. Aquestes mesures de protecció de dades, per defecte, s’agruparan a través d’opcions de configuració que permetin determinar l’extensió del tractament. En la mesura que sigui possible, es recomana que part de les opcions de configuració de la privacitat estiguin sota el control de l’usuari.
  • Per últim, l’estratègia de restringir al màxim i per defecte, la quantitat de dades recollides, l’extensió del tractament, la seva conservació i accessibilitat, per tal de realitzar un tractament de dades el més respectuós possible amb la privacitat.

Un dels capítols de la guia està destinat a la documentació i auditoria, aspectes necessaris per complir amb el principi de responsabilitat proactiva. Recordem que les mesures i garanties definides han d’estar documentades, per tal de poder demostrar de forma satisfactòria el compliment del RGPD.

La guia de l’AEPD inclou un document editable, per ajudar a les entitats a aplicar el principi de protecció de dades per defecte, en el que es facilita una llista no exhaustiva i amb caràcter orientatiu, d’aquelles opcions en les que un tractament podria ser configurable, per implementar les mesures amb relació a la quantitat de dades personals utilitzades, l’extensió de tractament, el període de conservació, l’accessibilitat de les dades i qualsevol altra circumstància en el procés de tractament susceptible d’incidir en la privacitat dels usuaris.

Facebooktwittergoogle_pluslinkedinmail

@ Faura-Casas

Aquest lloc web utilitza cookies pròpies i de tercers per obtenir informació dels seus hàbits de cerca i intentar millorar la qualitat dels nostres serveis i de la navegació pel nostre lloc web. Si està d’acord fes click a ACCEPTAR o segueixi navegant. Més informació. aquí.

ACEPTAR
Aviso de cookies