Medidas de protección de datos desde el diseño y por defecto
En el RGPD se hace referencia a dos principios para la implementación efectiva de la responsabilidad proactiva como son los de protección de datos desde el diseño y protección de datos por defecto.
El principio de protección de datos desde el diseño tiene como objetivo cumplir los requisitos definidos en el RGPD y, por tanto, los derechos de los interesados y busca que la protección de datos se encuentre presente en las primeras fases de concepción de un proyecto.
Estos requisitos se van a traducir en medidas técnicas y organizativas con el objeto de aplicar de forma efectiva los principios de protección de datos e integrar las garantías necesarias en el tratamiento.
Un ejemplo de dichas medidas, que se establece de forma expresa en el RGPD, es que el propio tratamiento incorpore medidas para la minimización de datos, así como la seudoanonimización temprana de los datos personales, es decir, el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional.
En el caso de adquisición de productos o contratación de servicios que sean utilizados para la implementación de un tratamiento, entre los elementos que se utilizarán para determinación de la elección entre los disponibles en el mercado ha de figurar, con un peso significativo, el hecho de que se pueda demostrar que en su desarrollo se han implementado los principios de privacidad desde el diseño.
La obligación de que se adopten los principios de privacidad desde el diseño recae en el responsable del tratamiento. Sea cual sea la forma de subcontratación o adquisición, el responsable nunca podrá delegar completamente sus obligaciones de aplicación de este principio, ya que siempre quedará bajo su poder de decisión al menos aquellas medidas organizativas que le compete tomar para interaccionar con el servicio subcontratado.
El concepto de privacidad por defecto se refiere a que sólo sean objeto de tratamiento los datos personales que sean estrictamente necesarios para cada uno de los fines de tratamiento. Es decir, independientemente del conjunto de datos recogidos por el responsable con el objeto de implementar los distintos servicios que se proporcionan al sujeto de los datos, el responsable ha de compartimentar el uso del conjunto de datos entre los distintos tratamientos, de tal forma que no todos los tratamientos accedan a todos los datos, sino que actúen solo sobre aquellos que sean necesarios y en los momentos en que sea estrictamente necesario.
El principio de « necesidad de conocer» se aplica a la protección de datos de carácter personal en la medida que significa que los empleados de la empresa sólo han de tener acceso a los datos de carácter personal que son estrictamente necesarios para realizar su trabajo o proporcionar un servicio.
Posibles estrategias básicas que permiten implementar la privacidad por defecto:
Como en el caso de la privacidad desde el diseño, estos requisitos se van a traducir en medidas tanto técnicas como organizativas.
Fuente: Sede Electrónica Agencia Española de Protección de Datos (https://www.aepd.es/reglamento)
Reglamento
· Artículo 25 RGPD (“Protección de datos desde el diseño y por defecto”)
o Considerando 78