¿Qué es la protección de datos por defecto?
Quizás, la protección de datos desde el diseño y por defecto sea la obligación más desconocida de las contempladas en el Reglamento General de Protección de Datos (RGPD), y eso que es uno de los principios que consagran esta norma europea.
La protección de los datos personales exige la adopción de medidas técnicas y organizativas apropiadas que cumplan los principios de protección de datos desde el diseño y por defecto. Las medidas deberán calcularse en el desarrollo y diseño de los tratamientos, para así poder crear los tratamientos desde un punto de vista de la seguridad. Además, estas medidas deberán consistir en reducir al máximo el tratamiento de datos personales, girando en torno a la aplicación racional del principio de minimización de datos.
Algunas de estas medidas, como establece el RGPD, pueden ser “reducir al máximo el tratamiento de datos personales, seudonimizar lo antes posible los datos personales, dar transparencia a las funciones y el tratamiento de datos personales, permitiendo a los interesados supervisar el tratamiento de datos y al responsable del tratamiento crear y mejorar elementos de seguridad.”
Así, como establecen los criterios de la Agencia Española de Protección de Datos y del Comité Europeo, las principales claves para aplicar este principio son:
Aplicación de la protección de datos por defecto
El criterio del Comité Europeo de Protección de Datos con relación a la protección de datos por defecto se centra en tres estrategias:
- Optimizar: La optimización del tratamiento persigue analizarlo desde el punto de vista de la protección de datos, lo que supone aplicar medidas con relación a la cantidad de datos recogidos, la extensión del tratamiento, su conservación y accesibilidad.
- Configurar: Esta estrategia debe permitir que el tratamiento sea configurable con relación a los datos personales mediante valores (ajustes) disponibles en las aplicaciones, dispositivos o sistemas que lo implementan. Parte de esa configurabilidad ha de estar bajo el control del usuario.
- Restringir: La restricción garantiza que, por defecto, el tratamiento es lo más respetuoso posible con la privacidad, de modo que, las opciones de configuración han de estar ajustadas, por defecto, en aquellos valores que limiten la cantidad de datos recogidos, la extensión del tratamiento, su conservación y accesibilidad.
Optimizar el tratamiento
La optimización del tratamiento hay que realizarla llevando a cabo las siguientes actividades:
- Una descomposición y análisis del tratamiento en fases.
- La definición de casos de uso
- El estudio de la relación entre tratamientos realizados por un mismo responsable.
- La optimización del tratamiento
Restricción por defecto
El sentido de esta restricción es el cumplimiento del principio de minimización. Los responsables del tratamiento deben seleccionar las opciones de configuración del sistema adecuadas, de forma que se asegure que sólo se recopilarán los datos estrictamente necesarios para alcanzar el propósito del tratamiento que se ha habilitado.
Documentación y auditoría
Como establece el principio de responsabilidad proactiva en el artículo 24.1 del RGPD, las medidas y garantías han de estar documentadas y recoger la información suficiente para permitir, de forma satisfactoria y demostrable, acreditar el cumplimiento del mencionado Reglamento. Esta documentación ha de permitir la trazabilidad de las decisiones tomadas y de las comprobaciones realizadas siguiendo los principios de minimización antes señalados.
Para conocer todas las novedades del Reglamento (UE) 2016/679 y saber si tu empresa está verdaderamente adaptada a las nuevas exigencias del RGPD, lo mejor que puedes hacer es contratar los servicios de una empresa especializada en auditorías de protección de datos. Confía en profesionales con experiencia como los nuestros para adaptar los procedimientos de tu empresa a la nueva normativa.