Protección de datos por defecto: ¿Qué significa y qué obligaciones conlleva?
La protección de datos por defecto viene definida en el artículo 24 del Reglamento General de Protección de Datos (RGPD). En este artículo, el Reglamento obliga a las organizaciones a aplicar medidas técnicas y organizativas apropiadas para garantizar el cumplimiento de los principios de protección de datos y proteger los derechos de los interesados. Para ello, se deberá tener en cuenta distintos factores como el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas
El responsable del tratamiento, además, deberá aplicar las medidas de seguridad apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.
Por su parte, el Comité Europeo de Protección de Datos centra la protección de datos por defecto en tres estrategias:
- Optimizar: La optimización del tratamiento persigue analizarlo desde el punto de vista de la protección de datos, lo que supone aplicar medidas con relación a la cantidad de datos recogidos, la extensión del tratamiento, su conservación y accesibilidad.
- Configurar: Esta estrategia debe permitir que el tratamiento sea configurable con relación a los datos personales mediante valores (ajustes) disponibles en las aplicaciones, dispositivos o sistemas que lo implementan. Parte de esa configurabilidad ha de estar bajo el control del usuario.
- Restringir: La restricción garantiza que, por defecto, el tratamiento es lo más respetuoso posible con la privacidad, de modo que, las opciones de configuración han de estar ajustadas, por defecto, en aquellos valores que limiten la cantidad de datos recogidos, la extensión del tratamiento, su conservación y accesibilidad.
Es decir, el RGPD exige a las empresas una configuración de sus actividades que por defecto sean respetuosas con los principios de protección de datos, abogando por un procesamiento mínimamente intrusivo: mínima cantidad de datos personales, mínima extensión del tratamiento, mínimo plazo de conservación y mínima accesibilidad a datos personales.
En definitiva, a diferencia de la normativa anterior (la ya derogada Ley Orgánica 15/1999 y su reglamento de desarrollo), el RGPD se muestra flexible a la hora de seleccionar las medidas de seguridad para garantizar el cumplimiento, pudiendo optar por diferentes aproximaciones y alternativas. Para elegir las medidas de seguridad concretas que se han de implementar en la organización, el proceso de selección de cada una de ellas ha de estar guiado por un análisis de riesgos, tal y como se establece en el artículo 32 del RGPD.
En Microlab somos consultores especialistas en protección de datos y privacidad y ya hemos ayudado a miles de empresas a realizar un análisis de riesgos de sus actividades. Ponte en contacto con nosotros si necesitas que nuestros asesores te guíen en el proceso de adecuación de tu empresa a la normativa de protección de datos o si quieres reforzar la seguridad de la información dentro de tu organización.