03May

¿Qué es la protección de datos por defecto?

Quizás, la protección de datos desde el diseño y por defecto sea la obligación más desconocida de las contempladas en el Reglamento General de Protección de Datos (RGPD), y eso que es uno de los principios que consagran esta norma europea.

La protección de los datos personales exige la adopción de medidas técnicas y organizativas apropiadas que cumplan los principios de protección de datos desde el diseño y por defecto. Las medidas deberán calcularse en el desarrollo y diseño de los tratamientos, para así poder crear los tratamientos desde un punto de vista de la seguridad. Además, estas medidas deberán consistir en reducir al máximo el tratamiento de datos personales, girando en torno a la aplicación racional del principio de minimización de datos.

Algunas de estas medidas, como establece el RGPD, pueden ser “reducir al máximo el tratamiento de datos personales, seudonimizar lo antes posible los datos personales, dar transparencia a las funciones y el tratamiento de datos personales, permitiendo a los interesados supervisar el tratamiento de datos y al responsable del tratamiento crear y mejorar elementos de seguridad.”

Así, como establecen los criterios de la Agencia Española de Protección de Datos y del Comité Europeo, las principales claves para aplicar este principio son:

Aplicación de la protección de datos por defecto

El criterio del Comité Europeo de Protección de Datos con relación a la protección de datos por defecto se centra en tres estrategias:

  • Optimizar: La optimización del tratamiento persigue analizarlo desde el punto de vista de la protección de datos, lo que supone aplicar medidas con relación a la cantidad de datos recogidos, la extensión del tratamiento, su conservación y accesibilidad.
  • Configurar: Esta estrategia debe permitir que el tratamiento sea configurable con relación a los datos personales mediante valores (ajustes) disponibles en las aplicaciones, dispositivos o sistemas que lo implementan. Parte de esa configurabilidad ha de estar bajo el control del usuario.
  • Restringir: La restricción garantiza que, por defecto, el tratamiento es lo más respetuoso posible con la privacidad, de modo que, las opciones de configuración han de estar ajustadas, por defecto, en aquellos valores que limiten la cantidad de datos recogidos, la extensión del tratamiento, su conservación y accesibilidad.

Optimizar el tratamiento

La optimización del tratamiento hay que realizarla llevando a cabo las siguientes actividades:

  • Una descomposición y análisis del tratamiento en fases.
  • La definición de casos de uso
  • El estudio de la relación entre tratamientos realizados por un mismo responsable.
  • La optimización del tratamiento

Restricción por defecto

El sentido de esta restricción es el cumplimiento del principio de minimización. Los responsables del tratamiento deben seleccionar las opciones de configuración del sistema adecuadas, de forma que se asegure que sólo se recopilarán los datos estrictamente necesarios para alcanzar el propósito del tratamiento que se ha habilitado.

Documentación y auditoría

Como establece el principio de responsabilidad proactiva en el artículo 24.1 del RGPD, las medidas y garantías han de estar documentadas y recoger la información suficiente para permitir, de forma satisfactoria y demostrable, acreditar el cumplimiento del mencionado Reglamento. Esta documentación ha de permitir la trazabilidad de las decisiones tomadas y de las comprobaciones realizadas siguiendo los principios de minimización antes señalados.

Para conocer todas las novedades del Reglamento (UE) 2016/679 y saber si tu empresa está verdaderamente adaptada a las nuevas exigencias del RGPD, lo mejor que puedes hacer es contratar los servicios de una empresa especializada en auditorías de protección de datos. Confía en profesionales con experiencia como los nuestros para adaptar los procedimientos de tu empresa a la nueva normativa.

Share this post

Related Posts

Ciberataque Hospital Clínic
Un ciberataque paraliza el Hospital Clínic de Barcelona

El pasado 5 de marzo un ataque de tipo ramsonware...

09/03/2023
Sancionan a un partido político por enviar un correo electrónico con copia abierta a 241 personas
Sancionan a un partido político por enviar un correo electrónico con copia abierta a 241 personas

El partido político Jaén Sentido y Común ha recibido una...

15/09/2022
¿Qué es la Ley LSSI de comercio electrónico?

La Ley 34/2002 de Servicios de la Sociedad de la...

07/03/2022
El papel del DPO (delegado de protección de datos) en una PYME

Con la entrada en vigor del Reglamento General de Protección...

09/11/2023
¿A quién obliga la Ley de Protección de Datos?
¿A quién obliga la Ley de Protección de Datos?

15/06/2021
Sistemas de exclusión publicitaria: ¿Qué debes saber para cumplir la ley?

Los sistemas de exclusión publicitaria son ficheros en los que...

08/12/2022
Protección de datos por defecto: ¿Qué significa y qué obligaciones conlleva?

La protección de datos por defecto viene definida en el...

29/12/2022
Suplantación de identidad online
Suplantación de identidad online

La suplantación de identidad online es un riesgo que real...

02/06/2022
¿Cómo actuar en caso de sufrir una brecha de seguridad?
¿Cómo actuar en caso de sufrir una brecha de seguridad?

¿Podría un negocio continuar con su actividad si una mañana...

28/04/2022
¿Por qué es crucial la auditoría LSSI para las empresas online?

En la era digital, el comercio electrónico ha experimentado un...

04/01/2024