La AEPD publica una guía sobre la aplicación de la protección de datos por defecto

Recomendados:  El dato: piedra angular de una experiencia customer-centric Webinar Protección avanzada de datos y continuidad de negocio con Nutanix y Veeam Webinar

La AEPD ha publicado la “Guía de Protección de Datos por Defecto”, que tiene como objetivo ayudar a aplicar este principio a los tratamientos de datos siguiendo lo establecido en el Reglamento General de Protección de Datos (GDPR, en sus siglas inglesas) y en las directrices adoptadas por el Comité Europeo de Protección de Datos.

El concepto de protección de datos por defecto ((PDpD) se refiere a que sólo deben ser objeto de tratamiento los datos personales que sean estrictamente necesarios y suficientes para cada uno de los fines de tratamiento. Por ello, independientemente del conjunto de datos recogidos por el responsable, éste debe segmentar el uso del conjunto de datos entre los distintos tratamientos y entre las distintas fases de los tratamientos, de tal forma que no todas las operaciones realizadas en el marco de un tratamiento se ejecuten sobre todos los datos, sino que actúen solo sobre aquellos que sean necesarios y en los momentos en que sea estrictamente necesario.

La normativa europea exige del responsable una configuración por defecto de los tratamientos que sea respetuosa con los principios de protección de datos, abogando por un procesamiento mínimamente intrusivo (mínima cantidad de datos personales, mínima extensión del tratamiento, mínimo plazo de conservación y mínima accesibilidad a datos personales). Todo ello sin que sea necesaria la intervención de la persona cuyos datos se tratan para garantizar estos mínimos.

La Guía repasa las medidas a seguir para aplicar la protección de datos por defecto, que se centran en la optimización, configurabilidad y restricción. El objetivo de la optimización es analizar el tratamiento desde el punto de vista de la protección de datos, lo que supone aplicar medidas con relación a la cantidad de datos recogidos, la extensión del tratamiento, su conservación y accesibilidad. En lo que respecta a la configuración de servicios, sistemas o aplicaciones, debe permitir el establecimiento de parámetros u opciones que determinen la forma en que se va a llevar a cabo el tratamiento, y que sean susceptibles de ser modificadas por el responsable e incluso por el usuario. Finalmente, la restricción garantiza que, por defecto, el tratamiento es lo más respetuoso posible con la privacidad, de modo que las opciones de configuración estén ajustadas, por defecto, a aquellos valores que limiten la cantidad de datos recogidos, la extensión del tratamiento, su conservación y accesibilidad.

Los destinatarios de este documento son los responsables de tratamiento y delegados de protección de datos, además de aquellas unidades o departamentos que dentro de la entidad responsable tienen a su cargo el diseño, selección, desarrollo, despliegue, y explotación de aplicaciones y servicios. También se aconseja su consulta a encargados, desarrolladores o suministradores, en la medida que proporcionan productos y servicios a responsables y busquen que éstos cumplan con los requisitos de la protección de datos por defecto establecidos en la normativa.