Tuesday, April 13, 2021
Canal de Noticias de Buenas Prácticas de Gobierno y Gestión de Tecnología de itSMF España


Aplicación Práctica de la Protección de Datos por defecto

By Gestión , in Artículo itSMF España , at 25/02/2021 Etiquetas: ,

imagen PrivacidadCon la introducción del Principio de Responsabilidad Proactiva, en inglés “accountability, al Reglamento General de Protección de Datos (en adelante RGPD)  ya no hablamos de un modelo de cumplimiento reactivo, sino preventivo, conforme al cual para acreditar el cumplimiento de la normativa deberemos aplicar medidas técnicas y organizativas apropiadas para cada organización y tratamiento.

La Protección de Datos por Defecto (en adelante PDpD), es una de las características de este nuevo modelo.

QUE ES LA PROTECCIÓN DE DATOS POR DEFECTO

La PDpD se refiere a las elecciones realizadas con respecto a los valores de configuración u opciones de tratamiento, establecidas en cualquier  sistema de tratamiento de datos, así como en los procedimientos que los implementan y que determinan la cantidad de datos personales recopilados, el alcance de su procesamiento, el período de su conservación y su accesibilidad[1].

La aplicación de estas medidas será tanto en el momento de determinar los medios del tratamiento de los datos personales, como en el momento mismo en que los datos son tratados.

De ésta forma, las medidas de PDpD giran en torno a la aplicación del Principio de Minimización[2] de datos, propugnando por un procesamiento que sea mínimamente intrusivo, es decir, mínima cantidad de datos personales, mínima extensión del tratamiento, mínimo plazo de conservación y mínima accesibilidad.

Asimismo, la PDpD está relacionada con la protección de datos desde el diseño, ya que aquellas medidas deberán ser tenidas en cuenta desde la concepción del tratamiento, y también con el principio de transparencia, ya que solo conociendo las características del tratamiento, el usuario estará en posición de decidir, libremente ir más allá de la configuración inicial más respetuosa con la privacidad.

APLICACIÓN DE LA PROTECCIÓN DE DATOS POR DEFECTO: LA GUÍA DE PROTECCIÓN DE DATOS POR DEFECTO DE LA AEPDEn el mes de octubre de 2020 la Agencia Española de Protección de Datos (en adelante AEPD) publicó una guía (en adelante Guía de la AEPD) que desarrolla de forma práctica la aplicación de la PDpD en los tratamientos de datos personales sobre la base de lo prescrito en el artículo 25 del RGPD y en las Directrices 4/2019 sobre Protección de Datos desde el Diseño y por Defecto del Comité Europeo de Protección de Datos.

Al respecto, en relación a la implementación de las medidas de PDpD, la Guía de la AEPD se centra en tres estrategias:

  • i) La optimización del tratamiento, que supone aplicar medidas con relación a la cantidad de datos recolectados, la extensión del tratamiento, su conservación y accesibilidad;
  • ii) La Configuración que permitirá que el tratamiento sea diseñado con un conjunto de opciones relacionadas a los datos personales mediante valores (ajustes) disponibles en las aplicaciones, dispositivos o sistemas que lo implementan, y que deberán ser susceptibles de ser alteradas por el responsable o incluso por el usuario; y
  • iii) La Restricción en cuanto garantiza que, por defecto, el tratamiento será lo más respetuoso posible con la privacidad.

Para implementar estas estrategias de PDpD, la Guía de la AEPD sostiene que será necesario adoptar medidas sobre la cantidad de datos personales recogidos; la extensión del tratamiento; el periodo de conservación de los datos y la accesibilidad de los datos.

Estas medidas de PDpD se agrupan a través de “opciones de configuración” que permiten determinar la extensión del tratamiento de los datos, desde su recolección hasta su destrucción. Dentro de las opciones de configuración están aquellas que permitirán al responsable configurar el tratamiento y las que estén bajo el control del usuario en su “panel de privacidad”[3].

Como hemos visto, la PDpD es una de las medidas de Responsabilidad Proactiva (accountability) que deberá aplicarse siempre que tenga lugar un tratamiento de datos personales, independientemente de la naturaleza y tamaño de la entidad responsable del tratamiento. La PDpD deberá ser integrada con el resto de la medidas y garantías previstas para acreditar el cumplimiento de la normativa de protección de datos.

[1] Guidelines EDPB 4/2019 on Article 25 Data Protection by Design and by Default.

[2] Artículo 5.1.c) del Reglamento (UE) 2016/679: Los datos personales serán “c)  adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»)”

[3] En el Anexo II de la Guía de la AEPD se desarrolla una lista, con carácter orientativo, de aquellas opciones en las que un tratamiento podría ser configurable para implementar las medidas con relación a la cantidad de datos personales utilizados, la extensión del tratamiento, el periodo de conservación, la accesibilidad de los datos y cualquier otra circunstancia en el proceso del tratamiento susceptible de incidir en la privacidad de los usuarios.

Gabriela Lis

Miembro del Grupo de Expertos ITSM4Privacidad

Jeimy Poveda

Team Leader del Grupo de Expertos ITSM4Privacidad

Comité de Estándares de itSMF España

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de sus datos para estos propósitos. Ver
Privacidad