5 preguntas sobre la nueva guía de Protección de Datos por Defecto

La Agencia Española de Protección de Datos (AEPD) ha publicado la Guía de Protección de Datos por Defecto (PDpD), que ofrece una visión práctica para ayudar a aplicar este principio a los tratamientos de datos siguiendo lo establecido en el Reglamento General de Protección de Datos (RGPD) y en las directrices adoptadas por el Comité Europeo de Protección de Datos.

¿Para quién está destinada?

Los destinatarios de este documento son los responsables de tratamiento y delegados de protección de datos, además de aquellas unidades o departamentos que dentro de la entidad responsable tienen a su cargo el diseño, selección, desarrollo, despliegue, y explotación de aplicaciones y servicios. También se aconseja su consulta a encargados, desarrolladores o suministradores, en la medida que proporcionan productos y servicios a responsables y busquen que éstos cumplan con los requisitos de la PDpD establecidos en el Reglamento.

¿Qué es la protección de datos por defecto?

El concepto de privacidad por defecto se refiere a que sólo deben ser objeto de tratamiento los datos personales que sean estrictamente necesarios y suficientes para cada uno de los fines de tratamiento. Por ello, independientemente del conjunto de datos recogidos por el responsable, éste debe segmentar el uso del conjunto de datos entre los distintos tratamientos y entre las distintas fases de los tratamientos, de tal forma que no todas las operaciones realizadas en el marco de un tratamiento se ejecuten sobre todos los datos, sino que actúen solo sobre aquellos que sean necesarios y en los momentos en que sea estrictamente necesario.

El RGPD exige del responsable una configuración por defecto de los tratamientos que sea respetuosa con los principios de protección de datos, abogando por un procesamiento mínimamente intrusivo (mínima cantidad de datos personales, mínima extensión del tratamiento, mínimo plazo de conservación y mínima accesibilidad a datos personales). Todo ello sin que sea necesaria la intervención de la persona cuyos datos se tratan para garantizar estos mínimos.

¿Cómo se ejecutan las medidas a seguir para aplicar la protección de datos por defecto?

La opinión fijada por el Comité Europeo de Protección de Datos con relación a la implementación de medidas de PDpD se centra en tres estrategias:

• Optimizar: La optimización del tratamiento persigue analizarlo desde el punto de vista de la protección de datos, lo que supone aplicar medidas con relación a la cantidad de datos recogidos, la extensión del tratamiento, su conservación y accesibilidad.
• Configurar: Esta estrategia debe permitir que el tratamiento sea configurable con relación a los datos personales mediante valores (ajustes) disponibles en las aplicaciones, dispositivos o sistemas que lo implementan. Parte de esa configurabilidad ha de estar bajo el control del usuario.
• Restringir: La restricción garantiza que, por defecto, el tratamiento es lo más respetuoso posible con la privacidad, de modo que, las opciones de configuración han de estar ajustadas, por defecto, en aquellos valores que limiten la cantidad de datos recogidos, la extensión del tratamiento, su conservación y accesibilidad.

¿Cuáles son las medidas a seguir para aplicar la protección de datos por defecto?

Para implementar las citadas estrategias de PDpD es necesario adoptar medidas sobre:

• La cantidad de datos personales recogidos: El término “cantidad” implica factores cualitativos y cuantitativos de los datos. El responsable del tratamiento deberá considerar el volumen de datos personales tratados, el nivel de detalle, las diferentes categorías, la sensibilidad (categorías especiales de datos) y los tipos de datos personales requeridos y necesarios para llevar a cabo una operación de tratamiento, incluyendo tanto los datos recogidos como los generados o inferidos a partir de estos.
• La extensión del tratamiento: La implementación de la PDpD implica que las operaciones de tratamiento sobre los datos personales realizadas por el responsable se limitarán a lo estrictamente necesario para cumplir con el propósito declarado.
• El periodo de conservación: La aplicación del principio de minimización sobre el periodo de conservación establece que, si un dato personal no se necesita más después de ejecutar una fase del tratamiento, el dato deberá ser suprimido
• La accesibilidad de los datos: El responsable del tratamiento deberá establecer quién puede acceder a los datos personales, tanto en lo que respecta al personal dentro de la organización como a terceros, ya sean otras entidades y organismos o incluso sistemas automatizados como motores de búsqueda, servidores en la nube, o cualquier otro sistema aplicación o servicio que acceda a los datos utilizados en el tratamiento.

¿Cómo se acredita que el tratamiento cumple con el RGPD?

La aplicación de la PDpD ha de ser demostrable, lo que implica que su implementación ha de estar justificada, documentada y ser auditable

En concreto, como establece el principio de responsabilidad proactiva en el artículo 24.1 del RGPD, las medidas y garantías de PDpD han de estar documentadas y recoger la información suficiente para permitir, de forma satisfactoria y demostrable, acreditar el cumplimiento del RGPD. Asimismo, el tratamiento ha de ser auditable a lo largo de su ciclo de vida, incluyendo la etapa de retirada de este.