RGPD – Unidad III : 1.2.2 Accountability – Privacidad por defecto y Privacidad por Diseño

1.2 MEDIDAS DE RESPONSABILIDAD PROACTIVA

1.2.2 PRIVACIDAD POR DEFECTO Y PRIVACIDAD POR DISEÑO

La protección de datos desde el diseño y por defecto viene establecida en el art. 25 y en el considerando 78 del RGPD.

Artículo 25: Protección de datos desde el diseño y por defecto

  1. Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.
  2. El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.
  3. Podrá utilizarse un mecanismo de certificación aprobado con arreglo al artículo 42 (Certificación) como elemento que acredite el cumplimiento de las obligaciones establecidas en los apartados 1 y 2 del presente artículo.

El objetivo de la protección de datos desde el diseño es incluir los principios de protección de datos dentro de las organizaciones de manera tal que los mismos estén presentes a lo largo de toda la vida del tratamiento, es decir, desde el momento en que se diseña, se pone en práctica y finalmente se suprime o finaliza el tratamiento. El RGPD establece que deberán aplicarse de forma eficaz medidas técnicas y organizativas adecuadas (como por ejemplo la seudonimización y minimización de datos) para aplicar los principios de protección de datos de forma eficaz y proteger los derechos y libertades de los interesados. De esta forma, la protección de datos desde el diseño supone la integración en las organizaciones o empresas de las garantías adecuadas para la protección de los datos desde el momento en que se determinan los medios del tratamiento, así como en el momento en que se realiza el propio tratamiento, debiendo tener en cuenta:

  • El estado de la técnica.
  • El coste de la aplicación.
  • La naturaleza del tratamiento.
  • El ámbito de aplicación.
  • El contexto.
  • Las finalidades del tratamiento.
  • Los riesgos de diversa probabilidad y gravedad (no sólo riesgo alto) que entrañe para los derechos y libertades de los interesados.

En relación con la protección de datos por defecto, el RGPD señala que deberán aplicarse medidas técnicas y organizativas apropiadas con el objetivo de que sólo sean objeto de tratamiento los datos personales realmente necesarios para cada uno de los fines específicos del tratamiento (principio de minimización). Dicha obligación abarcaría:

  • A la cantidad de datos recogidos
  • A la extensión de su tratamiento.
  • Al plazo de conservación.
  • A la accesibilidad.

Como ejemplo de protección de datos por defecto el RGPD pone el ejemplo particular de evitar la accesibilidad a un número indeterminado de personas sin que exista intervención del propio interesado.


CONCLUSIONES

  • La protección de datos desde el diseño pretende incluir los principios de protección de datos dentro de las organizaciones a lo largo de toda la vida del tratamiento, es decir, desde el momento en que se diseña y se pone en práctica hasta que finalmente se suprime o finaliza.
  • La protección de datos por defecto establece que deben de aplicarse medidas técnicas y organizativas apropiadas con el objeto de que se realice los tratamientos de datos realmente necesarios para los fines del tratamiento.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies