El Comité Europeo de Protección de Datos (CEPD) ha publicado unas recomendaciones sobre protección de datos por diseño y por defecto en línea con el artículo 25 RGPD.
¿Alguna vez te has enfrentado a la difícil decisión de activar o desactivar por defecto los ajustes de privacidad de la App de tu empresa? ¿Te has sentido tentado a recoger de tus clientes más datos de los necesarios? Estas cuestiones están relacionadas con protección de datos por diseño y por defecto. El CEPD ha publicado sus recomendaciones para ayudar a los responsables del tratamiento a implementar de manera correcta la protección de datos por diseño y por defecto cuando tratan información personal.
¿Qué significa ‘protección de datos por diseño’?
El Artículo 25 (1) RGPD establece que, teniendo en cuenta el progreso actual de la tecnología, “[…] el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados”
Esto implica que, en definitiva, la protección de datos por diseño es una aproximación que asegura que el responsable toma en consideración la privacidad y la protección de datos desde el primer momento de la fase de diseño de cualquier sistema, servicio, producto, app o proceso, y también durante todo el ciclo de vida.
¿Qué significa ‘protección de datos por defecto’?
Como se recoge en el artículo 25 (2) RGPD, “El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas”.
En resumen, la protección de datos por defecto requiere que los responsables traten únicamente la información personal que es necesaria para alcanzar el fin específico, lo cual se relaciona con los principios fundamentales de protección de datos, minimización de los datos y limitación según la finalidad.
¿Qué pasos debería dar?
Protección de datos por diseño
EL CEPD subraya que la efectividad es clave, y por ello no impone medidas generales a los responsables. Puede que te estés preguntando ‘¿Vale, y entonces cómo sé yo lo que tengo que hacer?’. El RGPD delega esta cuestión en la propia discrecionalidad del responsable, lo cual conduce a que toda medida es válida siempre y cuando sea apropiada para proteger los principios arriba referidos. Así por tanto, lo que los responsables han de hacer es asegurarse de que son capaces de demostrar la implementación de medidas adaptadas y específicas, además de las garantías necesarias para proteger los derechos y libertades de los interesados. A fin de alcanzar este objetivo, el CEPD considera importante llevar a cabo un análisis de riesgos, que incluya consideraciones sobre la naturaleza del tratamiento, su alcance, contexto y finalidades. Dicho análisis de riesgos y todas las actividades relacionadas tendrán que ser re-evaluadas de manera regular mediante revisiones y estudios.
Conforme a nuestra experiencia, en Aphaia recomendamos asegurarse de que el DPO participe de forma adecuada y en tiempo oportuno en cada una de las partes de desarrollo, desde la más inicial, ya se trate de la creación desde cero de una app o sistema o simplemente el lanzamiento de una nueva funcionalidad, porque su apoyo ayudará a reducir de manera considerable cualquier resultado indeseado en el futuro.
Una asimilación temprana de la protección de datos por diseño y por defecto es crucial para lograr una implementación de éxito, y también desde una perspectiva de coste-beneficio, pues podría suponer un gran desembolso el hecho de realizar cambios en planes que ya se han diseñado.
Protección de datos por defecto
El responsable debe determinar de manera previa la finalidad específica, explícita y legítima de tratamiento. Esta obligación se aplica a los siguientes elementos: la cantidad de datos personales recogida, el alcance de su tratamiento, el período de almacenamiento y su accesibilidad.
El principal concepto que debería incorporarse cuando se trata de protección de datos por defecto es la necesidad. Todos los elementos detallados en las líneas anteriores deben reducirse y limitarse a lo mínimo necesario para cada finalidad.
Debe destacarse que la falta de implementación de protección de datos por defecto ha desencadenado ya importantes multas bajo el RGPD. Por ejemplo, la Autoridad de Protección de Datos de Berlín multó a una empresa inmobiliaria con 14.5 millones de euros por usar un sistema de archivo que no permitía la eliminación de los datos que ya no era necesarios. De acuerdo con las recomendaciones del CEPD: “la información personal que ya no es necesaria después del primer tratamiento debe ser eliminada o anonimizada. Cualquier retención de datos debería justificarse de manera objetiva y el responsable tendrá que poder demostrarlo de manera responsable y diligente”.
¿Cómo puedo llevar a la práctica la protección de datos por diseño y por defecto?
Las recomendaciones del CEPD ofrecen algunos ejemplos para ayudar a los responsables a llevar a la práctica la protección de datos por diseño y por defecto, y los clasifican según principios específicos. Los hemos resumido en la siguiente tabla:
Principio del RGPD |
Elementos clave por diseño y por defecto |
Transparencia
|
Claridad, semántica, accesibilidad, contexto, relevancia, diseño universal, multicanalidad
|
Legitimidad |
Relevancia, diferenciación, finalidad específica, necesidad, autonomía, retirada de consentimiento, equilibrio de intereses, predeterminación, cese, ajustes, configuración por defecto, asignación de responsabilidades |
Justicia |
Autonomía, interacción, expectativas, no-discriminación, no-explotación, elección del consumidor, equilibrio de poder, respeto por los derechos y libertades, ética, confianza, intervención humana, algoritmos justos |
Limitación a la finalidad |
Predeterminación, especificidad, orientación a finalidad, necesidad, compatibilidad, limitación de tratamientos ulteriores, revisión, limitaciones técnicas de reutilización |
Minimización de los datos |
Evitar procesamiento masivo, relevancia, necesidad, limitación, agregación, seudonomización, anonimización, eliminación, flujo de datos y estado del arte |
Precisión |
Fuente de datos, grado de precisión, precisión medible, verificación, eliminación/rectificación, acumulación de errores, acceso, precisión continuada, actualizaciones, diseño de los datos |
Limitación del almacenamiento |
Eliminación, automatización, criterio de almacenamiento, vinculación de políticas de retención de datos, efectividad de la anonimización/eliminación, razón para compartir los datos, flujo de datos, backups/registros |
Integridad y confidencialidad |
Sistema de gestión de la seguridad de la información, análisis de riesgos, resiliencia, control de acceso |
¿Necesitas asesoramiento con la protección de datos por diseño y por defecto? Aphaia ofrece adaptación al RGPD y a la LOPDGDD, incluidas Evaluaciones de Impacto y subcontratación del Delegado de Protección de Datos.