L'Agència Agència Espanyola de Protecció de Dades
(AEPD) ha publicat la Guia de Protecció de Dades per Defecte (PDpD), que ofereix una visió pràctica per ajudar a aplicar aquest principi als tractaments de dades seguint l'establert en el Reglament General de Protecció de Dades (RGPD) i en les directrius adoptades pel Comitè Europeu de Protecció de Dades.
Los destinatarios de este documento son los responsables de tratamiento y delegados de protección de datos, además de aquellas unidades o departamentos que dentro de la entidad responsable tienen a su cargo el diseño, selección, desarrollo, despliegue, y explotación de aplicaciones y servicios. También se aconseja su consulta a encargados, desarrolladores o suministradores, en la medida que proporcionan productos y servicios a responsables y busquen que éstos cumplan con los requisitos de la PDpD establecidos en el Reglamento.
El concepto de privacidad por defecto se refiere a que sólo deben ser objeto de tratamiento los datos personales que sean estrictamente necesarios y suficientes para cada uno de los fines de tratamiento. Por ello, independientemente del conjunto de datos recogidos por el responsable, éste debe segmentar el uso del conjunto de datos entre los distintos tratamientos y entre las distintas fases de los tratamientos, de tal forma que no todas las operaciones realizadas en el marco de un tratamiento se ejecuten sobre todos los datos, sino que actúen solo sobre aquellos que sean necesarios y en los momentos en que sea estrictamente necesario.
El RGPD exigeix del responsable una configuració per defecte dels tractaments que sigui respectuosa amb els principis de protecció de dades, advocant per un processament mínimament intrusiu (mínima quantitat de dades personals, mínima extensió del tractament, mínim termini de conservació i mínima accessibilitat a dades personals). Tot això sense que sigui necessària la intervenció de la persona les dades de la qual es tracten per garantir aquests mínims.
La Guia repassa les mesures a seguir per aplicar la protecció de dades per defecte. Com recull el Comitè Europeu de Protecció de Dades en les seves Directrices sobre el artículo 25 en relación con la protección de datos desde el diseño y por defecto , l'execució d'aquestes mesures se centra les estratègies d'optimització, configurabilidad i restricció.
El objetivo de la optimización es analizar el tratamiento desde el punto de vista de la protección de datos, lo que supone aplicar medidas con relación a la cantidad de datos recogidos, la extensión del tratamiento, su conservación y accesibilidad. La segunda estrategia es la configuración de servicios, sistemas o aplicaciones, que debe permitir el establecimiento de parámetros u opciones que determinen la forma en que se va a llevar a cabo el tratamiento, y que sean susceptibles de ser modificadas por el responsable e incluso por el usuario. Por su parte, la restricción garantiza que, por defecto, el tratamiento es lo más respetuoso posible con la privacidad, de modo que las opciones de configuración estén ajustadas, por defecto, a aquellos valores que limiten la cantidad de datos recogidos, la extensión del tratamiento, su conservación y accesibilidad.
S'ha inclòs a més un document editable amb les mesures a adoptar para poner en práctica las estrategias de protección de datos por defecto. En concreto, se trata de medidas sobre la cantidad de datos personales recogidos; la extensión del tratamiento; el periodo de conservación o la accesibilidad de los datos. Dicho apartado también se incluye en una tabla separada de la guía para que pueda ser utilizada por los responsables. Asimismo, la Guía destina un capítulo a la documentación y auditoría, aspectos necesarios para acreditar el cumplimiento de la norma. Como establece el principio de responsabilidad proactiva, el responsable debe aplicar las medidas necesarias para garantizar y poder demostrar que el tratamiento de datos cumple con el RGPD.
