A Axencia Española de Protección de Datos
(AEPD) publicou o Guía de Protección de Datos por Defecto (PDpD), que ofrece unha visión práctica para axudar a aplicar este principio aos tratamentos de datos seguindo o establecido no Regulamento Xeral de Protección de Datos (RGPD) e nas directrices adoptadas polo Comité Europeo de Protección de Datos.
Os destinatarios deste documento son os responsables de tratamento e delegados de protección de datos, ademais daquelas unidades ou departamentos que dentro da entidade responsable teñen ao seu cargo o deseño, selección, desenvolvemento, despregamento, e explotación de aplicacións e servizos. Tamén se aconsella a súa consulta a encargados, desenvolvedores ou subministradores, na medida que proporcionan produtos e servizos a responsables e busquen que estes cumpran cos requisitos da PDpD establecidos no Regulamento.
O concepto de privacidade por defecto refírese a que só deben ser obxecto de tratamento os datos persoais que sexan estritamente necesarios e suficientes para cada un dos fins de tratamento. Por iso, independentemente do conxunto de datos recolleitos polo responsable, este debe segmentar o uso do conxunto de datos entre os distintos tratamentos e entre as distintas fases dos tratamentos, de tal forma que non todas as operacións realizadas no marco dun tratamento execútense sobre todos os datos, senón que actúen só sobre aqueles que sexan necesarios e nos momentos en que sexa estritamente necesario.
O RGPD esixe do responsable unha configuración por defecto dos tratamentos que sexa respectuosa cos principios de protección de datos, avogando por un procesamento minimamente intrusivo (mínima cantidade de datos persoais, mínima extensión do tratamento, mínimo prazo de conservación e mínima accesibilidade a datos persoais). Todo iso sen que sexa necesaria a intervención da persoa cuxos datos se tratan para garantir estes mínimos.
A Guía repasa as medidas a seguir para aplicar a protección de datos por defecto. Como recolle o Comité Europeo de Protección de Datos no seu Directrices sobre o artigo 25 en relación coa protección de datos desde o deseño e por defecto , a execución desas medidas céntrase as estratexias de optimización, configurabilidad e restrición.
O obxectivo da optimización é analizar o tratamento desde o punto de vista da protección de datos, o que supón aplicar medidas con relación á cantidade de datos recolleitos, a extensión do tratamento, a súa conservación e accesibilidade. A segunda estratexia é a configuración de servizos, sistemas ou aplicacións, que debe permitir o establecemento de parámetros ou opcións que determinen a forma en que se vai a levar a cabo o tratamento, e que sexan susceptibles de ser modificadas polo responsable e mesmo polo usuario. Pola súa banda, a restrición garante que, por defecto, o tratamento é o máis respectuoso posible coa privacidade, de modo que as opcións de configuración estean axustadas, por defecto, a aqueles valores que limiten a cantidade de datos recolleitos, a extensión do tratamento, a súa conservación e accesibilidade.
Incluíuse ademais un documento editable coas medidas a adoptar para pór en práctica as estratexias de protección de datos por defecto. En concreto, trátase de medidas sobre a cantidade de datos persoais recolleitos; a extensión do tratamento; o período de conservación ou a accesibilidade dos datos. Este apartado tamén se inclúe nunha táboa separada da guía para que poida ser utilizada polos responsables. Así mesmo, a Guía destina un capítulo a a documentación e auditoría, aspectos necesarios para acreditar o cumprimento da norma. Como establece o principio de responsabilidade proactiva, o responsable debe aplicar as medidas necesarias para garantir e poder demostrar que o tratamento de datos cumpre co RGPD.
