L'Agència Agència Espanyola de Protecció de Dades
(AEPD) ha publicat la Guia de Protecció de Dades per Defecte (PDpD), que ofrece una visión práctica para ayudar a aplicar este principio a los tratamientos de datos siguiendo lo establecido en el Reglamento General de Protección de Datos (RGPD) y en las directrices adoptadas por el Comité Europeo de Protección de Datos.
Els destinataris d'aquest document són els responsables de tractament i delegats de protecció de dades, a més d'aquelles unitats o departaments que dins de l'entitat responsable tenen al seu càrrec el disseny, selecció, desenvolupament, desplegament, i explotació d'aplicacions i serveis. També s'aconsella la seva consulta a encarregats, desenvolupadors o subministradors, en la mesura que proporcionen productes i serveis a responsables i cerquin que aquests compleixin amb els requisits de la PDpD establerts en el Reglament.
El concepto de privacidad por defecto se refiere a que sólo deben ser objeto de tratamiento los datos personales que sean estrictamente necesarios y suficientes para cada uno de los fines de tratamiento. Por ello, independientemente del conjunto de datos recogidos por el responsable, éste debe segmentar el uso del conjunto de datos entre los distintos tratamientos y entre las distintas fases de los tratamientos, de tal forma que no todas las operaciones realizadas en el marco de un tratamiento se ejecuten sobre todos los datos, sino que actúen solo sobre aquellos que sean necesarios y en los momentos en que sea estrictamente necesario.
El RGPD exige del responsable una configuración por defecto de los tratamientos que sea respetuosa con los principios de protección de datos, abogando por un procesamiento mínimamente intrusivo (mínima cantidad de datos personales, mínima extensión del tratamiento, mínimo plazo de conservación y mínima accesibilidad a datos personales). Todo ello sin que sea necesaria la intervención de la persona cuyos datos se tratan para garantizar estos mínimos.
La Guia repassa les mesures a seguir per aplicar la protecció de dades per defecte. Com recull el Comitè Europeu de Protecció de Dades en les seves Directrices sobre l'article 25 en relació amb la protecció de dades des del disseny i per defecte , l'execució d'aquestes mesures se centra les estratègies d'optimització, configurabilidad i restricció.
El objetivo de la optimización es analizar el tratamiento desde el punto de vista de la protección de datos, lo que supone aplicar medidas con relación a la cantidad de datos recogidos, la extensión del tratamiento, su conservación y accesibilidad. La segunda estrategia es la configuración de servicios, sistemas o aplicaciones, que debe permitir el establecimiento de parámetros u opciones que determinen la forma en que se va a llevar a cabo el tratamiento, y que sean susceptibles de ser modificadas por el responsable e incluso por el usuario. Por su parte, la restricción garantiza que, por defecto, el tratamiento es lo más respetuoso posible con la privacidad, de modo que las opciones de configuración estén ajustadas, por defecto, a aquellos valores que limiten la cantidad de datos recogidos, la extensión del tratamiento, su conservación y accesibilidad.
S'ha inclòs a més un document editable amb les mesures a adoptar per posar en pràctica les estratègies de protecció de dades per defecte. En concret, es tracta de mesures sobre la quantitat de dades personals recollits; l'extensió del tractament; el període de conservació o l'accessibilitat de les dades. Dita apartada també s'inclou en una taula separada de la guia perquè pugui ser utilitzada pels responsables. Així mateix, la Guia destina un capítol a la documentació i auditoria, aspectes necessaris per acreditar el compliment de la norma. Com estableix el principi de responsabilitat proactiva, el responsable ha d'aplicar les mesures necessàries per garantir i poder demostrar que el tractament de dades compleix amb el RGPD.
