accesskey_mod_content

L'AEPD publica una guia per facilitar l'aplicació pràctica de la protecció de dades per defecte

09 octubre 2020

  • El document ofereix una visió pràctica que ajudi a aplicar aquest principi en els tractaments de dades seguint l'establert en el RGPD i en les directrius adoptades pel Comitè Europeu de Protecció de Dades

L'Agència Agència Espanyola de Protecció de Dades(Obre en nova finestra) (AEPD) ha publicat la  Guia de Protecció de Dades per Defecte(Obre en nova finestra)  (PDpD), que ofereix una visió pràctica per ajudar a aplicar aquest principi als tractaments de dades seguint l'establert en el Reglament General de Protecció de Dades (RGPD) i en les directrius adoptades pel Comitè Europeu de Protecció de Dades.

Els destinataris d'aquest document són els responsables de tractament i delegats de protecció de dades, a més d'aquelles unitats o departaments que dins de l'entitat responsable tenen al seu càrrec el disseny, selecció, desenvolupament, desplegament, i explotació d'aplicacions i serveis. També s'aconsella la seva consulta a encarregats, desenvolupadors o subministradors, en la mesura que proporcionen productes i serveis a responsables i cerquin que aquests compleixin amb els requisits de la PDpD establerts en el Reglament.

El concepte de privadesa per defecte es refereix al fet que només han de ser objecte de tractament les dades personals que siguin estrictament necessaris i suficients per a cadascun de les finalitats de tractament. Per això, independentment del conjunt de dades recollides pel responsable, aquest ha de segmentar l'ús del conjunt de dades entre els diferents tractaments i entre les diferents fases dels tractaments, de tal forma que no totes les operacions realitzades en el marc d'un tractament s'executin sobre totes les dades, sinó que actuïn solament sobre aquells que siguin necessaris i als moments en què sigui estrictament necessari.

El RGPD exigeix del responsable una configuració per defecte dels tractaments que sigui respectuosa amb els principis de protecció de dades, advocant per un processament mínimament intrusiu (mínima quantitat de dades personals, mínima extensió del tractament, mínim termini de conservació i mínima accessibilitat a dades personals). Tot això sense que sigui necessària la intervenció de la persona les dades de la qual es tracten per garantir aquests mínims.

La Guia repassa les mesures a seguir per aplicar la protecció de dades per defecte. Com recull el Comitè Europeu de Protecció de Dades en les seves  Directrius sobre l'article 25 en relació amb la protecció de dades des del disseny i per defecte(Obre en nova finestra) , l'execució d'aquestes mesures se centra les estratègies d'optimització, configurabilidad i restricció.

L'objectiu de l'optimització és analitzar el tractament des del punt de vista de la protecció de dades, la qual cosa suposa aplicar mesures en relació amb la quantitat de dades recollides, l'extensió del tractament, la seva conservació i accessibilitat. La segona estratègia és la configuració de serveis, sistemes o aplicacions, que ha de permetre l'establiment de paràmetres o opcions que determinin la forma en què es va a dur a terme el tractament, i que siguin susceptibles de ser modificades pel responsable i fins i tot per l'usuari. Per la seva banda, la restricció garanteix que, per defecte, el tractament és el més respectuós possible amb la privadesa, de manera que les opcions de configuració estiguin ajustades, per defecte, a aquells valors que limitin la quantitat de dades recollides, l'extensió del tractament, la seva conservació i accessibilitat.

S'ha inclòs a més  un document editable amb les mesures a adoptar(Obre en nova finestra)  per posar en pràctica les estratègies de protecció de dades per defecte. En concret, es tracta de mesures sobre la quantitat de dades personals recollits; l'extensió del tractament; el període de conservació o l'accessibilitat de les dades. Dita apartada també s'inclou en una taula separada de la guia perquè pugui ser utilitzada pels responsables. Així mateix, la Guia destina un capítol a la documentació i auditoria, aspectes necessaris per acreditar el compliment de la norma. Com estableix el principi de responsabilitat proactiva, el responsable ha d'aplicar les mesures necessàries per garantir i poder demostrar que el tractament de dades compleix amb el RGPD.

Conclusions

A l'apartat de conclusions, l'Agència recorda que la PDpD és una de les mesures de responsabilitat proactiva que s'integra amb la resta de les garanties establertes en el Reglament, i que aquest permet optar per diferents aproximacions i alternatives a l'hora d'implementar aquest principi. Així mateix, posa de manifest que tant responsables de tractament de dades personals, com a encarregats i desenvolupadors, han de tenir presents les mesures de PDpD en la mesura de les seves obligacions.

Una altra de les conclusions destacades és que aquest principi ha d'aplicar-se sempre que tingui lloc un tractament de dades personals independentment de la seva naturalesa. L'establiment de mesures de privadesa per defecte no es deriva del resultat d'una anàlisi de riscos per als drets i llibertats, sinó que són mesurades i garanties que és necessari establir en tot cas.

Font original de la notícia(Obre en nova finestra)

  • Serveis electrònics
  • Seguretat
Subscriu-te al canal de youtube de l'OBSAE
 
Subscriu-te al canal de youtube de l'OBSAE