accesskey_mod_content

L'AEPD publica una guia per a facilitar l'aplicació pràctica de la protecció de dades per defecte

09 octubre 2020

  • El document oferix una visió pràctica que ajude a aplicar este principi en els tractaments de dades seguint l'establit en el RGPD i en les directrius adoptades pel Comité Europeu de Protecció de Dades

L'Agència Agència Espanyola de Protecció de Dades(Obri en nova finestra) (AEPD) ha publicat la  Guia de Protecció de Dades per Defecte(Obri en nova finestra)  (PDpD), que oferix una visió pràctica per a ajudar a aplicar este principi als tractaments de dades seguint l'establit en el Reglament General de Protecció de Dades (RGPD) i en les directrius adoptades pel Comité Europeu de Protecció de Dades.

Els destinataris d'este document són els responsables de tractament i delegats de protecció de dades, a més d'aquelles unitats o departaments que dins de l'entitat responsable tenen al seu càrrec el disseny, selecció, desenvolupament, desplegament, i explotació d'aplicacions i servicis. També s'aconsella la seua consulta a encarregats, desenvolupadors o subministradors, en la mesura que proporcionen productes i servicis a responsables i busquen que estos complisquen amb els requisits de la PDpD establits en el Reglament.

El concepte de privacitat per defecte es referix al fet que només han de ser objecte de tractament les dades personals que siguen estrictament necessaris i suficients per a cadascun de les finalitats de tractament. Per açò, independentment del conjunt de dades arreplegades pel responsable, este ha de segmentar l'ús del conjunt de dades entre els diferents tractaments i entre les diferents fases dels tractaments, de tal forma que no totes les operacions realitzades en el marc d'un tractament s'executen sobre totes les dades, sinó que actuen solament sobre aquells que siguen necessaris i en els moments en què siga estrictament necessari.

El RGPD exigix del responsable una configuració per defecte dels tractaments que siga respectuosa amb els principis de protecció de dades, advocant per un processament mínimament intrusiu (mínima quantitat de dades personals, mínima extensió del tractament, mínim termini de conservació i mínima accessibilitat a dades personals). Tot açò sense que siga necessària la intervenció de la persona les dades de la qual es tracten per a garantir estos mínims.

La Guia repassa les mesures a seguir per a aplicar la protecció de dades per defecte. Com arreplega el Comité Europeu de Protecció de Dades en les seues  Directrius sobre l'article 25 en relació amb la protecció de dades des del disseny i per defecte(Obri en nova finestra) , l'execució d'eixes mesures se centra les estratègies d'optimització, configurabilidad i restricció.

L'objectiu de l'optimització és analitzar el tractament des del punt de vista de la protecció de dades, la qual cosa suposa aplicar mesures en relació amb la quantitat de dades arreplegades, l'extensió del tractament, la seua conservació i accessibilitat. La segona estratègia és la configuració de servicis, sistemes o aplicacions, que ha de permetre l'establiment de paràmetres o opcions que determinen la forma en què es va a dur a terme el tractament, i que siguen susceptibles de ser modificades pel responsable i fins i tot per l'usuari. Per la seua part, la restricció garantix que, per defecte, el tractament és el més respectuós possible amb la privacitat, de manera que les opcions de configuració estiguen ajustades, per defecte, a aquells valors que limiten la quantitat de dades arreplegades, l'extensió del tractament, la seua conservació i accessibilitat.

S'ha inclòs a més  un document editable amb les mesures a adoptar(Obri en nova finestra)  per a posar en pràctica les estratègies de protecció de dades per defecte. En concret, es tracta de mesures sobre la quantitat de dades personals recollits; l'extensió del tractament; el període de conservació o l'accessibilitat de les dades. Dita apartada també s'inclou en una taula separada de la guia perquè puga ser utilitzada pels responsables. Així mateix, la Guia destina un capítol a la documentació i auditoria, aspectes necessaris per a acreditar el compliment de la norma. Com establix el principi de responsabilitat proactiva, el responsable ha d'aplicar les mesures necessàries per a garantir i poder demostrar que el tractament de dades complix amb el RGPD.

Conclusions

En l'apartat de conclusions, l'Agència recorda que la PDpD és una de les mesures de responsabilitat proactiva que s'integra amb la resta de les garanties establides en el Reglament, i que este permet optar per diferents aproximacions i alternatives a l'hora d'implementar este principi. Així mateix, posa de manifest que tant responsables de tractament de dades personals, com a encarregats i desenvolupadors, han de tindre presents les mesures de PDpD en la mesura de les seues obligacions.

Una altra de les conclusions destacades és que este principi ha d'aplicar-se sempre que tinga lloc un tractament de dades personals independentment de la seua naturalesa. L'establiment de mesures de privacitat per defecte no es deriva del resultat d'una anàlisi de riscos per als drets i llibertats, sinó que són mesurades i garanties que és necessari establir en tot cas.

Font original de la notícia(Obri en nova finestra)

  • Servicis electrònics
  • Seguretat