accesskey_mod_content

A AEPD publica unha guía para facilitar a aplicación práctica da protección de datos por defecto

09 outubro 2020

  • O documento ofrece unha visión práctica que axude a aplicar este principio nos tratamentos de datos seguindo o establecido no RGPD e nas directrices adoptadas polo Comité Europeo de Protección de Datos

A Axencia Española de Protección de Datos(Abre en nova xanela) (AEPD) publicou o  Guía de Protección de Datos por Defecto(Abre en nova xanela)  (PDpD), que ofrece unha visión práctica para axudar a aplicar este principio aos tratamentos de datos seguindo o establecido no Regulamento Xeral de Protección de Datos (RGPD) e nas directrices adoptadas polo Comité Europeo de Protección de Datos.

Os destinatarios deste documento son os responsables de tratamento e delegados de protección de datos, ademais daquelas unidades ou departamentos que dentro da entidade responsable teñen ao seu cargo o deseño, selección, desenvolvemento, despregamento, e explotación de aplicacións e servizos. Tamén se aconsella a súa consulta a encargados, desenvolvedores ou subministradores, na medida que proporcionan produtos e servizos a responsables e busquen que estes cumpran cos requisitos da PDpD establecidos no Regulamento.

O concepto de privacidade por defecto refírese a que só deben ser obxecto de tratamento os datos persoais que sexan estritamente necesarios e suficientes para cada un dos fins de tratamento. Por iso, independentemente do conxunto de datos recolleitos polo responsable, este debe segmentar o uso do conxunto de datos entre os distintos tratamentos e entre as distintas fases dos tratamentos, de tal forma que non todas as operacións realizadas no marco dun tratamento execútense sobre todos os datos, senón que actúen só sobre aqueles que sexan necesarios e nos momentos en que sexa estritamente necesario.

O RGPD esixe do responsable unha configuración por defecto dos tratamentos que sexa respectuosa cos principios de protección de datos, avogando por un procesamento minimamente intrusivo (mínima cantidade de datos persoais, mínima extensión do tratamento, mínimo prazo de conservación e mínima accesibilidade a datos persoais). Todo iso sen que sexa necesaria a intervención da persoa cuxos datos se tratan para garantir estes mínimos.

A Guía repasa as medidas a seguir para aplicar a protección de datos por defecto. Como recolle o Comité Europeo de Protección de Datos no seu  Directrices sobre o artigo 25 en relación coa protección de datos desde o deseño e por defecto(Abre en nova xanela) , a execución desas medidas céntrase as estratexias de optimización, configurabilidad e restrición.

O obxectivo da optimización é analizar o tratamento desde o punto de vista da protección de datos, o que supón aplicar medidas con relación á cantidade de datos recolleitos, a extensión do tratamento, a súa conservación e accesibilidade. A segunda estratexia é a configuración de servizos, sistemas ou aplicacións, que debe permitir o establecemento de parámetros ou opcións que determinen a forma en que se vai a levar a cabo o tratamento, e que sexan susceptibles de ser modificadas polo responsable e mesmo polo usuario. Pola súa banda, a restrición garante que, por defecto, o tratamento é o máis respectuoso posible coa privacidade, de modo que as opcións de configuración estean axustadas, por defecto, a aqueles valores que limiten a cantidade de datos recolleitos, a extensión do tratamento, a súa conservación e accesibilidade.

Incluíuse ademais  un documento editable coas medidas a adoptar(Abre en nova xanela)  para pór en práctica as estratexias de protección de datos por defecto. En concreto, trátase de medidas sobre a cantidade de datos persoais recolleitos; a extensión do tratamento; o período de conservación ou a accesibilidade dos datos. Este apartado tamén se inclúe nunha táboa separada da guía para que poida ser utilizada polos responsables. Así mesmo, a Guía destina un capítulo a a documentación e auditoría, aspectos necesarios para acreditar o cumprimento da norma. Como establece o principio de responsabilidade proactiva, o responsable debe aplicar as medidas necesarias para garantir e poder demostrar que o tratamento de datos cumpre co RGPD.

Conclusións

No apartado de conclusións, a Axencia lembra que a PDpD é unha das medidas de responsabilidade proactiva que se integra co resto das garantías establecidas no Regulamento, e que este permite optar por diferentes aproximacións e alternativas á hora de implementar este principio. Así mesmo, pon de manifesto que tanto responsables de tratamento de datos persoais, como encargados e desenvolvedores, deben ter presentes as medidas de PDpD na medida das súas obrigas.

Outra das conclusións destacadas é que este principio ha de aplicarse sempre que teña lugar un tratamento de datos persoais independentemente da súa natureza. O establecemento de medidas de privacidade por defecto non se deriva do resultado dunha análise de riscos para os dereitos e liberdades, senón que son medidas e garantías que é necesario establecer en todo caso.

Fonte orixinal da noticia(Abre en nova xanela)

  • Servizos electrónicos
  • Seguridade
Subscríbeche á canle de youtube do OBSAE
 
Subscríbeche á canle de youtube do OBSAE