A Axencia Española de Protección de Datos
(AEPD) publicou o Guía de Protección de Datos por Defecto (PDpD), que ofrece unha visión práctica para axudar a aplicar este principio aos tratamentos de datos seguindo o establecido no Regulamento Xeral de Protección de Datos (RGPD) e nas directrices adoptadas polo Comité Europeo de Protección de Datos.
Os destinatarios deste documento son os responsables de tratamento e delegados de protección de datos, ademais daquelas unidades ou departamentos que dentro da entidade responsable teñen ao seu cargo o deseño, selección, desenvolvemento, despregamento, e explotación de aplicacións e servizos. Tamén se aconsella a súa consulta a encargados, desenvolvedores ou subministradores, na medida que proporcionan produtos e servizos a responsables e busquen que estes cumpran cos requisitos da PDpD establecidos no Regulamento.
O concepto de privacidade por defecto refírese a que só deben ser obxecto de tratamento os datos persoais que sexan estritamente necesarios e suficientes para cada un dos fins de tratamento. Por iso, independentemente do conxunto de datos recolleitos polo responsable, este debe segmentar o uso do conxunto de datos entre os distintos tratamentos e entre as distintas fases dos tratamentos, de tal forma que non todas as operacións realizadas no marco dun tratamento execútense sobre todos os datos, senón que actúen só sobre aqueles que sexan necesarios e nos momentos en que sexa estritamente necesario.
O RGPD esixe do responsable unha configuración por defecto dos tratamentos que sexa respectuosa cos principios de protección de datos, avogando por un procesamento minimamente intrusivo (mínima cantidade de datos persoais, mínima extensión do tratamento, mínimo prazo de conservación e mínima accesibilidade a datos persoais). Todo iso sen que sexa necesaria a intervención da persoa cuxos datos se tratan para garantir estes mínimos.
A Guía repasa as medidas a seguir para aplicar a protección de datos por defecto. Como recolle o Comité Europeo de Protección de Datos no seu Directrices sobre o artigo 25 en relación coa protección de datos desde o deseño e por defecto , a execución desas medidas céntrase as estratexias de optimización, configurabilidad e restrición.
El objetivo de la optimización es analizar el tratamiento desde el punto de vista de la protección de datos, lo que supone aplicar medidas con relación a la cantidad de datos recogidos, la extensión del tratamiento, su conservación y accesibilidad. La segunda estrategia es la configuración de servicios, sistemas o aplicaciones, que debe permitir el establecimiento de parámetros u opciones que determinen la forma en que se va a llevar a cabo el tratamiento, y que sean susceptibles de ser modificadas por el responsable e incluso por el usuario. Por su parte, la restricción garantiza que, por defecto, el tratamiento es lo más respetuoso posible con la privacidad, de modo que las opciones de configuración estén ajustadas, por defecto, a aquellos valores que limiten la cantidad de datos recogidos, la extensión del tratamiento, su conservación y accesibilidad.
Incluíuse ademais un documento editable coas medidas a adoptar para pór en práctica as estratexias de protección de datos por defecto. En concreto, trátase de medidas sobre a cantidade de datos persoais recolleitos; a extensión do tratamento; o período de conservación ou a accesibilidade dos datos. Este apartado tamén se inclúe nunha táboa separada da guía para que poida ser utilizada polos responsables. Así mesmo, a Guía destina un capítulo a a documentación e auditoría, aspectos necesarios para acreditar o cumprimento da norma. Como establece o principio de responsabilidade proactiva, o responsable debe aplicar as medidas necesarias para garantir e poder demostrar que o tratamento de datos cumpre co RGPD.
