28/11/2021
protección de datos desde el diseño y por defecto

¿Qué es la protección de datos desde el diseño y por defecto?

1.- Introducción

Los principios de protección de datos desde el diseño y por defecto consisten, de forma conjunta, en la obligación de los responsables y encargados del tratamiento de datos personales de cumplir con la normativa de protección de datos y con el principio llamado de responsabilidad proactiva o «accountability».

La responsabilidad proactiva es la obligación de aquellos que intervienen en el tratamiento de datos personales de hacerlo en cumplimiento con el Reglamento General de Protección de Datos (RGPD) y pudiendo demostrar en todo momento dicho cumplimiento.

La protección de datos desde el diseño y por defecto forma parte de la forma en que se debe cumplir dicho principio de responsabilidad proactiva.

En el Reglamento General de Protección de Datos (RGPD) se hace referencia a dos principios para la implementación efectiva de la responsabilidad proactiva como son los de protección de datos desde el diseño y protección de datos por defecto.

Aunque se trata de dos principios que cumplen un objetivo común y que se regulan de forma conjunta, también son obligaciones con contenidos diferenciados entre sí.

Protección de datos

2.- Regulación de los principios de protección de datos desde el diseño y por defecto

La regulación de los principios de protección de datos desde el diseño y por defecto se encuentra en el artículo 25 del Reglamento General de Protección de Datos.

En un mismo artículo se regulan ambos principios, dedicándose el apartado primero a la protección de datos desde el diseño y el segundo apartado a la protección de datos por defecto.

Por su parte, la Ley Orgánica de Protección de Datos en su artículo 28 se remite expresamente al anterior artículo 25 del RGPD cuando enumera las obligaciones de los responsables del tratamiento.

3.- Protección de datos desde el diseño

El principio de protección de datos desde el diseño consiste en la obligación de que, cuando se pretendan llevar a cabo actividades de tratamiento de datos personales, se diseñe de forma que la protección de datos sea tenida en cuenta desde el primer momento, e incluso desde antes de que dichas actividades sean iniciadas.

En otras palabras, la protección de datos desde el diseño implica la adopción de ciertas medidas técnicas y organizativas para que los derechos y libertades de los interesados sean protegidos desde el inicio.

Se trata de mantener una actitud de protección preventiva y no reactiva frente a los riesgos que implique el tratamiento de los datos.

Los principios en los que se desglosa la protección de datos desde el diseño son:

  1. Actitud proactiva, no reactiva; preventiva, no correctiva.
  2. La privacidad como configuración predeterminada.
  3. Privacidad incorporada en la fase de diseño.
  4. Funcionalidad total: pensamiento de “todos ganan”.
  5. Aseguramiento de la privacidad en todo el ciclo de vida de los datos.
  6. Visibilidad y transparencia.
  7. Respeto de la privacidad de los usuarios: mantener un enfoque centrado en el usuario.

Fuente: Guía sobre la privacidad de datos desde el diseño de la Agencia Española de Protección de Datos.

Para poder cumplir con el principio de protección de datos desde el diseño se han previsto ocho estrategias a implementarse:

  1. Minimizar: El objetivo que persigue esta estrategia es recoger y tratar la mínima cantidad de datos posible, de modo que, evitando el procesamiento de datos que no sean necesarios para las finalidades perseguidas en el tratamiento, se limitan los posibles impactos en la privacidad. Se suelen emplear cuatro tácticas: seleccionar, excluir, podar y eliminar.
  2. Ocultar: Esta estrategia se centra en limitar la exposición de los datos, estableciendo las medidas necesarias para garantizar la protección de los objetivos de confidencialidad y desvinculación. Para dar respuesta a esta estrategia se suelen aplicar cuatro tácticas: restringir, ofuscar, disociar y agregar.
  3. Separar: El objetivo que persigue esta estrategia es evitar, o al menos minimizar, el riesgo de que, durante el procesamiento, en una misma entidad, de diferentes datos personales pertenecientes a un mismo individuo y utilizados en tratamientos independientes, se pueda llegar a realizar un perfilado completo del sujeto. Para ello, es necesario mantener contextos de tratamiento independientes que dificulten la correlación de grupos de datos que deberían estar desligados. Las siguientes tácticas contribuyen a implementar la estrategia de separación: aislar y distribuir.
  4. Abstraer: La idea que subyace bajo el uso de esta estrategia es limitar al máximo el detalle de los datos personales que son tratados. A diferencia de la estrategia «minimizar» que realiza una selección previa de los datos recogidos, esta estrategia se centra en el grado de detalle con el que los datos son tratados y en su agregación mediante el empleo de tres tácticas: sumarizar, agrupar y perturbar.
  5. Informar: Esta estrategia es la implementación del objetivo y principio de transparencia establecido en el RGPD y persigue que los interesados estén plenamente informados del procesamiento de sus datos en tiempo y forma. Siempre que se realice un tratamiento, los sujetos cuyos datos son tratados deberían conocer qué información es la que se procesa, con qué propósito y a qué terceras partes es comunicada, además del resto de información que se establece en los artículos 13 y 14 del RGPD. Esta estrategia se apoya en la existencia de cláusulas de privacidad que faciliten el conocimiento global de esta información a los interesados, junto con el uso de las siguientes tácticas: facilitar, explicar y notificar.
  6. Controlar: Esta estrategia está íntimamente ligada a la estrategia de informar y persigue el objetivo de proporcionar a los interesados control en relación a la recogida, tratamiento, usos y comunicaciones realizadas sobre sus datos personales mediante la implementación de mecanismos que permitan el ejercicio de los derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación de tratamiento así como la prestación y retirada del consentimiento o la modificación de las opciones de privacidad en aplicaciones y servicios. La implementación de estos mecanismos se apoya en el empleo de las siguientes tácticas: consentir, alertar, elegir, actualizar y retirar.
  7. Cumplir: Esta estrategia asegura que los tratamientos de datos personales sean compatibles y respeten los requisitos y las obligaciones legales impuestas por la normativa. Para ello, es preciso definir un marco de privacidad y una estructura de gobernanza que incluya una política de protección de datos apoyada desde la alta dirección, así como los roles y las responsabilidades que velen por su cumplimiento. La cultura de la privacidad debe formar parte esencial de la organización y hacer partícipes a todos los miembros de ésta, para lo que las tácticas definir, mantener y defender pueden servir de catalizador.
  8. Demostrar: El objetivo de esta estrategia va un paso más allá de la estrategia «cumplir» y pretende que, de acuerdo con el artículo 24 del RGPD, el responsable del tratamiento pueda demostrar, tanto a los interesados como a los autoridades de supervisión, el cumplimiento de la política de protección de datos que esté aplicando, así como el resto de requisitos y obligaciones legales impuestas por el RGPD. Desde un punto de vista práctico, se trata de la implementación del «accountability» o «responsabilidad proactiva» que exige el RGPD, basada en un autoanálisis crítico, continuo y rastreable de todas las decisiones tomadas en el marco de los tratamientos y garantía de una auténtica gobernanza de los datos personales en el seno de la organización. Las siguientes tácticas permiten llevar a cabo esta estrategia a fin de garantizar y poder demostrar que los tratamientos son conformes al RGPD: registrar, auditar e informar.

4.- Protección de datos por defecto

Por su parte, la protección de datos por defecto implica la obligación de que el tratamiento de datos personales esté configurado para que, por defecto, únicamente los datos personales estrictamente necesarios sean utilizados conseguir la finalidad de dicho tratamiento. También implica que los datos utilizados lo sean de la forma estrictamente necesaria y durante no más tiempo del que se requiere, en relación con la finalidad del tratamiento. Además, será necesario que el conjunto de datos que sea recogido, si va a ser objeto de varios tratamientos distintos, sea dividido para que únicamente tengan acceso a cada segmento de los datos aquellas personas que van a intervenir en el mismo, y no más.

Como puede verse, la protección de datos por defecto se consigue a partir de la implantación de tres estrategias, como así ha definido el Comité Europeo de Protección de Datos (CEPD) en sus Directrices 4/2019 relativas al artículo 25: Protección de datos desde el diseño y por defecto (adoptadas el 20 de octubre de 2020):

  1. Optimizar: supone llevar a cabo las finalidades del tratamiento con el menor número de datos personales posible y durante el menor tiempo posible.
  2. Configurar: permitir al usuario limitar el tratamiento de datos personales, configurándolo y adaptándolo a sus intereses, siempre que esto sea posible.
  3. Restringir: se trata de desarrollar la actividad de tratamiento limitando desde el principio todo aquello que pueda comprometer la privacidad de los interesados.

5.- Ejemplos de medidas de protección de datos desde el diseño

  • Configuración de un sistema de acceso a los datos por roles dentro de una entidad, de forma que únicamente puedan acceder a ellos los empleados que estrictamente necesiten hacerlo.
  • Aplicar técnicas de seudonimización y de cifrado de los datos personales a la hora de su almacenamiento.
  • Almacenar copias de seguridad de los datos de forma separada a los originales, de forma que se mantenga su integridad.
  • Que las copias de seguridad que se llevan a cabo sean las estrictamente necesarias y su acceso se encuentre restringido.
  • Codificación de comunicaciones entre personal de una empresa, para evitar que terceros puedan tener acceso a datos personales de forma no autorizada.

6.- Ejemplos de medidas de protección de datos por defecto

  • Proporcionar a los usuarios de una página web de llevar a cabo actividades sin necesidad de darse de alta o de crearse una cuenta, siempre que ello no sea necesario según la finalidad.
  • Si se lleva a cabo una comunicación mediante formularios de contacto, establecer como obligatorios los mínimos datos posibles, siendo todos los demás voluntarios.
  • Incorporación de mecanismos de ofuscación para evitar el tratamiento de datos biométricos en fotos, video, teclado, ratón, etc.
  • Facilitar el ejercicio de derechos de oposición, supresión y limitación del tratamiento de datos personales.
  • Configuración de los plazos de conservación de datos personales, de forma que este sea el menor tiempo posible.

 

Protección de datos

Pero si quieres profundizar más, continua leyendo 👇

7.- ¿Qué dicen los organismos oficiales del principio de protección de datos desde el diseño y por defecto?

Son muchas las autoridades de control y los organismos de protección de datos que se han pronunciado sobre la aplicación del principio de protección de datos desde el diseño y por defecto:

En la que la AEPD lleva a cabo una exhaustiva interpretación sobre lo que implica el cumplimiento de este principio, así como brinda instrucciones a las entidades que tratan datos personales para implantarlo.

Uno de los valores añadidos de esta guía es el gran detalle en que desarrolla cada una de las ocho estrategias en las que se desglosa la privacidad desde el diseño.

Esta guía de la AEPD está dedicada al análisis de la protección de datos por defecto. De esta guía, es importante resaltar por su utilidad práctica el Anexo II, en el que se incluye una lista de medidas de privacidad por defecto, que las entidades pueden implantar para garantizar el cumplimiento de la normativa de protección de datos.

Adoptadas en octubre del 2020 por el Comité Europeo de Protección de Datos, se trata de un análisis de los requisitos de cumplimiento de ambos principios contenidos en el artículo 25 del RGPD. Es interesante y muy recomendable la lectura de este documento, ya que es en el que se basa en gran parte la AEPD para la redacción de las dos guías antes mencionadas.

Estas directrices también aportan un gran valor desde el punto de vista práctica ya que brinda ejemplos de situaciones en que se aplican estos principios.

¿Buscas abogado especialista en Protección de datos personales?

Te recomendamos la firma de abogados española Algoritmo Legal donde encontrarás al abogado especializado en Protección de datos personales y con experiencia contrastada que necesitas. Formúlales tu consulta directamente desde aquí (los campos con * son obligatorios):


    ¿Cual es tu nombre?(*)
    ¿Cual es tu correo electrónico?(*)
    ¿En qué ciudad te ubicas?(*)
    ¿A qué teléfono podemos llamarte?

     

    Escribe tu mensaje o formula tu consulta:(*)

    Introduzca los caracteres que ves a continuación (para descartar bots):captcha

    He leído y acepto la Política de Privacidad y de Cookies del portal.

    Lenguaje Jurídico

    Lenguaje Jurídico promueve la utilización del lenguaje jurídico claro y el legal design con el fin de poner el Derecho al alcance de todos. Creadores del primer diccionario jurídico del ciudadano hispanohablante de a pie. Proyecto digital promovido por Algoritmo Legal.

    Ver todas las entradas de Lenguaje Jurídico →

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada.

    Translate »