¿Qué es la protección de datos desde el diseño y por defecto?

1.- Introducción

Los principios de protección de datos desde el diseño y por defecto consisten, de forma conjunta, en la obligación de los responsables y encargados del tratamiento de datos personales de cumplir con la normativa de protección de datos y con el principio llamado de responsabilidad proactiva o «accountability».

La responsabilidad proactiva es la obligación de aquellos que intervienen en el tratamiento de datos personales de hacerlo en cumplimiento con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, el Reglamento General de Protección de Datos (en adelante, el RGPD) y pudiendo demostrar en todo momento dicho cumplimiento.

La protección de datos desde el diseño y por defecto forma parte de la forma en que se debe cumplir dicho principio de responsabilidad proactiva.

En el Reglamento General de Protección de Datos (RGPD) se hace referencia a dos principios para la implementación efectiva de la responsabilidad proactiva como son los de protección de datos desde el diseño y protección de datos por defecto.

Aunque se trata de dos principios que cumplen un objetivo común y que se regulan de forma conjunta, también son obligaciones con contenidos diferenciados entre sí.

2.- Regulación de los principios de protección de datos desde el diseño y por defecto

La regulación de los principios de protección de datos desde el diseño y por defecto se encuentra en el artículo 25 del Reglamento General de Protección de Datos.

En un mismo artículo se regulan ambos principios, dedicándose el apartado primero a la protección de datos desde el diseño y el segundo apartado a la protección de datos por defecto.

Por su parte, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, la LOPDGDD) en su artículo 28 se remite expresamente al anterior artículo 25 del RGPD cuando enumera las obligaciones de los responsables del tratamiento.

3.- Protección de datos desde el diseño

El principio de protección de datos desde el diseño consiste en la obligación de que, cuando se pretendan llevar a cabo actividades de tratamiento de datos personales, se diseñe de forma que la protección de datos sea tenida en cuenta desde el primer momento, e incluso desde antes de que dichas actividades sean iniciadas.

En otras palabras, la protección de datos desde el diseño implica la adopción de ciertas medidas técnicas y organizativas para que los derechos y libertades de los interesados sean protegidos desde el inicio.

Se trata de mantener una actitud de protección preventiva y no reactiva frente a los riesgos que implique el tratamiento de los datos.

Los principios en los que se desglosa la protección de datos desde el diseño son:

Actitud proactiva, no reactiva; preventiva, no correctiva.
La privacidad como configuración predeterminada.
Privacidad incorporada en la fase de diseño.
Funcionalidad total: pensamiento de “todos ganan”.
Aseguramiento de la privacidad en todo el ciclo de vida de los datos.
Visibilidad y transparencia.
Respeto de la privacidad de los usuarios: mantener un enfoque centrado en el usuario.

Fuente: Guía sobre la privacidad de datos desde el diseño de la Agencia Española de Protección de Datos.

Para poder cumplir con el principio de protección de datos desde el diseño se han previsto ocho estrategias a implementarse:

Minimizar: El objetivo que persigue esta estrategia es recoger y tratar la mínima cantidad de datos posible, de modo que, evitando el procesamiento de datos que no sean necesarios para las finalidades perseguidas en el tratamiento, se limitan los posibles impactos en la privacidad. Se suelen emplear cuatro tácticas: seleccionar, excluir, podar y eliminar.
Ocultar: Esta estrategia se centra en limitar la exposición de los datos, estableciendo las medidas necesarias para garantizar la protección de los objetivos de confidencialidad y desvinculación. Para dar respuesta a esta estrategia se suelen aplicar cuatro tácticas: restringir, ofuscar, disociar y agregar.
Separar: El objetivo que persigue esta estrategia es evitar, o al menos minimizar, el riesgo de que, durante el procesamiento, en una misma entidad, de diferentes datos personales pertenecientes a un mismo individuo y utilizados en tratamientos independientes, se pueda llegar a realizar un perfilado completo del sujeto. Para ello, es necesario mantener contextos de tratamiento independientes que dificulten la correlación de grupos de datos que deberían estar desligados. Las siguientes tácticas contribuyen a implementar la estrategia de separación: aislar y distribuir.
Abstraer: La idea que subyace bajo el uso de esta estrategia es limitar al máximo el detalle de los datos personales que son tratados. A diferencia de la estrategia «minimizar» que realiza una selección previa de los datos recogidos, esta estrategia se centra en el grado de detalle con el que los datos son tratados y en su agregación mediante el empleo de tres tácticas: sumarizar, agrupar y perturbar.
Informar: Esta estrategia es la implementación del objetivo y principio de transparencia establecido en el RGPD y persigue que los interesados estén plenamente informados del procesamiento de sus datos en tiempo y forma. Siempre que se realice un tratamiento, los sujetos cuyos datos son tratados deberían conocer qué información es la que se procesa, con qué propósito y a qué terceras partes es comunicada, además del resto de información que se establece en los artículos 13 y 14 del RGPD. Esta estrategia se apoya en la existencia de cláusulas de privacidad que faciliten el conocimiento global de esta información a los interesados, junto con el uso de las siguientes tácticas: facilitar, explicar y notificar.
Controlar: Esta estrategia está íntimamente ligada a la estrategia de informar y persigue el objetivo de proporcionar a los interesados control en relación a la recogida, tratamiento, usos y comunicaciones realizadas sobre sus datos personales mediante la implementación de mecanismos que permitan el ejercicio de los derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación de tratamiento así como la prestación y retirada del consentimiento o la modificación de las opciones de privacidad en aplicaciones y servicios. La implementación de estos mecanismos se apoya en el empleo de las siguientes tácticas: consentir, alertar, elegir, actualizar y retirar.
Cumplir: Esta estrategia asegura que los tratamientos de datos personales sean compatibles y respeten los requisitos y las obligaciones legales impuestas por la normativa. Para ello, es preciso definir un marco de privacidad y una estructura de gobernanza que incluya una política de protección de datos apoyada desde la alta dirección, así como los roles y las responsabilidades que velen por su cumplimiento. La cultura de la privacidad debe formar parte esencial de la organización y hacer partícipes a todos los miembros de ésta, para lo que las tácticas definir, mantener y defender pueden servir de catalizador.
Demostrar: El objetivo de esta estrategia va un paso más allá de la estrategia «cumplir» y pretende que, de acuerdo con el artículo 24 del RGPD, el responsable del tratamiento pueda demostrar, tanto a los interesados como a los autoridades de supervisión, el cumplimiento de la política de protección de datos que esté aplicando, así como el resto de requisitos y obligaciones legales impuestas por el RGPD. Desde un punto de vista práctico, se trata de la implementación del «accountability» o «responsabilidad proactiva» que exige el RGPD, basada en un autoanálisis crítico, continuo y rastreable de todas las decisiones tomadas en el marco de los tratamientos y garantía de una auténtica gobernanza de los datos personales en el seno de la organización. Las siguientes tácticas permiten llevar a cabo esta estrategia a fin de garantizar y poder demostrar que los tratamientos son conformes al RGPD: registrar, auditar e informar.

4.- Protección de datos por defecto

Por su parte, la protección de datos por defecto implica la obligación de que el tratamiento de datos personales esté configurado para que, por defecto, únicamente los datos personales estrictamente necesarios sean utilizados conseguir la finalidad de dicho tratamiento. También implica que los datos utilizados lo sean de la forma estrictamente necesaria y durante no más tiempo del que se requiere, en relación con la finalidad del tratamiento. Además, será necesario que el conjunto de datos que sea recogido, si va a ser objeto de varios tratamientos distintos, sea dividido para que únicamente tengan acceso a cada segmento de los datos aquellas personas que van a intervenir en el mismo, y no más.

Como puede verse, la protección de datos por defecto se consigue a partir de la implantación de tres estrategias, como así ha definido el Comité Europeo de Protección de Datos (CEPD) en sus Directrices 4/2019 relativas al artículo 25: Protección de datos desde el diseño y por defecto (adoptadas el 20 de octubre de 2020):

Optimizar: supone llevar a cabo las finalidades del tratamiento con el menor número de datos personales posible y durante el menor tiempo posible.
Configurar: permitir al usuario limitar el tratamiento de datos personales, configurándolo y adaptándolo a sus intereses, siempre que esto sea posible.
Restringir: se trata de desarrollar la actividad de tratamiento limitando desde el principio todo aquello que pueda comprometer la privacidad de los interesados.

5.- Ejemplos de medidas de protección de datos desde el diseño

Configuración de un sistema de acceso a los datos por roles dentro de una entidad, de forma que únicamente puedan acceder a ellos los empleados que estrictamente necesiten hacerlo.
Aplicar técnicas de seudonimización y de cifrado de los datos personales a la hora de su almacenamiento.
Almacenar copias de seguridad de los datos de forma separada a los originales, de forma que se mantenga su integridad.
Que las copias de seguridad que se llevan a cabo sean las estrictamente necesarias y su acceso se encuentre restringido.
Codificación de comunicaciones entre personal de una empresa, para evitar que terceros puedan tener acceso a datos personales de forma no autorizada.

6.- Ejemplos de medidas de protección de datos por defecto

Proporcionar a los usuarios de una página web de llevar a cabo actividades sin necesidad de darse de alta o de crearse una cuenta, siempre que ello no sea necesario según la finalidad.
Si se lleva a cabo una comunicación mediante formularios de contacto, establecer como obligatorios los mínimos datos posibles, siendo todos los demás voluntarios.
Incorporación de mecanismos de ofuscación para evitar el tratamiento de datos biométricos en fotos, video, teclado, ratón, etc.
Facilitar el ejercicio de derechos de oposición, supresión y limitación del tratamiento de datos personales.
Configuración de los plazos de conservación de datos personales, de forma que este sea el menor tiempo posible.

Pero si quieres profundizar más, continua leyendo

7.- ¿Qué dicen los organismos oficiales del principio de protección de datos desde el diseño y por defecto?

Son muchas las autoridades de control y los organismos de protección de datos que se han pronunciado sobre la aplicación del principio de protección de datos desde el diseño y por defecto:

Guía de protección de datos desde el diseño (Agencia Española de Protección de Datos, o AEPD)

En la que la AEPD lleva a cabo una exhaustiva interpretación sobre lo que implica el cumplimiento de este principio, así como brinda instrucciones a las entidades que tratan datos personales para implantarlo.

Uno de los valores añadidos de esta guía es el gran detalle en que desarrolla cada una de las ocho estrategias en las que se desglosa la privacidad desde el diseño.

Guía de protección de datos por defecto (AEPD)

Esta guía de la AEPD está dedicada al análisis de la protección de datos por defecto. De esta guía, es importante resaltar por su utilidad práctica el Anexo II, en el que se incluye una lista de medidas de privacidad por defecto, que las entidades pueden implantar para garantizar el cumplimiento de la normativa de protección de datos.

Directrices 4/2019 relativas al artículo 25: Protección de datos desde el diseño y por defecto (CEPD)

Adoptadas en octubre del 2020 por el Comité Europeo de Protección de Datos, se trata de un análisis de los requisitos de cumplimiento de ambos principios contenidos en el artículo 25 del RGPD. Es interesante y muy recomendable la lectura de este documento, ya que es en el que se basa en gran parte la AEPD para la redacción de las dos guías antes mencionadas.

Estas directrices también aportan un gran valor desde el punto de vista práctica ya que brinda ejemplos de situaciones en que se aplican estos principios.

Para proteger debidamente tus datos personales o asegurarte de que tu empresa cumple con la exigente normativa europea sobre protección de datos personales, es imprescindible estar asesorado por abogados expertos en protección de datos.

¿Buscas abogado especialista en Protección de datos personales?

Te recomendamos la firma de abogados española Algoritmo Legal donde encontrarás al abogado especializado en Protección de datos personales y con experiencia contrastada que necesitas. Formúlales tu consulta directamente desde aquí (los campos con * son obligatorios):

¿Cual es tu nombre?*
¿Cuál es tu correo electrónico?*
¿En qué ciudad te ubicas?*
¿Cuál es tu teléfono? (Con prefijo del país)
Escribe tu mensaje o formula tu consulta*
Política de Privacidad*
He leído y acepto la Política de Privacidad y Cookies de esta web.
Los datos que nos facilita el usuario a través este formulario se incorporarán a tratamientos cuyo responsable es ALGORITMO LEGAL con domicilio profesional en la calle Sicilia nº 210, 5º, 3ª, 08013 de Barcelona. Puedes contactarnos llamando al teléfono (+34) 931 404 381 o a través del correo electrónico info@algoritmolegal.com. La finalidad de recogida de datos en este formulario es poder contestar las consultas planteadas y enviar al usuario la información solicitada a través del correo electrónico o teléfono indicados en el formulario, así como proveer información comercial. Más detalles en nuestra Política de Privacidad y Cookies.
(*) Campo obligatorio
Introduce los caracteres que ves a continuación: