Protección de datos desde el diseño y por defecto

Siguiendo con el análisis del RGPD, hoy nos centramos en unas de las novedades introducidas por la norma europea y que consideramos realmente importante, hablamos del requisito de establecer una protección de datos desde el diseño y por defecto.

Este nuevo requisito regulado en el artículo 25 y en los considerandos 78 y 108 del RGPD, viene a significar la adopción, por parte de los responsables del tratamiento, de medidas técnicas y organizativas apropiadas con el fin de garantizar el cumplimiento de los requisitos del Reglamento.

Estas medidas deberán establecerse de forma previa al efectivo tratamiento y mantenerse durante el efectivo tratamiento de datos de carácter personal, para ello se deberá analizar en cada caso en concreto cuál es el estado de la técnica disponible en la entidad en cuestión, el coste de la aplicación de dichas medidas, así como el ámbito, contexto y fines del tratamiento, atendiendo al mismo tiempo a los posibles riesgos y gravedad que entraña el mismo.

El RGPD nos indica algunas de las medidas apropiadas que deberemos llevar a cabo, como son:

1. Garantizar que sólo sean objeto del tratamiento los datos personales necesarios para cada uno de los fines específicos de tratamiento (minimización de los datos).

2. Proceder a la seudonimización de los datos personales lo antes posible.

3. Dar transparencia a las funciones y el tratamiento de los datos.

4. Garantizar que los datos personales no sean accesibles sin la intervención de la persona a un número indeterminado de personas físicas. Es decir, permitir a los interesados la supervisión del tratamiento.

5. A la hora de desarrollar, diseñar, seleccionar y usar aplicaciones, servicios y productos basados en el tratamiento de datos personales se ha de alentar a los productores de los productos, servicios y aplicaciones a que tengan en cuenta el derecho a la protección de datos cuando desarrollan y diseñen estos productos, servicios y aplicaciones, y que se aseguren de que los responsables y los encargados del tratamiento están en condiciones de cumplir sus obligaciones en materia de protección de datos.

Por último para que el responsable pueda acreditar o demostrar el cumplimiento de este requisito, el Reglamento prevé una serie de directrices dadas por el Comité o indicaciones proporcionadas por un Delegado de Protección de Datos. Estas directrices revestirán en particular la forma de códigos de conducta o certificaciones, que pueden ser otorgadas por las Autoridades de protección de datos, tanto individual como colectivamente desde el Comité Europeo, o por entidades debidamente acreditadas.