Desde las primeras propuestas de redacción del Reglamento General de Protección de datos (RGPD), mucho antes de su entrada en vigor, hemos estado oyendo hablar del principio de privacidad por defecto y por diseño, o en su nomenclatura anglosajona privacy by design & by default.
Pues bien, hoy quiero contaros algo más acerca de este principio de “privacidad por defecto” y las implicaciones de su aplicación práctica.
Como se establece en el segundo apartado del artículo 25 del Reglamento (UE) 2016/679, General de Protección de Datos (en adelante RGPD), corresponde al responsable del tratamiento la implementación de las medidas de Protección de Datos por Defecto.
El RGPD exige del responsable una configuración por defecto de los tratamientos que sea respetuosa con los principios de protección de datos, abogando por un procesamiento mínimamente intrusivo: mínima cantidad de datos personales, mínima extensión del tratamiento, mínimo plazo de conservación y mínima accesibilidad a datos personales.
La selección de medidas y garantías para la privacidad por defecto tienen influencia sobre los requisitos que se establecen sobre los dominios de seguridad (confidencialidad, disponibilidad, integridad y autenticidad) desde un punto de vista de “seguridad por defecto”. Sin embargo, ha de tenerse en cuenta que la seguridad por defecto, en determinadas situaciones, puede entrar en tensión con la Privacidad por defecto. Un ejemplo concreto es llevar al exceso las actividades de monitorización o autenticación de usuarios de forma tal que la información personal obtenida del usuario pueda representar un riesgo para los derechos y libertades de los usuarios cuyos accesos al sistema, producto o servicio se pretende gestionar.
Estrategias de privacidad por defecto
El Comité Europeo de Protección de Datos (EDPB) fija en tres estrategias básicas, la implementación del Principio de Privacidad por defecto:
- Optimizar: aplicar medidas con relación a la cantidad de datos recogidos, la extensión del tratamiento, su conservación y accesibilidad.
- Configurar: permitir que el tratamiento sea ajustable con relación a los datos personales mediante valores disponibles en las aplicaciones, dispositivos y/o sistemas que lo implementan.
- Restringir: garantizar que el tratamiento, por defecto, es lo más respetuoso con la privacidad.
Estas tres estrategias deben alinearse y estar vinculadas con las correspondientes estrategias de minimización y control previstas en el principio de privacidad desde el diseño.
La aplicación del principio de minimización no es algo trivial, pues requiere estudiar, justificar y establecer qué datos son necesarios para el tratamiento. Los datos necesarios se determinan mediante un análisis del conjunto de datos con relación a la eficacia que es necesario alcanzar para cumplir con los propósitos del tratamiento.
Como establece el principio de responsabilidad proactiva en el artículo 24.1 del RGPD, las medidas y garantías de Privacidad por defecto han de estar documentadas y recoger la información suficiente para permitir, de forma satisfactoria y demostrable, acreditar el cumplimiento del RGPD. Esta documentación ha de permitir la trazabilidad de las decisiones tomadas y de las comprobaciones realizadas siguiendo los principios de minimización.
Mínima intrusión
Como conclusión decir que el RGPD exige del responsable una configuración por defecto de los tratamientos que sea respetuosa con los principios de protección de datos, abogando por un tratamiento mínimamente intrusivo: mínima cantidad de datos personales, mínima extensión del tratamiento, mínimo plazo de conservación y mínima accesibilidad a datos personales.
Debe quedar claro que el Principio de Privacidad por defecto, ha de aplicarse siempre que tenga lugar un tratamiento de datos personales, independientemente de la naturaleza del tratamiento realizado. El establecimiento de medidas de privacidad por defecto no se deriva del resultado de un análisis de riesgos de los derechos y libertades, sino que son medidas y garantías que es necesario establecer, en cualquier caso.