Comunicaciones y Sistemas

Privacidad por defecto, de la utopía a la práctica

Índice del contenido

Desde las primeras propuestas de redacción del Reglamento General de Protección de datos (RGPD), mucho antes de su entrada en vigor, hemos estado oyendo hablar del principio de privacidad por defecto y por diseño, o en su nomenclatura anglosajona privacy by design & by default.

Pues bien, hoy quiero contaros algo más acerca de este principio de “privacidad por defecto” y las implicaciones de su aplicación práctica.

Como se establece en el segundo apartado del artículo 25 del Reglamento (UE) 2016/679, General de Protección de Datos (en adelante RGPD), corresponde al responsable del tratamiento la implementación de las medidas de Protección de Datos por Defecto.

El RGPD exige del responsable una configuración por defecto de los tratamientos que sea respetuosa con los principios de protección de datos, abogando por un procesamiento mínimamente intrusivo: mínima cantidad de datos personales, mínima extensión del tratamiento, mínimo plazo de conservación y mínima accesibilidad a datos personales.

La selección de medidas y garantías para la privacidad por defecto tienen influencia sobre los requisitos que se establecen sobre los dominios de seguridad (confidencialidad, disponibilidad, integridad y autenticidad) desde un punto de vista de “seguridad por defecto”. Sin embargo, ha de tenerse en cuenta que la seguridad por defecto, en determinadas situaciones, puede entrar en tensión con la Privacidad por defecto.  Un ejemplo concreto es llevar al exceso las actividades de monitorización o autenticación de usuarios de forma tal que la información personal obtenida del usuario pueda representar un riesgo para los derechos y libertades de los usuarios cuyos accesos al sistema, producto o servicio se pretende gestionar.

Estrategias de privacidad por defecto

El Comité Europeo de Protección de Datos (EDPB) fija en tres estrategias básicas, la implementación del Principio de Privacidad por defecto:

  • Optimizar: aplicar medidas con relación a la cantidad de datos recogidos, la extensión del tratamiento, su conservación y accesibilidad.
  • Configurar: permitir que el tratamiento sea ajustable con relación a los datos personales mediante valores disponibles en las aplicaciones, dispositivos y/o sistemas que lo implementan.
  • Restringir: garantizar que el tratamiento, por defecto, es lo más respetuoso con la privacidad.

Estas tres estrategias deben alinearse y estar vinculadas con las correspondientes estrategias de minimización y control previstas en el principio de privacidad desde el diseño.

La aplicación del principio de minimización no es algo trivial, pues requiere estudiar, justificar y establecer qué datos son necesarios para el tratamiento. Los datos necesarios se determinan mediante un análisis del conjunto de datos con relación a la eficacia que es necesario alcanzar para cumplir con los propósitos del tratamiento.

Como establece el principio de responsabilidad proactiva en el artículo 24.1 del RGPD, las medidas y garantías de Privacidad por defecto han de estar documentadas y recoger la información suficiente para permitir, de forma satisfactoria y demostrable, acreditar el cumplimiento del RGPD. Esta documentación ha de permitir la trazabilidad de las decisiones tomadas y de las comprobaciones realizadas siguiendo los principios de minimización.

Mínima intrusión

Como conclusión decir que el RGPD exige del responsable una configuración por defecto de los tratamientos que sea respetuosa con los principios de protección de datos, abogando por un tratamiento mínimamente intrusivo: mínima cantidad de datos personales, mínima extensión del tratamiento, mínimo plazo de conservación y mínima accesibilidad a datos personales.

Debe quedar claro que el Principio de Privacidad por defecto, ha de aplicarse siempre que tenga lugar un tratamiento de datos personales, independientemente de la naturaleza del tratamiento realizado. El establecimiento de medidas de privacidad por defecto no se deriva del resultado de un análisis de riesgos de los derechos y libertades, sino que son medidas y garantías que es necesario establecer, en cualquier caso.

Comparte

No es sólo un blog

Noticias y avances sobre
tecnología

Con la unión de Sothis y Nunsys conseguimos...
La integración de Microsoft Power Platform y SAP...
¿Cómo complementar el CRM para enfocar el hecho...
En una sociedad cada vez más digitalizada, la...
Evolucionar el concepto de CRM (Customer Relationship Management)...
¿Por qué automatizar los gastos de los empleados?...

¡Gracias!

Tu formulario se ha enviado correctamente-

Consigue el eBook

De conformidad con lo establecido en la normativa vigente en materia de protección de datos, le informamos que sus datos serán tratados por Sothis Enterprise Resource Planning, S.L.U. con el fin de atender las solicitudes que nos formule en base a la ejecución de un acuerdo. Puede ejercer sus derechos de acceso, rectificación, supresión, oposición, así como los demás que la normativa reconoce al interesado, mediante solicitud dirigida a c/ Charles Robert Darwin, 13 – Parque Tecnológico cp. 46980 Paterna (Valencia), o por correo electrónico a rgpd@sothis.tech adjuntando copia de su DNI o documentación que le identifique. Puede consultar información adicional sobre el tratamiento de datos en SOTHIS en nuestra Política de Privacidad.