info@tecnoderechoasesores.com 91 489 82 74

Blog

La protección de datos por defecto

La Agencia Española de Proteccion de Datos ha elaborado una Guía de Protección de Datos por Defecto y desde Tecnoderecho Asesores, te la resumimos en este post.

¿Qué objetivo tiene esta guía?

Proporcionar de forma práctica la aplicación de medidas concretas de protección de datos por defecto.

¿A quién le corresponde la implantación de tales medidas de protección?

Tal y como se establece en el artículo 25 del Reglamento (UE) 2016/679, corresponde al responsable del tratamiento la implementación de las medidas de protección de Datos por defecto. El criterio para establecer la responsabilidad en un tratamiento se basa en determinar quién especifica los fines perseguidos y los medios utilizados, además se establece que los principios, derechos y obligaciones relativos a la protección de datos recogidos en dicho Reglamento han de tenerse en cuenta desde el diseño y por defecto.

¿A quién está dirigida esta guía?

A los Delegados de Protección de Datos, y específicamente a aquellos departamentos que, dentro de la entidad responsable del tratamiento, tienen a su cargo el diseño, selección, desarrollo, despliegue y uso de aplicaciones y servicios, y también a los encargados, desarrolladores o suministradores que quieran que sus productos o servicios permitan a los responsables cumplir con los requisitos de Protección de datos por Defecto, establecidos en el RGPD.

¿Qué es la Protección de Datos por Defecto?

En el artículo 25 del Reglamento General de Protección de Datos se establece que los principios, derechos y obligaciones relativos a la protección de datos han de tenerse en cuenta desde el diseño y por defecto, es decir, es una aplicación demostrable de la protección de datos por defecto que se convierte en una de las medidas de responsabilidad proactiva que permite acreditar el cumplimiento de las obligaciones establecidas en la norma.

Aunque en el Reglamento es obligatorio el cumplimiento de las exigencias independientemente de la naturaleza y tamaño de la entidad responsable del tratamiento, se muestra flexible a la hora de seleccionar las medidas para garantizar dicho cumplimiento, pudiendo optar por variadas aproximaciones y alternativas a la hora de implementar la dimensión de la Protección de Datos por Defecto.

El Reglamento exige del responsable una configuración por defecto de los tratamientos que sea acorde con los principios de protección de datos, siendo este mínimamente intrusivo, es decir, mínima cantidad de datos personales, mínima extensión del tratamiento, mínimo plazo de conservación y mínima accesibilidad a datos personales y sin que intervenga en ello el interesado para garantizarlo.

¿Cuál es la aplicación de la protección de datos por defecto?

Se centra en tres estrategias.

  1. Optimizar: persigue analizar el tratamiento desde el punto de vista de la protección de datos, es decir, aplicar medidas con relación a la cantidad de datos recogidos, la extensión del tratamiento, su conservación y accesibilidad.

Para la optimización hay que llevar a cabo las siguientes actividades, que en algún caso se realizan en paralelo:

  • Descomposición y análisis del tratamiento en fases: Hay que identificar aquellas operaciones singulares que se llevan a cabo y la relación entre ellas. Las operaciones que pueden formar parte de un tratamiento y que son de interés para la protección de datos, están definidas en el artículo 4.2 del RGPD, y algunas de ellas son la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización… entre otras. En el caso de que existan fases que no traten datos personales, esas fases serían transparentes desde el punto de vista de la protección de datos.
  • La definición de casos de uso: Podemos encontrarnos ante tratamientos muy sencillos o lineales, en los que la configuración sea muy limitada o ante tratamientos complejos con diversas funcionalidades para adaptarse a perfiles diferentes o con necesidades concretas. Los casos de uso han de estar determinados por el responsable, que deberá evaluar la adecuación de los casos de uso que ha definido y las necesidades de los usuarios, haciéndolo de la forma menos intrusiva posible, además de ir adaptándolo al cambio en el tiempo del contexto del tratamiento.
  • El estudio de la relación entre tratamientos realizados por un mismo responsable: Estos componentes que implementan operaciones y son compartidos entre tratamientos en muchos casos son heredados, y en otros casos, los tratamientos se desarrollan utilizando componentes estándar de terceros compartidos entre varias aplicaciones que hacen un uso común de acceso a servicio de proceso de datos, como por ejemplo las aplicaciones en sistemas móviles. Por lo que, el responsable debe analizar cada tratamiento en el contexto de la organización para identificar las necesidades de configuración sobre los servicios comunes a distintos tratamientos, para poder determinar los datos mínimos necesarios, realizar una separación lógica y/o física de datos personales utilizados en cada tratamiento, gestionar los derechos de acceso de acuerdo con cada tratamiento y establecer un espacio independiente.
  • La optimización del tratamiento. Adaptación: Junto con las actividades anteriores es necesario estudiar cada una de las fases o etapas del tratamiento, y determinar la necesidad de la fase, la minimización aplicable, el periodo de conservación durante el que es necesario retener los datos personales y los criterios de acceso para aplicaciones, servicios y personas.

 

  1. Configurar, dicha estrategia debe permitir que el tratamiento sea configurable con relación a los datos personales mediante valores disponibles en las aplicaciones, dispositivos o sistemas que lo implementen, y parte de esa configuración debe estar bajo el control del usuario. La configurabilidad tiene cuatro aspectos:

    • La identificación de los requisitos de configurabilidad, que se integrarán como parte de los requisitos de privacidad desde el diseño del tratamiento y se traducen en la determinación y selección de un conjunto de opciones de configuración, entendidas como el conjunto de opciones de configuración.
    • Determinar cuáles de las opciones de configuración estarán bajo el control exclusivo del responsable y con qué límites.
    • En el caso de que ciertas opciones de configuración, por la naturaleza del tratamiento, estén bajo control del usuario, es necesario determinar cuáles de las opciones de configuración son las consideradas y con qué límites.
    • Determinar si los componentes off – the – shelf con los que se va a construir el tratamiento cumplen con dichos requisitos de configurabilidad y ajustar su valor.

Los usuarios tienen que estar informados de las consecuencias y riesgos de la configuración de forma clara y concisa, para que les permita tomar una decisión informada respecto al impacto sobre su privacidad, además se debe tener especial atención si se trata de datos de menores o colectivos en situación de vulnerabilidad, por ejemplo, las víctimas de violencia de genero.

El empleo de casos de uso permite una aproximación en dos capas al control del tratamiento por parte del usuario, una primera para seleccionar casos generales de uso y una segunda para la configuración en detalle de cada uno de ellos. En caso de modificaciones por parte del usuario, debe ser posible la restauración a los valores iniciales.

  1. Restringir, esta estrategia garantiza que el tratamiento por defecto sea lo más respetuoso posible con la privacidad, puesto que las opciones de configuración deben estar ajustadas en aquellos valores que limiten la cantidad de datos recogidos, la extensión del tratamiento, su conservación y accesibilidad. Respecto del principio de lealtad o “fairness” establecido en el artículo 5.1.a del RGPD, el responsable del tratamiento ha de garantizar que no se emplean interfaces de usuario diseñadas para influir, a través de manipulaciones psicológicas y de forma encubierta, en las elecciones del interesado, con relación al tratamiento de sus datos personales.

Estas estrategias constatan que las medidas están orientadas específicamente a la aplicación del principio de minimización de datos, y que deben utilizarse únicamente los datos personales necesarios para el propósito específico del tratamiento.

¿Qué medidas de protección de datos por defecto se aplican?

Es necesario adoptar medidas sobre:

  • La cantidad de datos personales recogidos: El responsable del tratamiento deberá considerar el volumen de datos personales tratados, incluyendo los datos recogidos como los generados o inferidos a través de estos.
  • La extensión del tratamiento: Se limita a lo estrictamente necesario para cumplir con el propósito declarado.
  • El periodo de conservación: Si un dato personal no se necesita más después de ejecutar una fase del tratamiento, el dato deberá ser suprimido, y en caso de no hacerse, deberá estar justificado y fundamentado
  • La accesibilidad de los datos: El grado de accesibilidad a los datos ha de estar establecido basándose en un análisis de necesidad para cumplir con el propósito del tratamiento, que debe hacerse mediante una definición de roles y responsabilidades de los miembros de la organización, de una política de control de privilegios de acceso como parte de las medidas organizativas adoptadas, y de la incorporación de mecanismos de control de acceso a la información que implementen la política definida y que serán en parte de carácter organizativo y de tipo técnico.

Estas medidas se agrupan a través de opciones de configuración que permiten determinar la extensión del tratamiento, es decir, los requisitos de configurabilidad del tratamiento contendrán una lista de opciones, detallando parámetros, rangos y valores por defecto, y se aplicarán desde el diseño.

¿Qué controles básicos se consideran circunscritos a una auditoría de Protección de Datos por Defecto de forma aislada?

Hay una lista de verificaciones que se enumera de forma enunciativa y no exhaustiva y debe quedar integrada en el marco global de una auditoria de protección de datos, consta de diversas comprobaciones de que lo anteriormente mencionado, se lleva a cabo.

El responsable debe ajustar los casos de uso a la operativa real y necesidades del usuario y comprobar la evolución de esta operativa en el tiempo. En relación a la lista anterior, ha de entenderse como un mínimo genérico y susceptible de ser ampliado para tratamientos específicos.

¿Qué conclusiones sacamos entonces de lo expuesto?

Tanto responsables, como encargados y desarrolladores en la medida de sus obligaciones, deben tener presentes las medidas de PDpD. Por un lado, los desarrolladores deben proporcionar soluciones técnicas que incluyan la posibilidad de establecer configuraciones por defecto, respetuosas con los principios del RGPD, y los responsables y encargados deben seleccionar soluciones que cumplan con estos requisitos y exigir a los desarrolladores el cumplimiento de los mismos.

El RGPD exige del responsable una configuración por defecto de los tratamientos que sea respetuosa con los principios de protección de datos, siendo este mínimamente intrusivo, es decir, mínima cantidad de datos personales, mínima extensión del tratamiento, mínimo plazo de conservación y mínima accesibilidad a datos personales.

Los paneles de privacidad para los usuarios deberán facilitar la configurabilidad ofreciendo una aproximación en dos niveles a través de casos de uso y opciones de configuración específicas, y la información al usuario debe ser completa y transparente.

La aplicación de la PDpD ha de ser demostrable, lo que implica que su implementación ha de estar justificada, documentada y ser auditable, por ello tal y como se indica en el artículo 25.3 se podrá establecer un mecanismo de certificación que acredite el cumplimiento de la aplicación de medidas del PDpD.

 

BLOG TECNODERECHO

Tecnoderecho Asesores le informa de todas las novedades en materia de legislación respecto a las nuevas tecnologías y protección de datos.



INBLAC analiza el impacto de la nueva ley de protección de denunciantes en la prevención de blanqueo de capitales y financiación del terrorismo
El Reglamento General de Protección de Datos (RGPD): Garantizando la Privacidad en la Era Digital
LOGRAMOS LA PARALIZACIÓN DE LA IMPLANTACIÓN DE UNA PLATAFORMA PARA LA GESTIÓN DE LOS CENTROS SOCIALES DESARROLLADA POR LA JUNTA DE ANDALUCÍA QUE INCUMPLÍA LA NORMATIVA DE PROTECCIÓN DE DATOS
Abrir chat
¿Necesitas ayuda?
Hola
¿En que podemos ayudarte?