Conoce Atico34 - Solicita presupuesto
LOPDGDD & RGPD

Protección de datos por defecto ¿Qué es y cómo aplicarla con ejemplos?

Dentro de las medidas para cumplir con el principio de responsabilidad proactiva en protección de datos, está la aplicación de la protección de datos por defecto; en las siguientes líneas explicaremos en qué consiste y cómo llevarlo a cabo.

¿Qué es la protección de datos por defecto?

La protección de datos por defecto implica que cualquier tratamiento de datos debe estar configurado de manera previa para que solo se traten los datos personales estrictamente necesarios para conseguir la finalidad propuesta. Por lo tanto, es la aplicación práctica de uno de los principios de la protección de datos, el principio de minimización, puesto que también implica el mínimo plazo de conservación de datos y la mínima accesibilidad a los mismos.

Además, está estrechamente relacionado con el concepto de privacidad por defecto, puesto que las medidas que se aplican para garantizar el principio de minimización en el tratamiento de datos personales, se deben tener en cuenta desde el mismo momento de la creación del tratamiento o sistema que tratará datos personales.

Por ello, es habitual que hablemos siempre de la protección de datos desde el diseño y por defecto, puesto que forman parte de las medidas del principio de accountability (responsabilidad proactiva) que promueve el RGPD y que exige a los responsables y encargados del tratamiento poder demostrar que cumplen con la protección de datos, aplicando medidas preventivas.

En el caso de la protección de datos por defecto, hablamos de medidas que garanticen el principio de minimización y una configuración de partida completamente respetuosa con la privacidad, así como la capacidad de los interesados de configurar esos niveles de privacidad siempre que sea posible.

Así, la protección de datos por defecto afecta tanto a los requisitos de programas o dispositivos que manejarán datos personales, como al propio diseño de los tratamientos, independientemente del soporte en el que este se haga.

Aunque veremos más ejemplos al final, el hecho de que el perfil en una red social esté configurado por defecto como perfil privado y que deba ser el usuario quien lo convierta en público, sería un ejemplo de protección de datos por defecto.

tarifas proteccion datos

¿Cómo aplicar la protección de datos por defecto?

Para aplicar este principio, de acuerdo a la guía de protección de datos por defecto de la AEPD, debemos remitirnos a una serie de estrategias, que deben implementarse a través de diferentes medidas, que estarán presentes en las opciones de configuración del tratamiento, tanto del responsable como del usuario.

Estrategias

Son tres las estrategias que permiten la aplicación de la protección de datos por defecto, tal y como las define el CEPD (Comité Europeo de Protección de Datos) en sus Directrices 4/2019 sobre el artículo 25 del RGPD:

  • Optimizar: La optimización del tratamiento consiste en lograr las finalidades propuestas utilizando la menor cantidad posible de datos personales y durante la menor extensión de tiempo posible.
  • Configurar: El tratamiento debe permitir configurar los datos personales a través de ajustes disponibles en aplicaciones, dispositivos o sistemas que lleven a cabo el tratamiento. Además, parte de esa configuración debe ser accesible al usuario, para que pueda tener un mayor control sobre sus datos.
  • Restringir: El tratamiento será, por defecto, lo menos intrusivo posible y lo más respetuoso posible con la privacidad, es decir, que los ajustes de configuración deberán siempre limitar de manera predeterminada la cantidad de datos recogidos, la extensión del tratamiento, su conservación y su accesibilidad.

Medidas

Como decíamos, para implementar las tres estrategias anteriores, es necesario adoptar diferentes medidas sobre los siguientes aspectos:

  • Cantidad de datos personales recabados: El responsable debe considerar la cantidad de datos personales que son necesarios tratar para cumplir con las finalidades propuestas, entendida la cantidad tanto desde un punto de vista cuantitativo como cualitativo; tipos de datos, categorías de datos, nivel de detalle de los datos, teniendo en cuenta tanto los recabados como los inferidos a través de estos.
  • Extensión del tratamiento: Solo deberán llevarse a cabo aquellas operaciones de tratamiento estrictamente necesarias para cumplir con la finalidad declarada, es decir, que los datos personales no deberán usarse con más finalidades que la que se diseñó en principio.
  • Período de conservación: Los datos personales que ya no sean necesarios para el tratamiento, deberán ser siempre suprimidos. Los datos personales solo deben conservarse el mínimo tiempo necesario para cumplir con su finalidad.
  • Accesibilidad de los datos: El responsable debe establecer quién puede acceder a los datos personales, tanto dentro de la propia organización como terceros (incluidas otras organizaciones o servicios como motores de búsqueda, servidores en la nube, etc.). El nivel de acceso debe fundarse en un análisis de necesidad para cumplir con la finalidad del tratamiento y se implementará a través de:
    • Definición de roles y responsabilidades de los miembros de la organización.
    • Creación de una política de privilegios de acceso.
    • Incorporación de mecanismos de control de acceso a los datos.

Estas medidas de protección de datos por defecto se agrupan a través de opciones de configuración con las que se determina la extensión del tratamiento y que cubren todo el ciclo de vida de los datos, es decir, desde su recogida hasta su eliminación. Aquellas opciones de configuración a las que pueda acceder el usuario, estarán localizadas en el «panel de privacidad» (por ejemplo, la configuración de la privacidad en el perfil de usuario de una red social).

Ejemplos de medidas de protección de datos por defecto

Finalizamos este artículo con algunos ejemplos de medidas de datos por defecto:

  • Formulario web en el que solo se solicite el correo electrónico como dato obligatorio.
  • Poder usar funciones de la página web sin necesidad de suscribirse en la misma.
  • Dejar por defecto todos los ajustes de privacidad del perfil de usuario en el nivel más alto o estricto.
  • Permitir que el usuario active o desactive la recogida de datos a través de diferentes sistemas (por ejemplo, en aplicaciones móviles, el GPS, los sensores, la cámara o el micrófono).

Finalmente, recordar que las medidas de protección de datos por defecto deben quedar documentadas, ya que servirán para poder demostrar el cumplimiento del principio de responsabilidad proactiva.

Si tienes cualquier duda sobre cómo aplicar la protección de datos por defecto, puedes consultar la guía de la AEPD sobre el tema o ponerte en contacto con Grupo Atico34, nuestro equipo de expertos en protección de datos te ayudará a resolver cualquier duda relacionada con el tema.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.