¿Qué cambios nos trae el nuevo Reglamento General de Protección de Datos? (V)
PRIVACIDAD DESDE EL DISEÑO Y POR DEFECTO (Artículo 25 del RGPD, considerando (78) y (108))
Aunque ya era un principio presente en la normativa europea en materia de protección de datos, el nuevo Reglamento General de Protección de Datos da una especial relevancia al principio de la Privacidad desde el diseño y por defecto. Pero, ¿qué significa?
La protección desde el diseño, supone que la protección de datos se debe considerar desde las primeras etapas de la concepción de un proyecto tanto para la prestación de un servicio como para el desarrollo de aplicaciones o productos. Debe formar parte de la lista de elementos a considerar antes de iniciar las siguientes fases. Se trata de una medida de precaución que puede suponer un ahorro al responsable, ya que es más fácil planificar desde el inicio, que tener que corregir la situación con posterioridad.
La protección por defecto establece, además, que solo se traten los datos personales que sean estrictamente necesarios para cada uno de los fines de tratamiento. Este principio está relacionado con el principio de calidad de los datos de la LOPD, por el que se establecía la necesidad de un uso proporcionado de los datos para la finalidad por la que se recaban.
Para aplicar la privacidad desde el diseño y por defecto hay que tener en cuenta que:
- Al diseñar la recogida de datos se debe analizar qué tipo y cantidad de datos se recaban, teniendo en cuenta que deben ser siempre los mínimos necesarios en función del producto o servicio de que se trate.
- Para el tratamiento de los datos, hay que analizar los procesos asociados a dichos tratamientos para que se acceda a los mínimos datos personales necesarios para ejecutarlos. Si fuera posible por la naturaleza del proceso, llegar incluso a que no se traten datos de carácter personal.
- Hay que implementar una política de Conservación de datos que permita eliminar los datos que no sean estrictamente necesarios.
- Hay que limitar el acceso por parte de terceros a dichos datos personales teniendo en cuenta que no deben ser accesibles a un número indeterminado de personas físicas, sin que intervenga el sujeto de los datos para otorgar el permiso.
- Además, para las Administraciones Públicas, a la hora de realizar la adquisición de productos y servicios se debe establecer este principio como un requisito o condición a exigir.
En definitiva, antes de iniciar cualquier actividad donde se vayan a tratar datos de carácter personal es necesario realizarse varias preguntas: ¿necesitamos realmente recabar datos de carácter personal?, ¿los datos que estamos pidiendo son solo los necesarios?, ¿las herramientas con las que vamos a realizar el tratamiento cumplen con los requisitos de privacidad necesarios?, ¿acceden a los datos solo las personas autorizadas?,¿estamos conservando datos sin necesidad?…