Protección de datos por defecto
Última modificación:
El principio de protección de datos por defecto supone la puesta en práctica del principio de minimización de datos mediante las medidas técnicas y organizativas que garanticen, por defecto, que únicamente sean objeto de tratamiento los datos necesarios para los fines del mismo y que hubieran sido definidos en la etapa de diseño inicial.
El RGPD exige del responsable una configuración por defecto de los tratamientos que sea respetuosa con los principios de protección de datos, abogando por un procesamiento mínimamente intrusivo: mínima cantidad de datos personales, mínima extensión del tratamiento, mínimo plazo de conservación y mínima accesibilidad a datos personales. Todo ello, además, sin que sea necesaria la intervención del interesado para garantizar que estos mínimos se hayan establecido. De ahí que la Protección de datos por defecto no se limita a requisitos sobre programas o dispositivos, sino que afecta también al propio diseño del tratamiento, con independencia del soporte en el que este se desarrolle.
También deben ser tenidas en cuenta las opciones de configuración que pudieran definir la implementación concreta del tratamiento atendiendo a las decisiones que el propio interesado pudiera tomar acerca de cómo desea que sean tratados sus datos.
Para más información sobre esta obligación, la AEPD ha publicado la guía de protección de datos por defecto que se encuentra disponible en el apartado web de innovación y tecnología y que puede consultar en el siguiente enlace:
Guía de Protección de Datos por Defecto
Junto con esta guía se pone a disposición de los responsables un conjunto de propuestas que pueden servirle de orientación a la hora de determinar algunas de las medidas de protección de datos por defecto aplicables a los tratamientos de datos personales que realicen en el marco de sus actividades:
Protección de datos por defecto: Listado de medidas
Téngase en cuenta que las guías y herramientas de esta Agencia son recursos de ayuda al cumplimiento y que, en ningún caso, sustituyen a la obligación del responsable de aplicar cuantas medidas pudieran ser necesarias para garantizar, de manera efectiva, los derechos y libertades de las personas físicas cuyos datos tratan, teniendo en cuenta la naturaleza, el alcance, el contexto, los fines del tratamiento así como los riesgos de diversa probabilidad, gravedad y origen que pudieran derivar de los tratamientos que se llevan a cabo.