Las nuevas directrices inherentes a los principios de privacidad by design y privacidad by default

GDPR para HR | 10.02.2021

En octubre de 2020, el European Data Protection Board publicó nuevas directrices sobre los principios de privacidad por diseño y privacidad por default. Esta necesidad se deriva de la convicción de que la privacidad y la protección de los datos personales son fundamentales y necesarios sobre todo al definir y desarrollar los procesos operativos.

Estas nuevas directrices se refieren, en particular, a la interpretación del art. 25 del GDPR y el principio fundamental de que el desarrollador debe comprender plenamente los principios de protección de datos personales y los derechos y libertades correspondientes, el desarrollo de sistemas y medidas de protección adecuados, necesarios para la protección de los datos personales, por una parte, y para la libertad de desarrollo, por otra.

En las nuevas directrices se desarrollan los principios de privacidad por diseño y por default, así como las recomendaciones a los desarrolladores y fabricantes para alcanzar los objetivos de protección establecidos, incluso mediante la adopción de certificados específicos y códigos de conducta.

Los principios de protección de datos por diseño deben ser implementados en el momento en que el titular define los medios para el tratamiento de los datos personales. Este período se refiere al momento en que se establecen los medios, las modalidades y los mecanismos que se utilizarán en el desarrollo del tratamiento. Es en este momento que el desarrollador ya debe dar crédito a todas las medidas necesarias para la implementación efectiva de la protección de la privacidad por diseño, teniendo en cuenta factores como el estado de la técnica, el costo de las implementaciones necesarias, la naturaleza, el propósito, el contexto, el objetivo y el riesgo. Por lo tanto, se hace hincapié en que en un contexto de análisis de costes y beneficios, el empresario debe tener en cuenta inmediatamente el objetivo de la privacidad por diseño, Sin duda, podría resultar mucho más caro intervenir a posteriori para corregir un proceso ya iniciado.

Una vez iniciado el procedimiento, el desarrollador tiene la responsabilidad de mantener la norma establecida, teniendo también en cuenta el nivel de riesgo que podría cambiar durante la fase de diseño y obligando al empresario a volver a evaluar las medidas de seguridad ya aplicadas.

En las nuevas directrices se especifica que esta obligación de mantener/supervisar/adaptar el sistema de privacidad por diseño y por default también es obligatoria en relación con los sistemas existentes en el GDPR, por lo que deben ajustarse a las nuevas directrices.

“Por default” se refiere, en cambio, a las opciones inherentes a la configuración y a las opciones de procesamiento previstas en un sistema como una aplicación de software. El titular deberá definir previamente las razones por las que se recogen y almacenan los datos personales. Esto significa que por default, el titular no puede:

recopilar más datos de los que realmente se necesitan;
mantener los datos durante más tiempo del necesario;
tratar los datos por motivos que no hayan sido previamente autorizados por el interesado.

En caso de que un responsable del tratamiento utilice programas informáticos de terceros, el mismo tiene la obligación de realizar una evaluación preventiva del riesgo sobre el producto con el fin de verificar la conformidad del mismo con las normativas aplicables y los objetivos de protección de los datos personales que se ha dado el empresario. En general, los procesos operativos deben desarrollarse con el fin de tratar el menor número posible de datos personales para alcanzar el objetivo previsto, también en relación con las autorizaciones y el acceso al propio software.

En conclusión, las nuevas directrices definen cómo un sistema eficaz de implementación de medidas técnicas y organizativas en el contexto de la privacidad by default y by design se puede resumir en la identificación de un sistema de dimensionamiento y minimización de los datos personales con referencia al propósito específico.