La Agencia de Protección de Datos (AEPD) acaba de publicar una guía que permite a los responsables y delegados de protección de datos aplicar la protección de datos por defecto para asegurar un proceso lo menos intrusivo posible.

Además, la Guía de Protección de Datos por Defecto (PDpD) ofrece una visión práctica para ayudar a aplicar este principio conforme a lo establecido en el Reglamento General de Protección de Datos (RGPD) y las directrices del Comité Europeo de Protección de Datos, informa la AEPD en una nota.

El documento va dirigido a los responsables de tratamiento y delegados de protección de datos y a los departamentos que se encargan del diseño, selección, desarrollo, despliegue, y explotación de aplicaciones y servicios.

El concepto de privacidad por defecto significa que sólo deben ser objeto de tratamiento los datos personales que sean "estrictamente necesarios y suficientes" para cada uno de los fines de tratamiento.

Por ello, el responsable de datos debe segmentar su uso entre los distintos tratamientos y entre las distintas fases de los tratamientos, para que no todas las operaciones realizadas en el marco de un tratamiento se ejecuten sobre todos los datos, sino que actúen solo sobre aquellos que sean necesarios y cuando sea estrictamente necesario, puntualiza la AEPD.

El RGPD exige del responsable una configuración por defecto de los tratamientos que sea respetuosa con los principios de protección de datos y que busque un procesamiento mínimamente intrusivo (mínima cantidad de datos personales, mínima extensión del tratamiento, mínimo plazo de conservación y mínima accesibilidad a datos personales), todo ello sin que sea necesaria la intervención del propietario de los datos.

La Guía repasa las medidas a seguir para aplicar la protección de datos por defecto aconsejadas por el Comité Europeo de Protección de Datos y que se centra en las estrategias de optimización, configurabilidad y restricción.

El objetivo de la optimización es analizar el tratamiento desde el punto de vista de la protección de datos, lo que supone aplicar medidas con relación a la cantidad de datos recogidos, la extensión del tratamiento, su conservación y accesibilidad.

La segunda estrategia es la configuración de servicios, sistemas o aplicaciones, que debe permitir el establecimiento de parámetros u opciones que determinen la forma en que se va a llevar a cabo el tratamiento, y que sean susceptibles de ser modificadas por el responsable e incluso por el usuario.

Por último, la restricción garantiza que, por defecto, el tratamiento es lo más respetuoso posible con la privacidad, de modo que las opciones de configuración estén ajustadas, por defecto, a aquellos valores que limiten la cantidad de datos recogidos, la extensión del tratamiento, su conservación y accesibilidad.

La Guía incluye además un documento editable para poner en práctica la protección de datos por defecto, con medidas sobre la cantidad de datos personales recogidos; la extensión del tratamiento; el periodo de conservación o la accesibilidad de los datos.

Asimismo, la Guía destina un capítulo a la documentación y auditoría, aspectos necesarios para acreditar el cumplimiento de la norma.