Protección de Datos desde el Diseño y Por Defecto

By |Published On: 6 de marzo de 2024|
Protección de Datos desde el Diseño y Por Defecto

La Protección de Datos desde el Diseño y por Defecto estipulada en el RGPD, requiere que las organizaciones implementen las medidas técnicas y organizativas adecuadas para cumplir con las exigencias en protección de datos de manera eficaz y salvaguardar los derechos de las personas titulares de los datos personales.

La Protección de Datos desde el Diseño y por Defecto, se refiere a la integración de medidas de privacidad y seguridad en todas las etapas del ciclo de vida de los datos, desde el diseño inicial de un producto, servicio o sistema, hasta su implementación y uso continuo.

¿Qué es la Protección de Datos desde el Diseño y por Defecto?

Las organizaciones deben considerar la privacidad y la protección de datos desde el principio, incorporando medidas adecuadas en todas las etapas del proceso de desarrollo y operación. Esto significa que la privacidad y la seguridad no se consideran como una ocurrencia tardía o una característica adicional, sino que se integran de manera intrínseca en el diseño y la funcionalidad del producto o servicio.

En otras palabras, quiere decir que la organización debe integrar o “meter en su cocina” la protección de datos en las actividades de tratamiento y procesos comerciales, desde la etapa de diseño, hasta completar el ciclo de vida.

Este concepto no es nuevo. Anteriormente conocido como “privacidad por diseño” (privacy by design ó PbD), siempre ha sido parte de la base normativa de protección de datos, como por ejemplo desde 2005 en el estándar ampliamente extendido UNE-EN ISO/IEC 27001:2017 Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información.

Con la evolución del RGPD, éste ahora, es un requisito legal.

la Protección de Datos desde el diseño y por Defecto promueve una cultura de privacidad centrada en el usuario, donde la protección de datos se considera una prioridad desde el inicio del desarrollo y se mantiene a lo largo del tiempo de actividad de la organización. Esto ayuda a garantizar el respeto a la privacidad y la seguridad de los datos personales en un entorno cada vez más digitalizado y conectado.

¿Cómo adaptarse a la “Privacidad por Diseño”?

Para ello, la organización sólo ha de tratar los datos personales que necesita para los fines legitimados y usar los datos solamente para esos fines.

Asimismo, ha de asegurarse que los datos personales se protejan automáticamente en cualquier sistema, servicio, producto y/o práctica comercial de TI, de modo que las personas no tengan que tomar ninguna medida específica para proteger su privacidad.

Solo deben utilizarse sistemas propios que brinden garantías suficientes en cuanto a medidas técnicas y organizativas para la protección de datos por diseño y si se usan otros sistemas, servicios o productos en las actividades de tratamiento, sus diseñadores y fabricantes han de asegurar las exigencias en protección de datos.

El uso de las tecnologías de privacidad mejorada o PETS (Privacy Enhancing Technologies), así como contar con un DPD (Delegado de Protección de Datos), realizar un Análisis de Riesgos y una EIPD, junto con las Auditorías de Protección de Datos, ayudarán periódicamente a la organización a cumplir con las obligaciones legales desde el diseño y por defecto.

¿Qué aspectos se deben tener en cuenta para una correcta implementación de la Protección de Datos desde el Diseño y por Defecto?

  • Minimización de datos. Limitar la recopilación y el procesamiento de datos personales a lo estrictamente necesario para cumplir con el propósito específico para el que fueron obtenidos.

  • Transparencia en la gestión. Proporcionar información clara y comprensible sobre cómo se recopilan, procesan y utilizan los datos personales, así como sobre los derechos de los individuos en relación con sus datos.

  • Seguridad integrada. Implementar medidas de seguridad técnicas y organizativas adecuadas para proteger los datos personales contra el acceso no autorizado, la divulgación, la alteración o la destrucción.

  • Accesibilidad y facilidad de uso. Diseñar sistemas y servicios de manera que los individuos puedan ejercer sus derechos de protección de datos de manera efectiva y sin dificultades excesivas.

  • Cumplimiento continuo. Evaluar y actualizar regularmente las medidas de privacidad y seguridad para garantizar su eficacia y cumplimiento continuo con los requisitos legales y las mejores prácticas de protección de datos.

A continuación facilitamos una guía sobre la Protección de Datos desde el diseño, publicada por la Agencia Española de Protección de Datos (AEDP) donde se tratan todos los hitos a tener en cuenta para una correcta implementación en la empresa. Además, desde Garante Privacy estamos dispuestos a ayudarte durante todo el proceso. ¡Pregúntanos!.