Guía de la AEPD: Incorporación de garantías de privacidad desde el diseño

La Agencia Española de Protección de Datos (AEPD), ha publicado hoy 17 de octubre de 2019 la “Guía de Privacidad desde el Diseño” (Privacy by Design) con el objetivo de proporcionar pautas que faciliten la incorporación de los principios y garantías de protección de datos en las fases previas de planificación de los productos y servicios.

El principio de protección de datos desde el diseño persigue que la protección de datos esté presente desde las primeras fases de concepción de un sistema o producto, con el fin de cumplir los requisitos definidos en el RGPD y garantizar los derechos de los interesados. Esto significa que las empresas, como responsables del tratamiento, deben aplicar este principio de manera tal que la protección de los datos de carácter personal esté presente a lo largo de todo el ciclo de vida del dato.

Asimismo, la aplicación de este principio debe perseguir la integración de la privacidad en todo el ecosistema de la compañía, tanto en los procesos técnicos como en su organización.

Esto implica, tal y como recoge la AEPD en la Guía, que, a priori, deben identificarse los posibles riesgos a los derechos y libertades de los interesados con relación al tratamiento de sus datos personales y minimizarlos mediante la adopción de medidas proactivas (no reactivas) que se anticipen a las amenazas.

La Guía de la AEPD destaca que la obligación de implementar la protección de datos desde el diseño es aplicable a todos los responsables del tratamiento con independencia de su tamaño, el tipo de datos tratados o la naturaleza del tratamiento.

Si bien la obligación recae sobre los Responsables del tratamiento, aquellos proveedores de servicios que actúen como Encargados deberán incorporar este principio también con el fin de que su producto o servicio permita a sus clientes, como Responsables del tratamiento, la correcta aplicación e integración de las garantías adecuadas en materia de protección de datos.

Además, el responsable del tratamiento deberá aplicar medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento, limitándose, asimismo, su alcance, el período de su almacenamiento y su accesibilidad a lo que sea necesario para cada fin específico. Todo ello, teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, alcance, el contexto y los fines del tratamiento.

Asimismo, y en virtud del Principio de Responsabilidad Proactiva (Accountability), el Responsable del Tratamiento debe ser capaz de demostrar el cumplimiento de lo dispuesto en la normativa protectora de datos personales. A este efecto, el RGPD establece que el responsable del tratamiento debe adoptar políticas internas con el fin de demostrar el cumplimiento de sus obligaciones.

A este fin, resulta recomendable que las empresas cuenten con un protocolo que permita adecuar sus procesos, productos y servicios al cumplimiento interno de estos principios, en virtud de los cuales se deben adoptar criterios que deberán tenerse en cuenta en todas las fases del tratamiento llevado a cabo por, o por cuenta de, el Responsable, fomentando una cultura interna asociada al correcto cumplimiento de los nuevos principios de protección de datos desde el diseño y por defecto.

No aplicar o aplicar de forma incorrecta estos principios puede implicar la imposición de sanciones graves, pero, además del requerimiento normativo y el riesgo de sanción en caso de incumplimiento, no asumir las pautas y criterios de actuación basados en la protección de la privacidad puede provocar un daño reputacional a la empresa y perjudicar la imagen de la misma por la pérdida de confianza de sus usuarios o clientes. Por ello, sin perjuicio de la obligación legal de acoger estos principios para cumplir el marco fijado en el RGPD y evitar las sanciones asociadas a su infracción, la motivación para su implantación en el seno de la empresa debe atender también a la asunción de una filosofía empresarial basada en el respeto a la privacidad como garantía de confianza en el mercado.

Nelia Álvarez. Abogada del Área de Tecnología, Innovación y Economía Digital

Post A Comment