Artículo 25

Protección de datos desde el diseño y por defecto

1. Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.

2. El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.

3. Podrá utilizarse un mecanismo de certificación aprobado con arreglo al artículo 42 como elemento que acredite el cumplimiento de las obligaciones establecidas en los apartados 1 y 2 del presente artículo.

¿Qué significa?

El artículo 25 del RGPD aborda el concepto de “protección de datos desde el diseño y por defecto”, comúnmente denominado privacidad desde el diseño y privacidad por defecto.

Las organizaciones deben aplicar las medidas técnicas y organizativas adecuadas para garantizar que los principios de protección de datos se integran en el diseño y funcionamiento de sus sistemas, productos y servicios.

El objetivo es mejorar la privacidad y la protección de los datos en todas las fases del tratamiento de datos personales.

Este concepto es esencial para lograr una protección de datos eficaz y garantizar así el cumplimiento de la normativa RGPD.

Para garantizar la protección de los derechos y libertades de las personas, es esencial realizar una evaluación de riesgos. Esta evaluación de riesgos debe valorar la probabilidad y gravedad de las posibles repercusiones sobre la privacidad y la protección de datos de las personas.

Esto puede hacerse evaluando la naturaleza de los datos personales implicados, la sensibilidad de los datos y las consecuencias potenciales si los datos se vieran comprometidos o fueran mal manejados.

La evaluación de riesgos determinará el nivel de riesgo actual. A continuación, debe tomar medidas para reducir este riesgo a un nivel aceptable mediante la aplicación de medidas técnicas y organizativas.

La privacidad desde el diseño es un enfoque que incorpora características y principios de protección de datos y privacidad en el proceso de desarrollo de sistemas, productos y servicios.

Implica identificar y abordar los riesgos potenciales para la privacidad y aplicar medidas para mitigarlos.

Todas las organizaciones están obligadas a incorporar la privacidad desde el diseño en su tratamiento de datos personales, como se menciona en el artículo 25 del RGPD.

La privacidad por defecto se refiere a la práctica de establecer la opción por defecto en cualquier proceso o sistema a la opción más respetuosa con la privacidad, sin requerir ninguna acción por parte del individuo. Este principio coincide con el principio de protección de datos de minimización de datos.

Al optar por defecto por la privacidad mejorada, se garantiza a las personas el máximo nivel de protección de su privacidad desde el momento en que empiezan a utilizar un sistema, producto o servicio.

Además, la privacidad por defecto significa que las organizaciones deben limitar la recogida, uso y almacenamiento de datos personales a lo estrictamente necesario para los fines especificados.

El artículo 25 exige que su organización aplique la privacidad desde el diseño y por defecto, lo que significa ajustar todo el tratamiento de datos personales para protegerlos.

Por desgracia, las organizaciones suelen dar prioridad a la protección de la seguridad y la privacidad a posteriori, una vez que ya se ha diseñado el producto o el proceso empresarial.

Esto resulta aún más problemático a medida que se van añadiendo e integrando nuevos tratamientos y sistemas a los ya existentes. Esto conduce a un panorama de seguridad disperso y complejo para la organización, lleno de inseguridades difíciles de parchear y asegurar. Como consecuencia, también aumentan los gastos generales.

La integración de los requisitos del artículo 25 mejorará la protección de los datos personales y facilitará su mantenimiento a medida que se desarrollen los procesos y sistemas empresariales.

Algunos ejemplos de aplicación de la privacidad desde el diseño y por defecto son:

  • Aplicar una configuración por defecto que dé prioridad a la privacidad, como dar a las personas la opción de aceptar en lugar de rechazar la recopilación y el tratamiento de datos.
  • Aplicar controles de acceso para restringir el acceso sólo a quienes lo necesiten.
  • Llevar a cabo evaluaciones de riesgos al tratar nuevos procesos o sistemas empresariales para identificar y abordar posibles riesgos para la privacidad.
  • Garantizar que todos los empleados estén formados en los principios de protección de datos y seguridad informática, y que comprendan suficientemente cómo tratar los datos personales de forma segura.

Sí, existen requisitos específicos para aplicar la protección de datos desde el diseño y por defecto.

El artículo 25 del RGPD establece que las organizaciones deben aplicar medidas técnicas y organizativas adecuadas para garantizar que los principios de protección de datos se tengan en cuenta y se integren en el diseño y el funcionamiento de sus sistemas, productos y servicios.

Esto incluye adoptar un enfoque proactivo de la privacidad y la protección de datos, establecer la privacidad por defecto, minimizar la recogida de datos, garantizar la limitación de la finalidad, ofrecer transparencia a las personas, dar control al usuario y obtener su consentimiento, aplicar medidas de seguridad de los datos, etc.

Para garantizar el cumplimiento del artículo 25 del RGPD, una empresa debe tomar las siguientes medidas:

  • Mapear el tratamiento de datos personales en todos los procesos y sistemas, tal y como exigen los registros de actividades de tratamiento del artículo 30.
  • Realice una evaluación de riesgos de estos tratamientos y sistemas.
  • Aplicar la privacidad desde el diseño y por defecto para reducir el nivel de riesgo identificado en las evaluaciones de riesgos.
  • Documentar el uso de la privacidad desde el diseño y por defecto, por ejemplo, añadiendo documentación al respecto a los registros de actividades de tratamiento.

Sensibilización

Asegúrese de que toda su empresa cuenta con la formación de concienciación necesaria sobre los aspectos básicos del RGPD y la seguridad informática.

Discover

About