La protección de datos desde el diseño y por defecto viene establecida en el art. 25 y en el considerando 78 del RGPD.
Artículo 25: Protección de datos desde el diseño y por defecto
- Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.
- El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.
- Podrá utilizarse un mecanismo de certificación aprobado con arreglo al artículo 42 (Certificación) como elemento que acredite el cumplimiento de las obligaciones establecidas en los apartados 1 y 2 del presente artículo.
El objetivo de la protección de datos desde el diseño es incluir los principios de protección de datos dentro de las organizaciones de manera tal que los mismos estén presentes a lo largo de toda la vida del tratamiento, es decir, desde el momento en que se diseña, se pone en práctica y finalmente se suprime o finaliza el tratamiento. El RGPD establece que deberán aplicarse de forma eficaz medidas técnicas y organizativas adecuadas (como por ejemplo la seudonimización y minimización de datos) para aplicar los principios de protección de datos de forma eficaz y proteger los derechos y libertades de los interesados. De esta forma, la protección de datos desde el diseño supone la integración en las organizaciones o empresas de las garantías adecuadas para la protección de los datos desde el momento en que se determinan los medios del tratamiento, así como en el momento en que se realiza el propio tratamiento, debiendo tener en cuenta:
En relación con la protección de datos por defecto, el RGPD señala que deberán aplicarse medidas técnicas y organizativas apropiadas con el objetivo de que sólo sean objeto de tratamiento los datos personales realmente necesarios para cada uno de los fines específicos del tratamiento (principio de minimización). Dicha obligación abarcaría:
Como ejemplo de protección de datos por defecto el RGPD pone el ejemplo particular de evitar la accesibilidad a un número indeterminado de personas sin que exista intervención del propio interesado.