La Agencia Española de Protección de Datos ha publicado una guía en la que establece una serie de medidas concretas destinadas a facilitar la aplicación práctica del principio de privacidad por defecto a los tratamientos de datos personales conforme a lo establecido en el artículo 25 del RGPD y en las directrices adoptadas por el Comité Europeo de Protección de Datos en el documento “Guidelines 4/2019 on Article 25 Data Protection by Design and by Default”.
Si bien en el artículo 25 de RGPD ya establece el PDpD como una de las medidas de responsabilidad proactiva, esta guía va más allá, estableciendo la forma de abordar esas medidas, exigiendo una configuración por defecto de los tratamientos que cumpla con todos los principios de protección de datos y que el procesamiento sea lo menos intrusivo posible:
Estos mínimos deben aplicarse siempre que tenga lugar un tratamiento de datos personales, independientemente de la naturaleza de ese tratamiento. Se deben facilitar a los usuarios paneles de privacidad que garanticen que la información es completa y transparente y convendría que dichos paneles fueran de algún modo estándar (utilización de iconos, distribución de opciones de interfaz...) de cara a mejorar la transparencia y usabilidad. La creación de cuenta de perfil en una red social, en la que de manera tácita se convierte en una cuenta privada y no pública (con acceso a todos los perfiles de la red) supondría un panel de privacidad, en la que, por defecto, asegura la privacidad de la cuenta, siendo opcional que sea pública.
Además, la aplicación de la PDpD debe ser demostrable y por ello su implementación tiene que estar justificada, documentada y ser auditable.
Esta guía está destinada principalmente a:
Con la aplicación de esta guía se pretende aclarar y facilitar el cumplimiento del nuevo marco legal de protección de datos, realizando a su vez, un repaso de las directrices que se estipularon sobre el artículo 25 en relación con la protección de datos desde el diseño y por defecto por el Comité Europeo de Protección de Datos, respecto a la ejecución de medidas basadas en estrategias de optimización, configurabilidad y restricción.