L'AEPD publica una guia per facilitar l'aplicació pràctica de la protecció de dades per defecte
L'Agència Espanyola de Protecció de Dades (AEPD) ha publicat la Guia de Protecció de Dades per defecte, que ofereix una visió pràctica per ajudar a aplicar aquest principi als tractaments de dades seguint el que estableix el Reglament General de Protecció de dades (RGPD) i en les directrius adoptades pel Comitè Europeu de Protecció de dades.
Els destinataris d'aquest document són els responsables de tractament i delegats de protecció de dades, a més d'aquelles unitats o departaments que dins de l'entitat responsable tenen al seu càrrec el disseny, selecció, desenvolupament, desplegament, i explotació d'aplicacions i serveis. També s'aconsella la seva consulta a encarregats, desenvolupadors o subministradors, en la mesura que proporcionen productes i serveis a responsables i busquin que aquests compleixin amb els requisits de la PDpD que estableix el Reglament.
La Guia repassa les mesures a seguir per aplicar la protecció de dades per defecte. Com recull el Comitè Europeu de Protecció de Dades en les seves directrius sobre l'article 25 en relació amb la protecció de dades des del disseny i per defecte, l'execució d'aquestes mesures es centra les estratègies d'optimització, configurabilitat i restricció.
L'objectiu de l'optimització és analitzar el tractament des del punt de vista de la protecció de dades, la qual cosa suposa aplicar mesures amb relació a la quantitat de dades recollides, l'extensió de l'tractament, la seva conservació i accessibilitat. La segona estratègia és la configuració de serveis, sistemes o aplicacions, que ha de permetre l'establiment de paràmetres o opcions que determinin la forma en què es va a dur a terme el tractament, i que siguin susceptibles de ser modificades pel responsable i fins i tot per l'usuari. Per la seva banda, la restricció garanteix que, per defecte, el tractament és el més respectuós possible amb la privacitat, de manera que les opcions de configuració estiguin ajustades, per defecte, a aquells valors que limitin la quantitat de dades recollides, l'extensió de l' tractament, la seva conservació i accessibilitat.
S'ha inclòs a més un document editable amb les mesures a adoptar per posar en pràctica les estratègies de protecció de dades per defecte. En concret, es tracta de mesures sobre la quantitat de dades personals recollides; l'extensió de l'tractament; el període de conservació o l'accessibilitat de les dades. Aquest apartat també s'inclou en una taula separada de la guia perquè pugui ser utilitzada pels responsables. Així mateix, la Guia destina un capítol a la documentació i auditoria, aspectes necessaris per acreditar el compliment de la norma. Com estableix el principi de responsabilitat proactiva, el responsable ha d'aplicar les mesures necessàries per a garantir i poder demostrar que el tractament de dades compleix amb el RGPD.