2 minute read
IX. CONCLUSIONES
IX.
CONCLUSIONES
Advertisement
El artículo 25 del RGPD establece la PDpD como una de las medidas de responsabilidad proactiva, integrada con el resto de las garantías establecidas en el RGPD, y pudiendo optar por diferentes aproximaciones y alternativas a la hora de implementar la dimensión de PDpD.
Aunque este documento está centrado en la forma de abordar las obligaciones del artículo 25 con relación a la PDpD, todas las acciones relativas a la implementación de la PDpD en un tratamiento hay que abordarlas integradas con el resto de la medidas y garantías establecidas en el RGPD.
Tanto responsables de tratamiento de datos personales, como encargados y desarrolladores en la medida de sus obligaciones, deben tener presentes las medidas de PDpD. De un lado los desarrolladores deberían proporcionar soluciones técnicas que incluyan la posibilidad de establecer configuraciones por defecto respetuosas con los principios del RGPD y de otro lado responsables, y encargados en la medida que ofrecen servicios para ejecutar sus instrucciones, deben seleccionar soluciones que cumplan con estos requisitos y exigir a los desarrolladores el cumplimiento de los mismos.
El RGPD exige del responsable una configuración por defecto de los tratamientos que sea respetuosa con los principios de protección de datos, abogando por un procesamiento mínimamente intrusivo: mínima cantidad de datos personales, mínima extensión del tratamiento, mínimo plazo de conservación y mínima accesibilidad a datos personales.
Estos mínimos se han de establecer “por defecto”, es decir, la PDpD ha de aplicarse siempre que tenga lugar un tratamiento de datos personales independientemente de la naturaleza del tratamiento realizado. El establecimiento de medidas de privacidad por defecto no se deriva del resultado de un análisis de riesgos para los derechos y libertades, sino que son medidas y garantías que es necesario establecer, en cualquier caso.
Los paneles de privacidad para los usuarios deberán facilitar la configurabilidad ofreciendo una aproximación en dos niveles a través de casos de uso y opciones de configuración específicas. Además, la información al usuario sobre las consecuencias de sus elecciones ha de ser completa y transparente. Igualmente convendría que dichos paneles y el modo de ofrecer la información fueran de algún modo estándar, tanto en la utilización de iconos, como en la distribución de las opciones de configuración en la interfaz de usuario de cara a mejorar la transparencia y la usabilidad.
La aplicación de la PDpD ha de ser demostrable, lo que implica que su implementación ha de estar justificada, documentada y ser auditable. Con relación a ello, el tercer párrafo del artículo 25 del RGPD establece que: 3.Podrá utilizarse un mecanismo de certificación aprobado con arreglo al artículo 42 como elemento que acredite el cumplimiento de las obligaciones establecidas en los apartados 1 y 2 del presente artículo.
La utilización de certificaciones aprobadas con arreglo al artículo 42 del RGPD es una de las formas que tendría el responsable para demostrar el cumplimiento de la aplicación de medidas de PDpD.
