By Default (por Defecto) &

By Design (desde el Diseño)

El Responsable del tratamiento de datos personales, entre otros, ha de  implementar las medidas de protección por Defecto. Junto a la protección de Datos desde el Diseño, ambos principios, se recogen expresamente en el Reglamento General de Protección de Datos (DPGR) en su artículo 25.
Además de los Responsables, cabe al Delegado de Protección de Datos (DPO), a quienes diseñan, desarrollan o despliegan el uso de aplicaciones, garantizar la protección de los Derechos del interesado, amparados Constitucionalmente  en el artículo 18, el Derecho a la Intimidad, matizado por interesantes Sentencias del Tribunal Constitucional, entre otras, SS, 254/1993 de 20 de Julio y 292/2000 de 30 de Noviembre, dándole autonomía propia frente a la Intimidad entendida en su sentido restringido y su diferenciación dentro de esta.

El Responsable del tratamiento ha de tener en mente, definir y aplicar las medias técnicas y organizativas que garanticen el respeto a la protección de los datos personales:
– Habrá de tener en cuenta que solo han de tratarse los datos personales necesarios para cada uno de los fines previstos.
– Los datos han de ser recogidos para fines determinados, explícitos y legítimos, siendo además, que su tratamiento a posteriori, no puede ser incompatible con los fines especificados.
– Serán conservados no más tiempo del preciso para los fines del tratamiento.
El Comité Europeo de Protección de Datos establece una serie de estrategias, de Optimización del tratamiento, de modo que se apliquen medidas en relación a la cantidad de datos recogidos,  su extensión y conservación;  configurar el tratamiento de forma adecuada,  con ajustes en las aplicaciones, los dispositivos o sistemas que los implementan; estando; llevar a efecto la adecuada Restricción del tratamiento, haciéndolo muy respetuoso con la privacidad, haciendo que la configuración sea acorde a los valores que limitan la cantidad de datos, la extensión del tratamiento, su accesibilidad y conservación.
Tal y como indica el CEPD el tratamiento, en cada una de sus fases, consistirá en tratar los datos mínimos imprescindibles para la operación a efectuar en cada caso.
El principio de Minimización requiere la justificación de qué datos son necesarios para el tratamiento, sin que ello pueda ser incompatible con una información precisa y suficiente a sus fines.
Estas estrategias conviene que estén alineadas en el marco de la protección de datos, con el otro principio,  desde el Diseño, orientándose ambos (por defecto y desde el Diseño)  a recoger el principio de Minimización. Todas estas medidas han de adoptarse a fin de conseguir tales objetivos.

La Optimización del tratamiento requiere de una serie de actividades consistentes en lograr la mejora continua en eficacia y eficiencia. Para ello seria conveniente:
– Analizar el tratamiento que pretende llevarse a cabo. Aquí se identifican las operaciones a efectuar en las diversas fases del tratamiento y la relación existente entre las diversas operaciones. Las distintas operaciones que pueden formar parte del tratamiento se definen en el artículo 4.2 del RGPD (recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión o difusión o cualquier otra forma de acceso, cotejo o interconexión, limitación, supresión o destrucción). Las
operaciones que se llevan a cabo se pueden realizar con medidas organizativas o elementos técnicos. A través de componentes desarrollados ad hoc, específicos para cada tratamiento, o estándares de otros tratamientos; pueden ser de aplicaciones, servidores, sistemas operativos,
componentes de red, librerías, etc..
Desde la configuración “por Defecto”, el Responsable habrá de tener en cuenta las necesidades precisas a los específicos propósitos perseguidos por el tratamiento. Debe determinar en tal análisis la pertinencia y necesidad de realizar todas y cada una de las operaciones de tratamiento de datos que hayan sido identificadas.
– Casos de Uso. El tratamiento puede ser muy sencillo y lineal en el que la configuración por defecto es muy limitada, pero puede tratarse de tratamientos muy complejos, que ofrecen diversas funcionalidades para adaptarse a perfiles y usuarios, o con necesidades concretas.

Dependiendo del tipo de servicio precisado por el usuario, o que el responsable pretenda ofrecerlo en el marco de un mismo tratamiento, es preciso recabar y procesar una distinta extensión de los datos personales. En función de los casos de uso, el Responsable ha de identificar al usuario, los interfaces diversos, geolocalización puntual o continua, etc. Lo que implica que la configuración del tratamiento ha de tener en cuenta el tipo y extensión de dichos datos y el uso elegido por el usuario en cada momento. Por ello no deberían recabarse, por defecto, datos necesarios para todo el potencial de uso, sino los meramente precisos.
Ejemplo de tratamientos donde pueden encontrarse diferentes casos de uso son: Una red social, en función del grado de difusión de información personal que desea el usuario; las pulseras de fitness, en función de los servicios seleccionados; apps para seguimiento de epidemias; dispositivos de telemedicina; plataformas y apps de entornos educativos, etc. Cada entorno tiene sus necesidades.
El Responsable ha de evaluar la adecuación de los casos de uso que ha definido, a la realidad y a las necesidades del usuario y a que se adapte el tratamiento y al  transcurso del tiempo. Atendiendo, pues, al principio de Minimización, esta evaluación ha de ser lo menos invasiva posible desde la perspectiva de la protección de datos.

Al usuario no pueden planteársele dilemas tipo “lo tomas o lo dejas” para acceder al servicio contratado, y así ejercer alguna imposición en el tratamiento de datos personales, que exceda de lo necesario. No puede denegarse el acceso al servicio por el hecho de que un usuario haya elegido la configuración mas restrictiva, respecto a la cantidad de datos personales o a la extensión del tratamiento.
– Relaciones entre Tratamientos, es común que varios tratamientos accedan a los mismos conjuntos de datos y hacer uso de servicios comunes de recogida de datos. El Responsable debe analizar cada tratamiento en el contexto de la Organización a fin de identificar las necesidades de configuración sobre los servicios comunes a diversos tratamientos para lo que habrá de:
.Determinar datos mínimos necesarios para cada tratamiento.
.Realizar una separación lógica o física de los datos personales utilizados en cada tratamiento.
.Gestionar Derechos de Acceso según a cada tratamiento.
.Establecer un espacio independiente, lógico o físico para tratamiento de datos sensibles.
De ahí que el Responsable haya de cuidar de no extender los límites de los “propósitos compatibles”.
– Adaptación del tratamiento, junto al Análisis que determina casos de uso y selección de componentes compartidos, se precisa, en cada fase o etapa, estudiar cada uno de los casos de uso definidos por el Responsable y determinar, si es supérflua o evitable desde el punto de vista del
tratamiento; aplicar la Minimización teniendo en cuenta la necesidad de los datos inferidos, si los hay; datos mínimos a tratar en dicha fase y estrictamente necesarios para operaciones a las que da soporte; periodo de conservación de los datos personales; criterios para el acceso a aplicaciones, servicios y personas, definir roles, qué privilegios de acceso y a qué datos; capacidad de control otorgada al usuario sobre las anteriores opciones.
La Configurabilidad de un tratamiento implica que se ha diseñado con un conjunto de opciones susceptibles de ser cambiadas por el Responsable, incluso por el usuario. El conjunto de las distintas opciones, sus parámetros y valores por defecto son establecidos por el Responsable como requisitos del servicio, sistema o aplicación.

El Responsable, en cada fase, habrá de establecer los requisitos de configurabilidad, debiendo trasladar estos al diseño e implementación del tratamiento. La configuración por defecto determina el uso habitual del servicio y las características del tratamiento, siempre que no se ofrezca al usuario la posibilidad de personalizarlo. La configuración “por defecto” está formada por el conjunto de pares parámetro/valor preseleccionados o reasignados en un sistema, aplicación o servicio, que condicionan en todo o en parte el funcionamiento de este.
La determinación de opciones de configuración y de casos de uso, ha de ser información de entrada en la etapa de análisis de riesgo para Derechos y Libertades de las personas físicas, estableciendo como pueden afectar a la privacidad de los usuarios los valores asignados a los distintos parámetros y las posibles consecuencias de su modificación por parte de estos, o posible manipulación de terceros. Los usuarios deben estar informados de las consecuencias y riesgos de la configuración, de manera clara y precisa, de forma que les permita tomar una decisión informada respecto al impacto en su privacidad.

El grado de configurabilidad debe ser lo suficientemente amplio para que ofrezca opciones reales de configuración al responsable o usuario del sistema. Los valores y opciones de tratamiento deberían ser universales para todas las instancias del modelo de aplicación, dispositivo o servicio puesto en marcha por el Responsable, minimizando el tratamiento de datos personales y sin necesidad de pasar por un largo proceso de configuración antes de poder usarse.
La Configurabilidad en los componentes, cuando se trata de componentes de terceros, puede limitarse la capacidad del Responsable o encargado en la medida en que puede afectarle en la correcta ejecución de los requisitos que el Responsable ha fijado para la aplicación de la configurabilidad. Por ello es importante determinar los valores prefijados de estos componentes y si son inalterables, qué parámetros son configurares y el valor “por defecto” con el que están configurados, y el conjunto de valores que podrían tomar.
El problema de los componentes estándares es que pueden desarrollarse con un objetivo y finalidad distintos del que plantea el tratamiento en el que el Responsable los utiliza. De ahí que sea necesario averiguar si dichos componentes realizan actividades del tratamiento que no son
necesarios para el tratamiento analizado. Es conveniente para ello tener en cuenta los PETs que son un conjunto organizado y coherente de soluciones TIC que implementan estrategias y patrones de privacidad, entre los que se cuenta la configurabilidad de los tratamientos.
En el caso de que los componentes estándares no cumplan los principios de Minimización, habrá de analizarse la base legitimadora del tratamiento o la posibilidad de desactivar las funcionalidades adicionaos o no utilizar tal componente y optar por otro.

Control del Usuario, una vez que un parámetro relativo a un tratamiento es configurable, hemos de determinar si corresponde dar control al usuario sobre su configuración. No siempre es necesario dar control al usuario, incluso en ocasiones ni es apropiado. El control del usuario significa que éste tiene la posibilidad de tomar decisiones sobre las actividades de configuración, lo que implica transparencia e información sobre el resultado y consecuencias de las opciones que este puede elegir. Las acciones del usuario que cambien opciones de configuración han de ser activas, conscientes e informadas.

– La Restricción por defecto del tratamiento ha de ser lo mas restrictiva posible, de forma que se cumpla el principio de Minimización. El Responsable ha de elegir las opciones de configuración adecuadas de manera que se asegure que solo recopilará los datos estrictamente necesarios para conseguir los fines del tratamiento habilitado. Si el tratamiento es complejo, el Responsable debe justificar la elección del que haya sido escogido para establecer “por defecto”.
Es el articulo 25 del RGPD quien señala que la Protección de Datos ha de hacerse desde el Diseño y por Defecto, concretando en su párrafo 2:
“El Responsable del tratamiento aplicará las medidas técnicas y organizativas aprobadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad.Tales medidas garantizarán en particular que, por defecto,los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas”.
En definitiva, la Guía que la AEPD (Guía) nos brinda y pone a disposición de cualquier usuario o Ciudadano, se extiende en los detalles que someramente he descrito, incluyendo una lista de opciones de Configuración con carácter orientativo, insistiendo siempre que las medidas a adoptar por los Responsables deberán actuar sobre la cantidad de datos personales recogidos; la extensión del tratamiento; el periodo de conservación y la accesibilidad a los datos.

#protecciondatos#dpo#dpd#principiosprotecciondatos#principiominimizaciondatos#pordefecto#bydefault

#bydesign

Minimizacion

no more…no less… los datos los justos, no más!