El principio de la protección de datos de carácter personal por defecto.

  • La AEPD manifiesta que los datos personales deberán ser agrupados en distintas fases atendiendo a la finalidad de cada tratamiento, de modo que únicamente se acceda a los datos estrictamente necesarios para una determinada operación.
  • El objetivo de la protección de datos por defecto es minimizar la intrusión en el conjunto de datos personales recabados y configurar de forma muy restrictiva el uso de los mismos.

Para dar claridad al modo de tratamiento de datos personales, la Agencia Española de Protección de Datos ha publicado recientemente la Guía de Protección de Datos por Defecto con la intención de ayudar a aplicar este principio a los tratamientos de datos siguiendo lo establecido en el Reglamento General de Protección de Datos y en las directrices del Comité Europeo de Protección de Datos.

La protección de datos por defecto se refiere a que los responsables solo podrán tratar los datos personales estrictamente necesarios y suficientes para los fines del tratamiento. Ello quiere decir que, independientemente de la totalidad de datos recogidos por el responsable, éste deberá agruparlos según las distintas finalidades, de forma que no todos los tratamientos de datos tengan acceso al conjunto de la información recabada, sino que actúen sobre los datos personales imprescindibles.

Con dicho objetivo, el Reglamento de Protección de Datos exige del responsable una configuración por defecto de los tratamientos que sea respetuosa con los principios de protección de datos, en especial con la minimización de la intrusión, lo que conlleva mínima cantidad de datos personales, mínima extensión del tratamiento, mínimo plazo de conservación y mínima accesibilidad a datos.

El Comité Europeo de Protección de Datos con relación a la implementación de medidas de protección de datos por defecto ha planteado tres estrategias. En primer lugar, optimizar el tratamiento de datos aplicando medidas a la cantidad de datos recogidos, la extensión del tratamiento, su conservación y accesibilidad (optimizar). En segundo lugar, posibilitar la configuración del tratamiento de datos mediante ajustes en las aplicaciones, dispositivos o sistemas que lo implementan (configurar).  Y en tercer lugar, restringir el tratamiento de datos a lo más respetuoso posible con la privacidad, ajustando las opciones de configuración en aquellos valores que limiten la cantidad de datos recogidos, la extensión del tratamiento, su conservación y accesibilidad (restringir).

Para implementar las citadas estrategias también se deben adoptar ciertas medidas: la cantidad de datos personales recogidos por el responsable deberá considerar el volumen de datos tratados, el nivel de detalle, la categoría, la sensibilidad y los tipos de datos requeridos para la finalidad; la extensión del tratamiento se limitará a lo estrictamente necesario para cumplir con el propósito declarado; el periodo de conservación deberá ser mínimo y si un dato personal no se necesita más después de ejecutar un tratamiento, deberá ser suprimido; y la accesibilidad de los datos deberá ser determinada por el responsable del tratamiento estableciendo quién puede acceder a los datos.

La aplicación de la Protección de Datos por Defecto ha de ser demostrable, lo que implica que su implementación ha de estar justificada, documentada y auditable, debiendo recogerse la información y documentación suficiente para permitir, de forma satisfactoria y demostrable, acreditar el cumplimiento del Reglamento de Protección de Datos.