Protección de Datos desde el diseño y por defecto

Protección de Datos desde el diseño y por defecto… curioso este enunciado del artículo 25 del RGPD ¿no?

¿Tenemos claro lo que significa? Y… ¿cómo debe aplicarse?

Empecemos por el artículo 25 RGPD:

“1. Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.

2. El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.

3. Podrá utilizarse un mecanismo de certificación aprobado con arreglo al artículo 42 como elemento que acredite el cumplimiento de las obligaciones establecidas en los apartados 1 y 2 del presente artículo.

Hemos subrayado en el artículo algunas palabras importantes: Riesgos, Seudonimización, Minimización y Certificación. A lo largo de este post, entraremos en detalle. Por ahora… ¿qué dice la AEPD al respecto?

La AEPD entiende que proteger el dato desde el diseño y por defecto responde a dos principios de implementación efectiva de la Responsabilidad Proactiva del Responsable del Tratamiento.

Concretamente la AEPD dice lo siguiente: “El concepto de privacidad por defecto se refiere a que sólo sean objeto de tratamiento los datos personales que sean estrictamente necesarios para cada uno de los fines de tratamiento. Es decir, independientemente del conjunto de datos recogidos por el responsable con el objeto de implementar los distintos servicios que se proporcionan al sujeto de los datos, el responsable ha de compartimentar el uso del conjunto de datos entre los distintos tratamientos, de tal forma que no todos los tratamientos accedan a todos los datos, sino que actúen solo sobre aquellos que sean necesarios y en los momentos en que sea estrictamente necesario.”

Ahora sí, entremos en profundidad.

Riesgo: Una palabra que activa nuestro sistema de alerta. Cómo lo define la AEPD: “Un riesgo se puede definir como la combinación de la posibilidad de que se materialice una amenaza y sus consecuencias negativas. … Las amenazas y los riesgos asociados están directamente relacionados, en consecuencia, identificar los riesgos siempre implica con- siderar la amenaza que los puede originar.”

Sabiendo ya lo que es el riesgo, y que nuestro artículo versa sobre la protección desde el diseño y por defecto… veamos la siguiente imagen que ya fue expuesta en otro de nuestros posts.

En la imagen podemos apreciar un circuito del dato (arquitectura) en Internet of Things (IoT) algo que ya forma parte de nuestra vida diaria (Alexa, Siri, Smartwatch…). Qué útil la información que se puede obtener de ellos para las Empresas y para los Interesados (sí, a ellos también les hace la vida más fácil). Pero no olvidemos que estamos hablando de Riesgo… ¿Qué ocurriría si hay una brecha de seguridad en alguna de estas muchas fases por las que pasa el dato? ¿Nos repercutiría de forma negativa? Muy probablemente. De ahí la importancia de la Protección desde el diseño y por defecto, pero… viendo este circuito (aquí simplificado) ¿sabemos cómo controlar y proteger el dato en todas y cada una de sus fases? ¿sabemos cuales son todas y cada una de las fases del dato? En E-Linois sí… Data Protection + Data Science (ISO 27001 = SOA + MAGERIT llevado a un nuevo nivel).

Seudonimización: Para el RGPD es “aquella información que, sin incluir los datos denominativos de un sujeto, permiten identificarlo mediante información adicional, siempre que ésta figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.” Parece que la RGPD nos da opciones para tratar datos, sólo se trata de saber utilizarlas de la forma adecuada. Sólo mencionaré una palabra “HASH” y en el siguiente artículo entraremos en detalle sobre ella, ya que merece especial atención.

Y por último…

Minimización: RGPD en su artículo 5.1.c): “Los datos personales serán: adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»)”. Se trata pues de indagar en la necesidad del tratamiento, analizar la finalidad y vincularla al uso y tratamiento del dato. La RGPD nos da opciones (artículos 6 y 9) en nuestra mano queda hacer un buen análisis.

Dicho esto, seguramente algunos de ustedes hayan escuchado la siguiente frase en una o varias ocasiones:

“No, esto no puede/debe hacerse, está prohibido recabar y tratar ese dato.” Ojo, leamos con atención la norma, sobre todo frases tan importantes como la que encabeza este artículo. ¿Realmente la norma prohíbe el tratamiento como tal, o te indica que seas previsor y pongas medidas técnicas y organizativas de protección previo a su tratamiento? Lo segundo lo acabamos de leer ¿no? A más abundamiento la AEPD indica que se realice tratamiento sobre los datos que sean estrictamente necesarios. ¿Qué tal si buscamos un poco esa “necesidad” del tratamiento antes de negarlo?

Hemos hablado de medidas técnicas y organizativas, de Seudonimización, de Minimización… En E-Linois le damos un valor al dato, por ello lo que ofrecemos es Método y ustedes dirán ¿qué método? El de ISO 27001. Entramos en el dato, conocemos su procedencia, su circuito, su necesidad y buscamos las mejores opciones para un equilibrio perfecto entre dos intereses: el de nuestros Clientes de poder tratar un dato con garantía y sin miedo a cometer una irregularidad jurídica que conlleve una sanción, y el del interesado y propietario del dato, asegurándonos de que algo tan importante es tratado con toda garantía.

Comentemos por último algo que el artículo 25 RGPD nombra, el artículo 42 que hace referencia a las certificaciones como sello y marca de Protección de Datos.

La ISO 27001 para E-Linois NO solo ES un SELLO, ES … Un MÉTODO.

Escrito por

Data Protection Officer - Máster Executive en Big Data Science - Compliance Officer

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s