La protección de los derechos y libertades de las personas físicas con respecto al tratamiento de datos personales exige una protección de datos desde el diseño y por defecto . Su significado radica en la adopción de medidas técnicas y organizativas apropiadas con el fin de garantizar el cumplimiento de los requisitos del Reglamento RGPD.
A fin de poder demostrar la conformidad con La LOPD como el RGPD, según el presente Reglamento, el responsable del tratamiento debe adoptar políticas internas y aplicar medidas, que cumplan en particular los principios del RGPD y el significado de la protección de datos desde el diseño y por defecto.
Dichas medidas podrían consistir, entre otras, en reducir al máximo el tratamiento de datos personales. Seudonimizar lo antes posible los datos personales, es decir, significa desde el diseño y por defecto en el inicio del tratamiento. Pero ¿Cómo y de qué formas se puede seudonimizar el tratamiento de datos personales ? El art. 25 .1, nos dice al respecto que:
Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, desde el inicio, y por defecto, en decir en el momento de determinar los medios de tratamiento. Así como en el momento del propio tratamiento, las medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos.
Dar transparencia a las funciones y el tratamiento de datos personales, permitiendo a los interesados supervisar el tratamiento de datos y al responsable del tratamiento crear y mejorar elementos de seguridad, son también parte de esta necesidad de protección de datos desde el diseño y por defecto.
Al desarrollar, diseñar, seleccionar y usar aplicaciones, servicios y productos que están basados en el tratamiento de datos personales o que tratan datos personales para cumplir su función, ha de alentarse a los productores de los productos. También aquellos servicios y aplicaciones a que tengan en cuenta el derecho a la protección de datos cuando desarrollan y diseñen estos productos, servicios y aplicaciones. También que se aseguren, con la debida atención al estado de la técnica, de que los responsables y los encargados del tratamiento están en condiciones de cumplir sus obligaciones en materia de protección de datos. Los principios de la protección de datos desde el diseño y por defecto también deben tenerse en cuenta en el contexto de los contratos públicos.
A mayor detalle, siguiendo el art. 25,1 del RGPD, continua diciendo…medidas técnicas y organizativas apropiadas, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.
El art 25.2 sostiene también que: El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento.
Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad.
Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.
Finalmente el mismo articulo en su punto 3: Podrá utilizarse un mecanismo de certificación aprobado con arreglo al artículo 42 del Reglamento, (debe fomentarse el establecimiento de mecanismos de certificación y sellos y marcas de protección de datos, que permitan a los interesados evaluar con mayor rapidez el nivel de protección de datos de los productos y servicios correspondientes) como elemento que acredite el cumplimiento de las obligaciones establecidas en los apartados 1 y 2 del articulo 25.