Bud P. Bruegger (ULD)
Agradecimientos: El autor agradece la ayuda de Kirsten Bock en la interpretación jurídica, los comentarios y la revisión de Harald Zwingelberg y la detallada revisión y sugerencias de Hans Graux |
Esta parte de las Directrices fue finalmente validada por Hans Graux, profesor invitado de derecho de las TIC y de protección de la intimidad en el Instituto de Derecho, Tecnología y Sociedad de Tilburg (TILT) y en la AP Hogeschool Antwerpen. Presidente del Vlaamse Toezichtscommissie (Comité Flamenco de Supervisión), que supervisa el cumplimiento de la protección de datos en los organismos del sector público flamenco
La presente sección pretende ofrecer a los profesionales una comprensión más detallada de cómo aplicar en la práctica los requisitos del artículo 25 del RGPD. 25 del RGPD sobre protección de datos por diseño y por defecto(Data Protection by Design and Default o DPbDD).
La presente sección sobre Protección de datos por diseño y por defecto está estructurada como sigue:
En una primera subsección se analizan las directrices sobre el tema publicadas por el Comité Europeo de Protección de Datos (CEPD). Señala las diferencias con el enfoque adoptado aquí.
Una segunda subsección describe el alcance de las obligaciones derivadas del art. 25 del RGPD. Y lo que es más importante, aclara de qué manera afecta a los proveedores de tecnología.
Una tercera subsección analiza el Art. 25 delRGPD. Dado que el art. 25(1) obliga a los responsables del tratamiento a aplicar medidas tanto en el momento de determinar los medios como en el momento del propio tratamiento, se analiza el significado preciso de determinar los medios y del propio tratamiento. Esto se basa en un análisis de lo que el RGPD establece sobre la estructura del tratamiento. El análisis del art. 25(1) también hace hincapié en el significado de la eficacia de las medidas. El análisis del art. 25(2) explica qué se entiende exactamente por el término incumplimiento y analiza las obligaciones del responsable del tratamiento.
Una cuarta subsección se centra en los procesos reales que implementan la protección de datos por diseño. En concreto, describe los procesos para aplicar la protección de datos por diseño y por defectoen las tres fases principales de determinación de los fines, determinación de los medios y el propio tratamiento. Estos procesos tienen como objetivo la aplicación sistemática de los principios de protección de datos en cada tarea de cada fase. El resultado es la identificación y aplicación de medidas técnicas y organizativas.