Análisis de la protección de datos por defecto en el art. 25(2) del RGPD
Home » RGPD » Conceptos principales » Protección de datos por diseño y por defecto » Análisis de la protección de datos por defecto en el art. 25(2) del RGPD

A continuación, se analizarán los requisitos del Art. 25(2) delRGPD. Se utiliza la definición de los incumplimientos proporcionada en la sección de determinación de las instrucciones para los recursos técnicos en este documento”(1.3.3).

Como se desprende de la definición anterior, los valores por defecto se refieren a los ajustes (a veces denominados preferencias o perfil de usuario) que están bajo el control del interesado. Los responsables del tratamiento deciden sobre los ajustes por defecto, es decir, los ajustes que están activos en ausencia de cualquier intervención por parte del interesado.

Estos ajustes influyen en el procesamiento que tiene lugar, incluyendo los siguientes aspectos:

  • los datos personales que se están tratando,
  • el grado de procesamiento que se realiza,
  • el periodo de almacenamiento de los datos, y
  • las personas físicas a las que se les hace accesible los datos personales.

El siguiente ejemplo de configuración lo ilustrará:

  • Los interesados pueden proporcionar opcionalmente una dirección de correo electrónico para ser informados del estado de tramitación de un pedido. Evidentemente, esto afecta a la cantidad de datos personales que trata el responsable del tratamiento. También afecta al alcance del tratamiento.
  • Para procesar un pedido, los interesados siempre tienen que proporcionar una dirección de envío y la información de pago. Opcionalmente, pueden hacer clic en una casilla para recordar esta información y evitar tener que escribirla repetidamente para futuros pedidos. Aunque la cantidad de datos procesados por el responsable del tratamiento es siempre la misma, la opción controlada por el usuario afecta obviamente al periodo de almacenamiento de esos datos.
  • Un proveedor de redes sociales puede presentar a sus usuarios una configuración de privacidad que controle la visibilidad de sus publicaciones, desde sólo los amigos cercanos hasta todo el mundo. Evidentemente, esta configuración de privacidad controla las personas físicas que tienen acceso a las publicaciones, que representan datos personales.

El RGPD incluye lo siguiente:

Art. 25(2):

El responsable del tratamiento aplicará las medidas técnicas y organizativas adecuadas para garantizar que, por defecto, sólo se traten los datos personales necesarios para cada finalidad específica del tratamiento. Esta obligación se aplica a la cantidad de datos personales recogidos, al alcance de su tratamiento, al período de su almacenamiento y a su accesibilidad. En particular, dichas medidas garantizarán que, por defecto, los datos personales no sean accesibles, sin la intervención del individuo, a un número indefinido de personas físicas.

El art. 25(2) ordena así que, por defecto, el tratamiento se limitará a lo necesario para los fines. Además, aclara que esto debe entenderse con respecto a la cantidad de datos, el alcance del tratamiento y el periodo de almacenamiento de los datos. La tercera frase establece que esto también es aplicable[1] al número de personas a las que se hace accesible los datos. Por lo tanto, esto parece referirse al número de destinatarios (tal como se define en el Art. 4(9) delRGPD).

La redacción del art. 25(2) implica que debe haber algunos tipos de fines adicionales: por defecto, el tratamiento debe limitarse a un determinado conjunto de fines; pero tras la intervención del interesado, evidentemente el tratamiento va más allá de esta limitación. Esto implica que el tratamiento persigue fines adicionales.

Los ejemplos anteriores ayudan a entenderlo mejor. En el primer ejemplo, la finalidad adicional es mantener informado al interesado sobre el estado de tramitación de los pedidos. En el segundo ejemplo, la finalidad adicional es mejorar la comodidad del usuario para aquellos sujetos de datos que esperan volver a realizar pedidos en el futuro. En el tercer ejemplo, no se persigue ninguna finalidad adicional. Más bien, la finalidad de restringir la visibilidad de las publicaciones en las redes sociales al ámbito previsto por el usuario, está siempre presente. Obsérvese que la tercera frase del art. 25(2) que se ajusta a este ejemplo también se abstiene de hacer referencia a los fines.

Estos ejemplos ilustran que los fines adicionales y los fines que subyacen a la situación contemplada en la tercera frase son siempre fines que benefician a los interesados.

Sobre la base de este análisis, el art. 25(2) parece establecer que por defecto:

  • Los fines adicionales que puedan beneficiar a los interesados serán inhabilitados, al menos mientras requieran la recogida de datos adicionales, aumenten el alcance del tratamiento, provoquen una ampliación del período de almacenamiento o aumenten el número de destinatarios;
  • cuando el tratamiento persiga siempre una finalidad en interés del interesado (es decir, que no se pueda desactivar), su impacto en la protección de datos debe reducirse al mínimo con respecto a los datos recogidos, el alcance del tratamiento, el período de almacenamiento y el número de destinatarios.

El art. 25(2) puede considerarse una especie de protección contra las “puertas traseras”en las que los responsables del tratamiento recogen datos adicionales, los almacenan durante períodos más largos, aumentan el alcance del tratamiento o los destinatarios, con la justificación de que era el deseo del interesado. Evidentemente, los sujetos de los datos que no han intervenido de ninguna manera, pueden ni siquiera ser conscientes de “sus deseos”, pueden no haber leído la expresión de sus deseos en detalle, o al menos están influenciados por los valores por defecto para expresar más probablemente los “deseos” favorecidos por el responsable del tratamiento.

Esta salvaguardia, que requiere explícitamente la intervención del interesado, impone el uso de diálogos de inclusión y prohíbe los diálogos de exclusión. Es el mismo concepto que se denomina “acción de afirmación clara” en el contexto del consentimiento (véase el art. 4(11) delRGPD). Es directamente comparable a la afirmación de que, sin una acción afirmativa clara, es decir, “sin la intervención del individuo“, es ilegítimo el tratamiento adicional en términos de cantidad y período de almacenamiento de datos, alcance del tratamiento o número de destinatarios. Es importante señalar que este requisito de soluciones de inclusión voluntaria es independiente de si se elige el consentimiento como base jurídica o no.

Sobre la base del análisis anterior, las medidas mencionadas en el art. 25(2) podrían ser las siguientes:

  • Medidas que garantizan que la configuración por defecto minimiza el impacto de la protección de datos del tratamiento.
  • Medidas que garantizan que los interesados sean informados de las consecuencias de los ajustes que están bajo su control.
  • Medidas que aseguren que las decisiones expresadas por los ajustes son específicas. Por ejemplo, los propósitos adicionales no pueden habilitarse todos con una sola casilla de verificación, sino que debe ser posible habilitarlos individualmente.
  • Medidas que verifiquen la ausencia de cualquier tipo de empuje en el diálogo en el que los usuarios eligen sus configuraciones, con el fin de garantizar que el sujeto de los datos pueda elegir libremente sus preferencias.

 

 

  1. “En particular” indica que el resto de la frase es una aplicación de la expresión de la frase anterior.

 

Ir al contenido