Visión general y principales obligaciones de los controladores
Home » RGPD » Conceptos principales » Protección de datos por diseño y por defecto » Análisis del artículo 25. Protección de datos desde el punto de vista del diseño » Visión general y principales obligaciones de los controladores

El art. 25 del RGPD incluye lo siguiente:

Art. 25(1):

Teniendo en cuenta [..], el responsable del tratamiento aplicará, tanto en el momento de la determinación de los medios para el tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas […] destinadas a aplicar los principios de protección de datos […] de manera eficaz y a integrar las garantías necesarias en el tratamiento […].

La principal obligación de los responsables del tratamiento establecida en el art. 25(1) del RGPD es, por tanto, que “deberán […..] aplicar las medidas técnicas y organizativas apropiadas […] destinadas a aplicar los principios de protección de datos” (véase la sección Principios fundamentales en la parte general de estas directrices).

A lo largo del RGPD[1], se afirma que la aplicación de medidas técnicas y organizativas es la forma de cumplir los principios de protección de datos. Esto implica que todo lo que hace un responsable del tratamiento en apoyo de los principios de protección de datos debe considerarse una medida. Por consiguiente, el concepto de medida debe entenderse en un sentido muy amplio. Esto significa que no se limita a los artefactos físicos (como los cortafuegos), o a acciones específicas (como la formación del personal). Más bien, debe abarcar también todas las consideraciones y decisiones necesarias para determinar los medios de tratamiento de manera que se ajusten a los principios y obligaciones de la protección de datos.

El art. 25(1) del RGPD también establece que estas medidas se aplicarán “de manera eficaz“. Por tanto, a continuación, se analizará la eficacia.

Además, el art. 25(1) establece que las medidas se aplican “para integrar las garantías necesarias en el tratamiento“. En otras palabras, la aplicación de las medidas es la forma de lograr el objetivo de integrar las garantías necesarias en el tratamiento. Desde el punto de vista gramatical, esta interpretación resulta aún más clara cuando se amplía “para integrar” a su forma completa de “para integrar“. El “para” excluye la interpretación de que, además de la aplicación de las medidas, también es necesaria la integración de las garantías.

Podría decirse que la esencia del art. 25(1) se encuentra en la redacción “tanto en el momento de la determinación de los medios para el tratamiento como en el momento del propio tratamiento“. Esto significa que la aplicación de las medidas debe producirse en dos períodos de tiempo distintos. Por tanto, implica un modelo de fases para una actividad de tratamiento. Esto es compatible con la interpretación de la protección de datos desde el diseño, que considera la protección de datos en cada fase de una actividad de tratamiento. La interpretación jurídica de las fases de tratamiento contempladas en el art. 25(1) se ofrece en la siguiente subsección.

 

 

  1. Esto incluye, entre otros, los arts. 24, 25 y 32 del RGPD.

 

Ir al contenido