El Comité Europeo de Protección de Datos (CEPD) ha publicado unas directrices sobre la protección de datos por diseño y por defecto[1]. Destaca la importancia de comprender y aplicar los principios de protección de datos (véase la sección “Principios principales” en la parte general de estas directrices) y de aplicar los derechos del interesado (véase la sección “Derechos del interesado” en la parte general de estas directrices).
La importancia de los principios de protección de datos se expresa, por ejemplo, en el apartado 61: “Los responsables del tratamiento deben aplicar los principios para lograr la protección de datos por diseño y por defecto (Data Protection by Design and Default o DPbDD).Estos principios son: transparencia, legalidad, equidad, limitación de la finalidad, minimización de los datos, exactitud, limitación del almacenamiento, integridad y confidencialidad, y responsabilidad. Estos principios se describen en el artículo 5 y en el considerando 39 del RGPD. Para tener una comprensión completa de cómo aplicar la protección de datos por diseño y por defecto (Data Protection by Design and Default o DPbDD), se destaca la importancia de entender el significado de cada uno de los principios”.
La importancia de los derechos de los interesados se recoge en el apartado 63: “Si bien esta sección se centra en la aplicación de los principios, el responsable del tratamiento también debe aplicar formas adecuadas y eficaces de proteger los derechos de los interesados, también de acuerdo con el capítulo III del RGPD, cuando esto no sea ya un mandato de los propios principios.”
La directriz del Comité Europeo de Protección de Datos (CEPD) dedica su sección 3 a la aplicación de los principios de protección de datos. Las directrices de PANELFIT van más allá al proporcionar una descripción más detallada de cada principio junto con muchos ejemplos de medidas técnicas y organizativas adecuadas para aplicar dichos principios.
Al igual que las directrices de Comité Europeo de Protección de Datos, también el siguiente texto analiza el significado del artículo 25 del RGPD. Sin embargo, el presente texto trata de proporcionar una orientación concreta adicional. Para ello, no sólo ofrece un análisis jurídico de las fases del tratamiento según el RGPD, sino que también proporciona un análisis técnico de las tareas necesarias para cada fase. En particular, esto se hace para determinar los medios de tratamiento y para el propio tratamiento. En cada una de las tareas que se identifican, se pueden aplicar los principios de protección de datos e identificar e implementar medidas técnicas y organizativas.
Una segunda diferencia importante entre el presente texto y las directrices de Comité Europeo de Protección de Datos es que el primero analiza el proceso real necesario para aplicar la protección de datos por diseño y por defectoen las distintas fases.
Una pequeña diferencia es que el presente texto profundiza en cómo los controladores pueden transmitir los requisitos a los productores de software y servicios. Sin embargo, el texto no entra en el mérito de la certificación; si esto fuera relevante para los lectores, se les remite a las directrices delComité Europeo de Protección de Datos.
- Comité Europeo de Protección de Datos, Directrices 4/2019 sobre la protección de datos del artículo 25 desde el diseño y por defecto, versión 2.0, adoptadas el 20 de octubre de 2020, https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201904_dataprotection_by_design_and_by_default_v2.0_en.pdf (última visita: 30/11/2021). ↑