ARTÍCULO 25 DEL RGPD
Protección de datos integrada desde el diseño y protección de datos por defecto
Las empresas deben implementar la protección de datos integrada desde el diseño y la protección de datos por defecto de acuerdo con las normas del artículo 25 del RGPD. Las reglas que rodean esto son particularmente importantes para que los desarrolladores de aplicaciones móviles y los proveedores de servicios de sistemas lo sepan, ya que necesitan implementar la protección de datos integrada desde el diseño y la protección de datos por defecto en el servicio digital desarrollado.
¿Todas las empresas, independientemente de su tamaño, tienen que implementar la protección de datos integrada desde el diseño y la protección de datos por defecto?
Sí, no importa si es una startup o una compañía multimillonaria. Todas las empresas sujetas al RGPD implementarán la protección de datos desde el diseño y por defecto, así como las medidas técnicas y organizativas adecuadas. Sin embargo, las reglas de RGPD son generalmente más estrictas, cuanto más grande es la compañía. Además, el tamaño de la empresa desempeña un papel en la imposición de multas administrativas a la empresa por sus infracciones del RGPD.
Protección de datos por defecto
Las empresas que están sujetas al RGPD deben adaptar su producto, sistema o servicio a las reglas del reglamento. En resumen, la protección de datos por defecto significa que la empresa debe garantizar que solo se procesen los datos personales necesarios, durante un período de tiempo limitado, con acceso limitado y no se compartan públicamente sin el consentimiento y las opciones activas del interesado.
En otras palabras, la empresa debe implementar configuraciones amigables con la protección de datos que estén habilitadas desde el principio, sin que el usuario individual tenga que hacer nada. Por lo tanto, los datos personales deben tratarse con el mayor nivel de protección posible desde el principio.
¿Cuál es la finalidad de la protección de datos por defecto?
La finalidad del requisito de protección de datos por defecto es que el responsable del tratamiento garantice que sus sistemas y servicios cuentan con una protección de datos elevada y automática por defecto. El hecho de que la configuración tenga un alto nivel de protección de datos por defecto significa que el usuario individual no debería tener que hacer nada activamente para que la configuración con el nivel más alto de protección de datos se active desde el principio.
Ejemplos de cómo las empresas pueden trabajar con la protección de datos como un estándar en la práctica
Análisis de necesidades
Para hacer el mejor trabajo posible con la protección de datos, es importante que la empresa primero analice qué datos personales son necesarios para procesar, para lograr el propósito. La cantidad de datos personales recogidos debe reducirse al mínimo de lo estrictamente necesario para tal fin.
Gestión de autorizaciones
Además, los datos personales no serán accesibles por defecto a ninguna persona no autorizada. Por lo tanto, solo las personas que necesiten acceder a ellos deben poder tratar los datos personales. Por lo tanto, la empresa debe garantizar en una fase temprana, en la fase de desarrollo, la correcta gestión de la autorización y los procedimientos asociados.
Limitación del almacenamiento
Además, los datos personales no se conservarán durante más tiempo del necesario. Por lo tanto, es importante que la empresa se asegure de que los ajustes relacionados con el almacenamiento, las copias de seguridad, etc. estén configurados correctamente y que se establezcan rutinas con respecto al manejo de estos, incluidas las rutinas de borrado y anonimización de datos personales.
Utilizar la perspectiva del usuario como punto de partida
Es importante no solo pensar en todos los pasos desde la perspectiva de la empresa. Es importante que la empresa intente comenzar desde la perspectiva del usuario. Para obtener un mejor control, puede ser bueno usar pilotos de prueba y recibir comentarios de los usuarios.
Más ejemplos
Análisis de riesgos
Antes de iniciar el tratamiento de datos personales, la empresa tendrá en cuenta los riesgos del tratamiento. Un análisis de riesgos por escrito es una buena manera de hacerlo, ya que también es posible presentar la documentación en caso de supervisión. En el análisis de riesgos, la empresa justificará el tratamiento. Incluso si la autoridad supervisora toma una decisión diferente después de su supervisión del procesamiento de la empresa, puede ser útil haber llevado a cabo un análisis de riesgos por escrito antes de que comenzara el procesamiento.
Documentación
Es bueno documentar el trabajo de la compañía en RGPD, incluidas las medidas tomadas para garantizar que la compañía cumpla con los requisitos de protección de datos por defecto. Además, puede ser útil incluirlos, por ejemplo, en las directrices internas para los empleados.
Directrices
Para que los empleados puedan trabajar fácilmente de acuerdo con RGPD en la práctica, es bueno proporcionarles pautas, rutinas e instrucciones escritas. Por ejemplo, con información sobre cómo responder cuando un interesado solicita que se cumpla uno de sus derechos.
Protección de datos desde el diseño
La empresa tratará los datos personales de conformidad con los principios de protección de datos establecidos en el artículo 5 del RGPD e implementará la protección de datos integrada desde el diseño y la protección de datos por defecto. De acuerdo con el requisito de protección de datos desde el diseño, la empresa debe implementar las medidas de seguridad técnicas y organizativas adecuadas ya en el diseño de sus procesos, sistemas y procedimientos. El objetivo es garantizar el cumplimiento de los principios de protección de datos y la protección de los derechos del interesado. En resumen, la empresa debe tener en cuenta las normas de protección de datos en una fase temprana, ya cuando se están desarrollando procedimientos y el sistema informático está en desarrollo.
Cuanto más importantes sean los datos personales, mayores serán los requisitos
Cuantos más datos personales importantes procese una empresa, mayores serán los requisitos de seguridad. Ejemplos de datos personales importantes son las cuatro categorías de datos personales sensibles a la privacidad, entre las que se encuentran los datos personales sensibles. Los datos personales deben protegerse mediante la aplicación de medidas de seguridad técnicas y organizativas adecuadas.
Ejemplos de medidas técnicas de seguridad para la protección de datos desde el diseño
Protección antivirus
Para evitar que los virus eliminen, modifiquen o accedan a los datos, es una buena idea implementar protección antivirus en los dispositivos.
Autenticación de dos factores en el inicio de sesión
Es bueno activar la autenticación de dos factores al iniciar sesión en diferentes sistemas que contienen datos personales. Especialmente si es extra digno de protección. Por ejemplo, se envía un código al teléfono móvil del usuario después de que este haya introducido su contraseña, con el fin de verificar que el usuario está autorizado a iniciar sesión en el sistema.
Archivos de copia de seguridad:
Si los datos personales se cambian o pierden accidentalmente, constituye una violación de datos personales. Por lo tanto, es bueno tener archivos de copia de seguridad, por ejemplo en un servicio en la nube, para poder recuperar los datos si es necesario.
Ejemplos de medidas organizativas de seguridad para la protección de datos desde el diseño
Educación
Son los empleados de la empresa quienes procesan los datos personales en su trabajo. Por ejemplo, un empleado de servicio al cliente que recibe correos electrónicos de clientes que presentan quejas. Por lo tanto, es bueno proporcionar una capacitación adecuada dentro del RGPD a los miembros del personal. Tenga en cuenta que no tiene que ser necesario que todos los empleados conozcan todas las reglas del RGPD, pero es bueno si saben lo que es relevante para sus tareas de trabajo específicas.
Instrucciones escritas
Con el fin de facilitar el trabajo de los empleados, hacer que el trabajo sea más eficiente y evitar el manejo incorrecto de los datos personales, es bueno elaborar instrucciones internas por escrito. Por ejemplo, instrucciones con información sobre cómo debe actuar un empleado cuando un interesado desea que se cumplan sus derechos.
Ejemplos de cómo pueden pensar las empresas cuando trabajan con la protección de datos desde el diseño
Una empresa sujeta al RGPD implementará la protección de datos integrada desde el diseño y la protección de datos por defecto. Con el fin de cumplir con estos requisitos en virtud del artículo 25 del RGPD, la empresa puede tomar las siguientes medidas.
Realizar un análisis de riesgos
Es una buena idea llevar a cabo un análisis de riesgos en el que la empresa identifique las consecuencias que las violaciones de los principios de protección de datos pueden causar a los interesados. Cuanto más graves sean las consecuencias, más estrictos serán los requisitos para las medidas de seguridad adecuadas. En algunos casos, el análisis de riesgos también puede dar lugar a que esté prohibido llevar a cabo el tratamiento previsto.
El efecto
El objetivo y el resultado del procesamiento deben ser preferiblemente los mismos, al menos lo más cerca posible. Por lo tanto, es importante analizar el efecto del procesamiento y compararlo con el objetivo de la medida que se establece antes de comenzar el procesamiento.
Análisis de documentos
El RGPD requiere que las empresas puedan demostrar que cumplen con el RGPD en la práctica. Esto significa, entre otras cosas, que las empresas sujetas a la regulación deben tener los contratos y documentos necesarios relacionados con RGPD por escrito. Por ejemplo, documentando varios análisis que deben incluir información sobre qué medidas de seguridad técnicas y organizativas toma la empresa.
Más ejemplos
Ensayo, evaluación y mejora de las medidas
Es bueno probar y evaluar continuamente las medidas de seguridad que implementa la empresa. A partir de entonces, la empresa puede, si es necesario, tomar medidas para mejorar el trabajo con la protección de datos desde el diseño y por defecto.
Mantenga un ojo en los desarrollos
La tecnología está en constante evolución y, por lo tanto, es bueno vigilarla. Por ejemplo, qué nuevas tecnologías pueden ser adecuadas para que la empresa las implemente, para garantizar un mayor nivel de protección de datos.
Coste para las empresas
Es bueno tener en cuenta que cuesta dinero para las empresas tomar las medidas adecuadas para la protección de datos desde el diseño y por defecto de acuerdo con el RGPD. Por lo tanto, es bueno presupuestar tales gastos. Recuerde no gastar desproporcionadamente si hay otras formas menos exigentes que pueden lograr los mismos resultados.
More info
XXX
XXX