Читать книгу Derecho digital - José F. Estévez - Страница 13

El RGPD incorpora dos nuevos principios, muy relacionados con el anteriormente comentado principio de calidad de datos de la LOPD: la privacidad desde el diseño y la privacidad por defecto, ambos regulados en el artículo 25.

Se refuerza la necesidad de probar y evidenciar el cumplimiento del Reglamento por parte del Responsable del tratamiento a través de la adopción e implementación de políticas y medidas.

Se introduce el concepto “Privacy by Design” consistente en la protección de datos desde el diseño y por defecto, en cualquier nuevo proyecto, que deba afrontar una empresa. Así, el artículo 25 del RGPD se establece que el responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas como la pseudonimización o la minimización de datos, de forma que se vele en todo momento por la garantía de la protección de los datos y el cumplimiento de la normativa.

Por su parte, la privacidad por defecto consiste en el tratamiento de los datos estrictamente necesarios para la finalidad para la que se recaban. En este mismo sentido, deberán tomarse las medidas técnicas y organizativas para ello, así como para garantizar que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.

Se refuerza la necesidad de probar y evidenciar el cumplimiento del Reglamento por parte del Responsable del tratamiento a través de la adopción e implementación de políticas y medidas.

Se introduce el concepto “Privacy by Design” consistente en la protección de datos desde el diseño y por defecto, en cualquier nuevo proyecto, que deba afrontar una empresa. Así, el artículo 25 del RGPD se establece que el responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento.

En línea con lo anterior, se establecen las obligaciones de realizar evaluaciones de impacto cuando del tratamiento sea probable que resulte un alto riesgo y la consulta previa, a la Autoridad de Control, cuando se efectúen dichas evaluaciones (Artículos 35 y 36 del RGPD).

El RGPD posibilita la utilización de un mecanismo de certificación que acredite el cumplimiento de estos dos principios.