Reglamento de Protección de Datos: Privacidad desde el diseño y por defecto y elaboración de PIA’S

19/07/2018

Entre las novedades que destacan con la llegada del RGPD respecto a la LOPD están la privacidad desde el diseño y por defecto, y la elaboración de Análisis de Impacto a la Privacidad (PIA).

Privacidad desde el diseño y por defecto

La privacidad por diseño es un marco basado en la incorporación proactiva de la privacidad en el diseño y la operación de los sistemas, la infraestructura en red y las prácticas comerciales.

En privacidad por defecto, el responsable del tratamiento o proyecto aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad.

Este nuevo concepto implica que los nuevos productos, servicios y aplicaciones del Grupo Vithas deben diseñarse y seleccionarse de acuerdo con el objetivo de recopilar, procesar y utilizar la menor cantidad de datos personales, y adoptando las medidas adecuadas para garantizar la protección de los datos personales. Estas medidas se incluyen dentro de las que debe aplicar el responsable con anterioridad al inicio del tratamiento y también cuando se esté desarrollando. Este tipo de medidas reflejan muy directamente el enfoque de responsabilidad proactiva. Se trata de pensar en términos de protección de datos desde el mismo momento en que se diseña un tratamiento, un producto o servicio que implica el tratamiento de datos personales. El RGPD destaca ejemplos de medidas a tomar, como la minimización del tratamiento o seudonimización de los datos personales.

Elaboración de PIA’S

El PIA es un análisis de los riesgos que posee un proyecto, programa, servicio, producto o cualquier iniciativa, que implique el tratamiento de datos personales antes de la implementación de la operación.

Esto no implica que todos los tratamientos de datos requieran la elaboración de un PIA, sino aquellos tratamientos que cumplan una serie de requisitos, como por ejemplo que traten datos de salud. Para identificar los tratamientos que requieren PIA, el Grupo Vithas dispone de una plantilla de Análisis de la necesidad de PIA.

Una de las fases de este análisis, consiste en definir la probabilidad de que se produzca el riesgo y el impacto de que dicho riesgo se materialice. Como resultado, se obtiene el riesgo inherente. A continuación, se aplicarán una serie de medidas técnicas, organizativas y de privacidad para reducir el nivel de exposición del riesgo, obteniéndose de esta forma el riesgo residual.

Si la conclusión del PIA no fuese favorable, se debe analizar la posibilidad de incluir medidas de control adicionales que permitan reducir el nivel de exposición al riesgo, disminuyendo el mismo hasta un nivel aceptable. Si no fuese posible, no podrá ser llevado a cabo y se deberá consultar a la Autoridad de Control. Asimismo, también se podría optar directamente por rediseñar el tratamiento y por tanto volver a iniciar el proceso.

El responsable del tratamiento será el encargado de realizar el Análisis de Impacto a la Privacidad bajo el asesoramiento del Delegado de Protección de Datos.

Como consecuencia de todo lo anterior, es muy importante que todos los profesionales de Grupo Vithas tengan siempre en cuenta la protección de los datos desde la fase de desarrollo de nuevos servicios, así como identificar aquellos tratamientos que requieren PIA.

Muchas gracias por vuestra colaboración,