Privacy by design

Una de las características más relevantes del nuevo Reglamento de protección de datos es la privacidad por diseño.

Por este principio se exige que el responsable lleve a cabo, antes del tratamiento, una evaluación de impacto relativa a la protección de datos. Esta evaluación debe valorar la particular gravedad y probabilidad del alto riesgo, teniendo en cuenta la naturaleza, ámbito, contexto y fines del tratamiento y los orígenes del riesgo.

El responsable del tratamiento debe adoptar políticas internas y aplicar medidas que cumplan en particular los principios de protección de datos desde el diseño y por defecto.

Dichas medidas podrían consistir, entre otras en:

• Reducir al máximo el tratamiento de datos personales.
• Aplicar procedimiento de disociación a los datos personales lo antes posible.
• Dar transparencia a las funciones y el tratamiento de datos personales.
• Permitir a los interesados supervisar el tratamiento de datos.
• Crear y mejorar elementos de seguridad.

Se debe tener en cuenta especialmente el derecho a la protección de datos cuando se desarrollan y diseñen productos, servicios y aplicaciones, de manera que los responsables y los encargados del tratamiento se aseguren de estar en condiciones de cumplir sus obligaciones en materia de protección de datos.

En paralelo con este principio de privacy by design se suprime la obligación de notificar ficheros a la AEPD.

La Directiva 95/46/CE había establecido la obligación general de notificar el tratamiento de datos personales a las autoridades de control, sin embargo, esta obligación no contribuyó en todos los casos a mejorar la protección de los datos personales ya que la notificación creaba la falsa creencia de cumplimiento y muchas empresas se limitaron a realizar un simple trámite, sin mejorar en nada sus medidas de seguridad.

Por tanto, en el nuevo reglamento de protección de datos, estas obligaciones generales de notificación indiscriminada deben eliminarse y sustituirse por procedimientos y mecanismos eficaces que se centren, en su lugar, en los tipos de operaciones de tratamiento que entrañen probablemente un alto riesgo para los derechos y libertades de las personas físicas.

Estos tipos de operaciones de tratamiento pueden ser, en particular, las que implican el uso de nuevas tecnologías, o son de una nueva clase y el responsable del tratamiento no ha realizado previamente una evaluación de impacto relativa a la protección de datos, o si resultan necesarias visto el tiempo transcurrido desde el tratamiento inicial.