¿Cómo interpretar la privacy by design?

Una de las novedades que introduce el nuevo Reglamento general de protección de datos son los términos de: privacy by design and privacy by default.

El principio de responsabilidad no es un principio independiente, y se materializa en unas herramientas concretas que permiten al responsable de un tratamiento asegurar el cumplimiento de sus obligaciones en materia de protección de datos personales. Estas herramientas son precisamente, la privacy by design y la privacy by default.

Debemos aclarar, que se trata de nuevos términos, pero los conceptos no son novedosos, ya existían bajo la anterior normativa en materia de protección de datos, pues en realidad son un reflejo de los principios y fundamentos de esta materia, pero no se les había agrupado y clasificado de esta manera antes.

En el presente artículo nos centraremos, en concreto, en explicar y dar algunos ejemplos prácticos del privacy by design o privacidad desde el diseño.

Privacidad desde el diseño, significa que, desde el inicio, antes de empezar a realizar el tratamiento de datos personales, cuando el responsable tiene que decidir y fijar los medios y el propósito del mismo, debe, al mismo tiempo, diseñar las garantías adecuadas y aplicar las medidas técnicas y organizativas oportunas para el tipo de tratamiento que planea realizar.  

Ejemplos de esta privacidad desde el diseño serían los siguientes:

Tratamiento: selección de candidatos para cubrir un puesto vacante en tu organización

El responsable del tratamiento debe reflexionar sobre qué tipo de datos personales necesita tratar para poder realizar esta operación.

¿cv?

No hay duda, parece que sin el currículo de cada uno de los candidatos sería imposible realizar una selección de los mismos. Puede, si es posible, pedir un resumen de la experiencia profesional, si no necesita saber las fechas exactas en las que ocupó una determinada posición, o no pedir las notas recibidas en cada asignatura, si no es necesario.

¿carta de motivación?

Parece que, en principio, tiene sentido que este elemento sea necesario para ayudar a decidir sobre la idoneidad de un candidato.

¿datos personales referentes a la cuenta bancaria de los candidatos?

En principio estos datos serán necesarios, pero en una fase ulterior del proceso, sólo cuando los candidatos hayan sido seleccionados y se tenga una lista final de aspirantes al cargo y previamente a la incorporación del candidato seleccionado al puesto de trabajo.

Tratamiento: elaboración y desarrollo de una encuesta

En este caso, se trata de recabar la opinión de un producto por partde de diversos consumidores.

¿se necesita el nombre de la persona que da la opinión?

En muchos casos, sólo se necesita recabar las opiniones distintas y no sería necesario saber quién dijo qué. No deberían recogerse los nombres de los usuarios si no es necesario y hay una justificación para ello.

¿es necesario saber dónde vive o su condición familiar (por ejemplo si está casado, o no, vive solo o con sus padres?

Para algunos tipos de encuestas esto puede ser relevante, pero si no es necesario, no debe recogerse.

Recuerda: sólo el responsable del tratamiento puede responder a este tipo de preguntas, pues, conocedor del tratamiento que pretende realizar y de sus fines, puede identificar los datos personales necesarios para su operación.

Más información:

Un concepto clave en el RGPD/GDPR: la responsabilidad proactiva

¿Cuáles son los retos que presenta la aplicación de la nueva normativa en protección de datos personales?

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

WordPress.com.

Subir ↑

A %d blogueros les gusta esto: