El responsable del tratamiento, en virtud de su responsabilidad proactiva, debe definir anticipadamente y de forma preventiva el tratamiento de los datos personales. En las primeras fases del diseño de las operaciones del tratamiento, se tendrán que aplicar las medidas técnicas y organizativas que garanticen la protección de los datos personales desde el primer momento. Esto es lo que se denomina protección de datos desde el diseño.
¿Qué significa entonces, el concepto por defecto? El responsable en este caso, debe garantizar que los datos se traten con la mayor protección de la intimidad posible. Es decir, solamente se tratarán los datos necesarios para la finalidad del tratamiento, el plazo de conservación será el mínimo imprescindible y la accesibilidad a esos datos será limitada.
¿Y cómo puede el responsable aplicar estos principios y demostrar además su cumplimiento? Lo puede hacer mediante la realización de la Evaluación de Impacto de protección de datos regulada en el art.35 del RGPD. En determinados supuestos la evaluación de impacto resultará obligatoria, en particular, cuando se vayan a utilizar nuevas tecnologías que entrañen un alto riesgo para los derechos y libertades de los interesados.
IMPORTANTE
En este listado publicado por la AEPD se recogen los tratamientos que requieren una evaluación de impacto.
