Protección de Datos

Privacidad desde el diseño (art. 25 RGPD): guía

Privacidad desde el diseño y por defecto (art. 25 RGPD): medidas por fase, estrategias de Hoepman y la guía de la AEPD para acreditar el accountability.

También disponible en:English·Français·Deutsch·Italiano

En una frase. La privacidad desde el diseño del art. 25 RGPD obliga al responsable a integrar la protección de datos desde la concepción de cualquier tratamiento —no a posteriori— y a garantizar por defecto que solo se traten los datos necesarios; incumplirlo es una infracción autónoma, no una recomendación.

Puntos clave

  • El art. 25 RGPD impone dos obligaciones: privacidad desde el diseño (integrar garantías desde el inicio) y privacidad por defecto (que la configuración más protectora sea la de fábrica).
  • No es una buena práctica optativa: es una obligación cuya inobservancia sanciona la AEPD.
  • Las medidas deben adoptarse en cada fase: requisitos, desarrollo, despliegue y explotación.
  • La Guía de Privacidad desde el Diseño de la AEPD (2019) y las estrategias de Hoepman ofrecen un método concreto para aplicarlo.
  • Documentar las decisiones de diseño es clave para acreditar la responsabilidad proactiva (accountability) del art. 5.2.

Qué exige el art. 25 RGPD

El art. 25 RGPD contiene dos mandatos complementarios que a menudo se confunden.

La privacidad desde el diseño (data protection by design, art. 25.1) obliga al responsable a aplicar, tanto en el momento de determinar los medios de tratamiento como durante el propio tratamiento, medidas técnicas y organizativas apropiadas —como la seudonimización— concebidas para aplicar los principios de protección de datos de forma efectiva e integrar las garantías necesarias. En otras palabras: la protección de datos se piensa antes de construir el sistema, no se parchea después.

La privacidad por defecto (data protection by default, art. 25.2) exige garantizar que, por defecto, solo se traten los datos necesarios para cada fin específico. Esto afecta a la cantidad de datos recogidos, la extensión del tratamiento, el plazo de conservación y la accesibilidad. La configuración de fábrica debe ser la más protectora, no la más expansiva: casillas sin premarcar, visibilidad restringida, retención mínima.

Diseño frente a por defecto

Dimensión Privacidad desde el diseño (25.1) Privacidad por defecto (25.2)
Qué exige Integrar garantías en la concepción del sistema Que la opción por defecto trate el mínimo de datos
Cuándo actúa Antes y durante el tratamiento En la configuración inicial que ve el usuario
Ejemplo Seudonimizar identificadores en la base de datos Perfil de red social privado por defecto

Ambas obligaciones se conectan con la minimización de datos y con la evaluación de impacto: la EIPD es, de hecho, la herramienta que documenta cómo se han integrado esas garantías en tratamientos de riesgo.

Medidas concretas por fase del proyecto

La privacidad desde el diseño se aplica a lo largo del ciclo de vida de un tratamiento o producto:

  • Requisitos. Definir la finalidad, identificar la base jurídica, decidir qué datos son necesarios y fijar plazos de conservación antes de diseñar nada.
  • Desarrollo. Seudonimizar y cifrar por defecto, minimizar campos, separar identificadores, controlar accesos por roles, registrar trazas.
  • Despliegue. Configuración por defecto más protectora, información en capas al usuario, mecanismos sencillos para ejercer derechos.
  • Explotación y mantenimiento. Revisar periódicamente, suprimir o bloquear al cumplir la finalidad, gestionar cambios sin reintroducir riesgos.

Este enfoque enlaza con la metodología de auditoría RGPD: cada control debe poder verificarse y documentarse.

La guía de la AEPD y las estrategias de Hoepman

La AEPD publicó en 2019 la Guía de Privacidad desde el Diseño, referencia práctica en España. La guía sistematiza las ocho estrategias de diseño de Jaap-Henk Hoepman, agrupadas en dos bloques:

  • Estrategias orientadas a los datos: minimizar (reducir datos), ocultar (proteger frente a accesos), separar (distribuir el tratamiento), abstraer (limitar el detalle).
  • Estrategias orientadas a los procesos: informar (transparencia), controlar (dar poder al interesado), cumplir (políticas y responsabilidades), demostrar (evidenciar el cumplimiento).

Traducir estas estrategias a controles concretos —y documentarlos— es lo que convierte la privacidad desde el diseño en algo verificable, no en un eslogan. El CEPD complementa este marco con sus Directrices 4/2019 sobre el art. 25.

El estado de la técnica y el coste como criterios

El art. 25.1 no exige medidas heroicas: pide medidas apropiadas, valoradas a la luz de cuatro factores que el propio artículo enumera. El estado de la técnica (lo que la tecnología permite razonablemente en cada momento), el coste de aplicación, la naturaleza, ámbito, contexto y fines del tratamiento y los riesgos de diversa probabilidad y gravedad para los derechos de las personas. Es un mandato de proporcionalidad, no de perfección.

Esto significa que lo exigible a una gran plataforma tecnológica no es lo mismo que lo exigible a una pyme, pero ninguna queda exenta. Una pyme no puede alegar falta de recursos para no seudonimizar cuando existen soluciones asequibles; una gran empresa no puede escudarse en el coste cuando maneja datos de millones de personas. El criterio se mueve, además, con el tiempo: lo que hace cinco años era un estado de la técnica aceptable puede haber quedado obsoleto. Revisar periódicamente las medidas a la luz de la tecnología disponible forma parte de la propia obligación del art. 25.

Cómo acreditar el cumplimiento (accountability)

El art. 25 se enlaza directamente con la responsabilidad proactiva del art. 5.2 RGPD: no basta con cumplir, hay que poder demostrarlo. En una inspección, la AEPD no se conforma con que el sistema sea razonable; pide evidencia de que las decisiones de diseño se tomaron considerando la protección de datos.

Para acreditarlo conviene documentar:

  • Las decisiones de diseño y por qué se descartaron opciones más invasivas.
  • Las medidas técnicas aplicadas (seudonimización, cifrado, control de accesos).
  • Las configuraciones por defecto y su justificación.
  • La integración con la brecha de seguridad y los procedimientos de respuesta.

Mantener esta documentación viva a lo largo de múltiples proyectos es donde la privacidad desde el diseño se queda en papel; una plataforma como Legiscope ayuda a registrar las decisiones de diseño y a vincularlas con el registro de tratamientos y las EIPD, de modo que el accountability sea demostrable. Antes de cerrar un proyecto, contrasta los controles con el checklist de cumplimiento RGPD en España.

FAQ

¿Es la privacidad desde el diseño una obligación o una recomendación?

Es una obligación. El art. 25 RGPD impone al responsable integrar la protección de datos desde la concepción del tratamiento y garantizar la configuración más protectora por defecto. Su incumplimiento es una infracción autónoma que la AEPD puede sancionar.

¿Qué diferencia hay entre privacidad desde el diseño y por defecto?

La privacidad desde el diseño (art. 25.1) exige integrar garantías en la concepción y durante el tratamiento. La privacidad por defecto (art. 25.2) exige que la configuración inicial trate solo los datos necesarios y sea la más protectora, sin que el usuario tenga que activarla.

¿Cuándo debo aplicar la privacidad desde el diseño?

Desde el momento en que determinas los medios del tratamiento, es decir, en la fase de requisitos y diseño, y de forma continuada durante toda la vida del tratamiento. Aplicarla a posteriori, cuando el sistema ya está construido, no cumple el art. 25.

¿Cómo demuestro que cumplo el art. 25 en una inspección?

Documentando las decisiones de diseño, las medidas técnicas adoptadas (seudonimización, cifrado, control de accesos), las configuraciones por defecto y su justificación. Esa evidencia es la que exige la responsabilidad proactiva del art. 5.2 RGPD.


Fuentes oficiales: AEPD, Reglamento (UE) 2016/679 (RGPD) y Comité Europeo de Protección de Datos (CEPD).

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →