Artículo 25

Protecci√≥n de datos desde el dise√Īo y por defecto

  • Teniendo en cuenta el estado de la t√©cnica, el coste de la aplicaci√≥n y la naturaleza, √°mbito, contexto y fines del tratamiento, as√≠ como los riesgos de diversa probabilidad y gravedad que entra√Īa el tratamiento para los derechos y libertades de las personas f√≠sicas, el responsable del tratamiento aplicar√°, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas t√©cnicas y organizativas apropiadas, como la seudonimizaci√≥n, concebidas para aplicar de forma efectiva los principios de protecci√≥n de datos, como la minimizaci√≥n de datos, e integrar las garant√≠as necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.
  • El responsable del tratamiento aplicar√° las medidas t√©cnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines espec√≠ficos del tratamiento. Esta obligaci√≥n se aplicar√° a la cantidad de datos personales recogidos, a la extensi√≥n de su tratamiento, a su plazo de conservaci√≥n y a su accesibilidad. Tales medidas garantizar√°n en particular que, por defecto, los datos personales no sean accesibles, sin la intervenci√≥n de la persona, a un n√ļmero indeterminado de personas f√≠sicas.
  • Podr√° utilizarse un mecanismo de certificaci√≥n aprobado con arreglo al art√≠culo¬†42 como elemento que acredite el cumplimiento de las obligaciones establecidas en los apartados¬†1 y¬†2 del presente art√≠culo.