La protección de datos por defecto es un principio esencial del Reglamento General de Protección de Datos (RGPD), recogido en su artículo 25. La Agencia Española de Protección de Datos (AEPD) ha elaborado una guía específica para facilitar su comprensión e implementación por parte de responsables y encargados del tratamiento.
Este principio obliga a garantizar que, por defecto, solo se traten los datos personales necesarios para cada finalidad específica del tratamiento. En otras palabras, el sistema debe estar configurado desde el inicio para aplicar la minimización de datos, limitación de acceso, y una conservación de los datos durante el tiempo mínimo que se haya establecido en función de la finalidad del tratamiento.
La Protección de Datos por Defecto se basa en tres estrategias: optimizar el tratamiento minimizando datos, conservación y accesos; configurar los sistemas para que el usuario controle los datos tratados; y restringir, por defecto, la recogida, tratamiento y accesibilidad, garantizando siempre la máxima privacidad posible. Se requiere, además, de una evaluación previa y la configuración de los sistemas debe responder a criterios de proporcionalidad y necesidad.
La obligación afecta a la cantidad de datos recogidos, su tratamiento, conservación y acceso, evitando accesos indiscriminados por defecto.