El Reglamento General de Protección de Datos cuenta con una serie de principios, entre los que se encuentra el Principio de Minimización de Datos. En este post, vamos a responder distintas preguntas: ¿en qué consiste?, ¿cuál es su finalidad?, o ¿cómo debe aplicarse? Además, si te interesa todo lo relacionado con la protección de datos, tenemos algo para ti, y es que te puedes profesionalizar en este ámbito con el Curso en Delegado de Protección de Datos. Data Protection Officer (DPO) con Titulación Universitaria, de INEAF.
Empezando por lo básico, conoceremos la definición de principio de minimización de datos, que viene en la letra c del artículo 5 del RGPD. Allí, indica a las empresas que solo debe recabar los datos personales mínimos de las personas físicas, nunca más. Este principio también hace referencia a que se deben conservar el tiempo mínimo para cumplir la finalidad prevista.
¿Qué supone el principio de minimización de datos?
Lo primero que debemos entender es que el objetivo de este principio de minimización de datos no es otro que conseguir que las empresas no recaben más datos personales de los necesarios. Además, también hace referencia al tratamiento y el almacenamiento, ya que un tiempo demasiado largo también puede suponer riesgos para los derechos de los usuarios.
Ahora, vamos a enfocarnos en lo que supone el principio de minimización de datos tanto para las empresas como para los usuarios.
¿Qué supone este principio para las empresas?
Para las empresas, el principio de minimización de datos se puede traducir en que deben tener un cuidado especial para no usar o tratar más datos personales de los usuarios que los que se requieren para cumplir con la finalidad concreta. Obviamente, esa finalidad se ha tenido que comunicar previamente a dichos usuarios, ya que deben dar su consentimiento.
Otro aspecto importante que debemos cuidar son los plazos de conservación. Salvo que la ley establezca un periodo en concreto, estos plazos de conservación deben ser los mínimos necesarios para cumplir con el objetivo. Este principio de minimización de datos también implica, para las empresas, limitar el acceso a estos datos personales de los usuarios.
No todos los empleados pueden acceder a todos los datos personales que la empresa tiene en su archivo, ya que pueden caer en manos de terceros. Por ello, debe de hacer un protocolo de seguridad para esos datos.
¿Y qué hay para los usuarios?
Los usuarios también se ven afectados por este principio de minimización, ya que les permite tener un mayor control sobre sus datos personales. Básicamente, gracias a este principio sabemos que las entidades no deben recabar más datos de los necesarios, de manera que podemos ejecutar alguna acción en concreto como puede ser recurrir a nuestro derecho de acceso, descubriendo que datos posee la empresa sobre nosotros.
Si una empresa no te hace caso y deja a un lado tus solicitudes de derechos, puedes presentar sin ningún tipo de inconveniente una denuncia ante la Agencia Española de Protección de Datos.
Aplicación del principio de minimización de datos
Todas las cuestiones sobre la aplicación del principio de minimización de datos se recogen en el artículo 25.2 del Reglamento General de Protección de Datos. Aquí encontrarás toda la información sobre las medidas técnicas y organizativas para conseguir tu principal objetivo: que los datos personales recogidos sean los mínimos para cumplir un fin.
Un concepto que deben seguir estas técnicas es el de Privacy by Design, que significa privacidad desde el diseño. Básicamente, consiste en hacer una previsión de los datos mínimos que necesitará un tratamiento en concreto. Y claro, hacer esto antes de que comience todo el trámite, ya que un fallo estaría incumpliendo este principio de minimización.
Consecuencias de vulnerar el principio de minimización de datos
No seguir este principio de minimización de datos se considera una infracción muy grave, tipificada en el artículo 72 de la LOPDGDD, sancionada con hasta 20 millones de euros o el 4 % del volumen de facturación. La cuantía, como es obvio, dependerá de los datos que se hayan visto vulnerados, si se mantuvieron un tiempo excesivo los datos o si no se colaboró con la AEPD.
Un ejemplo de este tipo de multas que impone la AEPD se dio con un restaurante. Uno de sus camareros pidió a una clienta el número de teléfono para poder realizar la factura de la consumición. Y claro, la AEPD entró y consideró que era excesivo, multando a esta empresa con 2.000 euros.
La Agencia de Protección de Datos y Libertad de Información de Hamburgo también sancionó al Grupo H&M en Núremberg por pedir más datos personales de sus empleados de los estrictamente necesarios. Llegaron a recabar información catalogada como especial por estar relacionada con la salud o las creencias religiosas. En este caso, la multa ascendió a los 35 millones de euros.
Beneficios del principio de minimización de datos
Para terminar el presente post, vamos a analizar cuáles son los principales beneficios del principio de minimización. Al final, toda acción que luche por la protección de nuestros datos más sensibles siempre será positivo, pero, en concreto, este principio lo es por los siguientes motivos:
- Reducción de riesgos: almacenamos menos datos y disminuimos el riesgo de que sucedan brechas de seguridad.
- Cumplimiento legal: regulaciones como el RGPD o la LOPD ayudan a que se cumplan este tipo de acciones positivas para los usuarios y personas en general.
- Confianza del cliente: Una persona que ve y entiende que se valora su privacidad y se protegen sus datos, es normal que tenga una mayor confianza.
- Eficiencia operativa: Que tengamos y contemos con menos datos tiene como consecuencia una mayor eficiencia operativa, ya que tiene que trabajar con menos cantidad de información.