Entre los principios de protección de datos recogidos en el RGPD, encontramos el Principio de Minimización de Datos, pero ¿en qué consiste este principio?, ¿cuál es su finalidad?, ¿cómo debe aplicarse?
En este artículo hablamos de:
¿Qué es el principio de minimización de datos del RGPD?
El artículo 5 del RGPD recoge y establece los diferentes principios de protección de datos, que tanto entidades como interesados debemos conocer para poder gestionarlos de manera adecuada y tener un mayo control sobre los mismos, respectivamente.
Así, la letra c del artículo 5 nos dice del principio de minimización que:
Los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
En otras palabras, el principio de minimización del RGPD es parte de las «reglas» que cualquier entidad que trate datos personales debe seguir a la hora de tratar con datos de personas físicas. En concreto, este principio nos dice que solo podemos recabar aquellos datos mínimos necesarios para cumplir con la finalidad prevista, cuando los vayamos a tratar y conservarlos el tiempo mínimo necesario para cumplir esa finalidad.
¿Qué supone el principio de minimización de datos?
La minimización de datos RGPD cumple con diferentes propósitos de cara a los interesados y las empresas, pero su principal objetivo es que las entidades u organizaciones no recaben, traten y almacenen más datos personales de los necesarios y durante un período de tiempo indefinido o demasiado largo, especialmente por los riesgos que esto puede suponer para los derechos y libertades de los interesados.
Para empresas
En la práctica, para las empresas (o cualquier otra entidad que trate datos personales), la minimización de datos supone que los datos que se van a tratar no pueden ser más que los requeridos para cumplir con la finalidad o finalidades concretas de las que se haya informado previamente a los interesados y para las que hayan dado su consentimiento, tal y como se establece en el consentimiento RGPD (consentimiento expreso, inequívoco, informado y libre).
Además, el principio de minimización de datos, como hemos adelantado, también afecta a los plazos de conservación, que deben ser los mínimos necesarios para cumplir con la finalidad, no pudiéndose guardar los datos una vez cumplida la misma (salvo que una ley establezca un período concreto de conservación de documentación).
Así mismo, también implica limitar el acceso a la información personal que maneja la entidad a sus propios empleados y las posibles cesiones a terceros, que deben estar debidamente justificadas y legitimadas (bien por el consentimiento expreso los interesados o bien por alguna de las causas contempladas en el artículo 6 del RGPD).
Para usuarios
En cuanto a los usuarios, es decir, los interesados, el principio de minimización implica aumentar el control y derechos que tienen sobre sus datos personales, de la misma forma que los derechos ARCO les permiten ejercer diferentes acciones sobre los datos que las entidades poseen sobre ellos.
Al saber que las entidades no deben recabar más datos de los estrictamente necesarios, podemos determinar cuándo una entidad nos está pidiendo datos personales que no son necesarios para cumplir una determinada finalidad, o, si al ejercer nuestro derecho de acceso, descubrimos que una entidad posee más datos personales de los que debiera, pedir su supresión.
Y en caso de que la entidad no atienda nuestras solicitudes de derechos, incluso presentar la consiguiente denuncia ante la AEPD (Agencia Española de Protección de Datos).
Cómo aplicar el principio de minimización de datos
Para aplicar el principio de minimización de datos, el responsable del tratamiento, tal y como recoge el artículo 25.2 del RGPD, debe aplicar las medidas técnicas y organizativas necesarias para garantizar que los datos personales recogidos son los mínimos para cumplir un fin o fines específicos.
Estas medidas técnicas y organizativas deben seguir el principio de Privacy by Design, es decir, privacidad desde el diseño, previendo cuáles serán los datos mínimos que requerirá un tratamiento en concreto para alcanzar la finalidad propuesta, antes de comenzar dicho tratamiento (por ejemplo, para captar clientes potenciales a través de un formulario web, en principio solo es necesario un nombre y una dirección de correo electrónico).
Las medidas tomadas por el responsable del tratamiento para cumplir con el principio de minimización se aplicarán, aparte de a la cantidad de datos a recabar, a la duración del tratamiento, al plazo de conservación de los datos y a quiénes podrán acceder a ellos dentro de la organización.
Consecuencias de vulnerar el principio de minimización datos
Vulnerar el principio de minimización de datos puede tener consecuencias serias para empresas y negocios, ya que se considera una infracción muy grave (art. 72.a de la LOPDGDD), que puede llegar a multarse con hasta 20 millones de euros o el 4% del volumen de facturación.
La graduación de la sanción dependerá de los datos que se hayan visto vulnerados, el número de interesados afectados, la duración en el tiempo de la infracción y si se colaboró o no con la AEPD durante el proceso de investigación.
Un ejemplo de lo importante que pueden llegar a ser las sanciones por no cumplir con el principio de minimización de datos, lo tenemos en la sanción que impuso la Agencia de Protección de Datos y Libertad de Información de Hamburgo a una tienda del Grupo H&M en Núremberg por recabar datos personales de sus empleados que excedían los necesarios para la relación contractual y laboral. En concreto, esta tienda llegó a recabar información familiar y hasta datos de categorías especiales (como relativos a la salud o sus creencias religiosas). La multa impuesta fue de 35 millones de euros.
Más reciente y más cercana, tenemos una de las últimas multas impuestas por la AEPD en esta materia. En este caso a un restaurante porque uno de sus camareros pidió a una clienta el número de teléfono para realizar una factura de su consumición. La AEPD consideró excesivo solicitar el teléfono para realizar una factura, puesto que no es un dato necesario para ello (sí lo son el nombre o razón social, la dirección fiscal y el CIF/NIF). En este caso, la multa fue de 2.000 euros para el restaurante.
Como veis, aplicar siempre el principio de minimización de datos del RGPD es fundamental, si queremos evitar posibles denuncias y sanciones por parte de la AEPD.
Si no tienes muy claro qué datos personales puedes recabar para los tratamientos que necesita llevar a cabo tu empresa, no dudes en ponerte en contacto con Grupo Atico34, nuestro equipo de expertos te asesorará en todo lo que necesites y te ayudará a resolver todas tus dudas respecto a la minimización de datos.