Minimización de datos

Principio de Minimizacion de Datos en el RGPD: ¿Por Qué es Bueno para Todos?

Principio de Minimización de Datos: ¿En qué consiste?

Un resumen práctico del principio de minimización sería el siguiente: 

«Recoge

1.- sólo los datos personales que vayas a tratar,

2.- sólo cuando los vayas a tratar, y

3.- trátalos sólo para la finalidad declarada.

Ahora exprímelos al máximo dentro de esos límites». 

¿Por Qué, Señor, Por Qué?

Entre las novedades del nuevo Reglamento General de Protección de Datos europeo una de las más llamativas es la que obligará al responsable del tratamiento a minimizar los datos captados.

¿Es un Error?…

No se entiende bien esta obligación de minimización en la cacareada “edad de oro del Big Data” en la que cualquiera puede utilizar la tecnología para extraer oro molido de los datos generados en su actividad.

Parece que lo inteligente, lo que toca, es captar la máxima cantidad posible de datos para maximizar el beneficio obtenido… ya se nos ocurrirá más tarde (o ya aprenderemos) la mejor forma de ordeñar esos datos.

¿ O acaso no es eso lo que está haciendo todo el mundo?

«Recoge

1.- sólo los datos personales que vayas a tratar,

2.- sólo cuando los vayas a tratar, y

3.- trátalos sólo para la finalidad declarada.

Ahora exprímelos al máximo dentro de esos límites».

…Ya no, o no en Europa

El nuevo Reglamento Europeo de Protección de Datos nos obliga a replantear de cabo a rabo todos nuestros procedimientos de recogida y tratamiento de datos.

No sólo nuestras “políticas”: todos nuestros procedimientos.

El principio de minimización de datos (artículos 5 y 25 del RGPD) se refiere expresamente:

  1. a la cantidad de datos recogidos,
  2. al perímetro del tratamiento,
  3. al período de tiempo de retención,
  4. al número de personas con acceso a los mismos.

“Artículo 25.2

El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad.” 

Bien entendido, el principio de minimización tiene todo el sentido, más allá de ser (que lo es) una disposición legal de obligado cumplimiento.

Y es así por dos motivos:

¿Por Qué Me Conviene, (Aunque no me lo Parezca)?

Desde el punto vista del usuario, del titular de los datos, existe una preocupación creciente en relación con los abusos que sus datos personales sufren o pueden sufrir (hola NSA, Yahoo, Linkedin, ashleymadison.com, etc.).

La consecuencia es una comprensible reticencia a autorizar nuevos tratamientos o cesiones de datos.

Y eso no es bueno para nadie:

  • Ni para las empresas, ni para el estado, que sin duda pueden extraer enormes beneficios de los mismos.
  • Ni para la sociedad en general, que desde luego se beneficiaría de los mismos,
  • Ni para el usuario en particular, interesado en disfrutar esos beneficios genéricos, pero también de los servicios de siempre (facebook, google, los que sean) pero controlando lo que sucede con sus datos, mejorando así la actual situación.

Desde el punto de vista de las empresas u organizaciones, hay miedo en materia de protección de datos más aún con las tre-men-das sanciones introducidas por el reglamento europeo de protección de datos.

Sanciones para el incumplimiento de nuevas normas que pocos han estudiado. Y para los que casi nadie está preparado hoy.

La consecuencia de este miedo es la parálisis en términos de tratamientos de datos, con la inevitable perdida de oportunidades y valor añadido que las nuevas tecnologías podrían aportar.

 

El Principio de Minimización es la Respuesta desde las Dos Perspectivas

El Usuario al que se suministre una herramienta de control intuitiva y eficaz sobre sus datos, confiará en el servicio, y autorizará con todo confort y normalidad futuros tratamientos de sus datos personales.

Las Compañías u Organizaciones que implementen de forma pública y comprobable políticas de recogida mínima de datos personales, conseguirán:

  • Un evidente ahorro logístico: el dato que no recoges, no exige gasto alguno en su encriptado, anonimización, puesta a disposición de su titular, portabilidad, actualización, destrucción segura, etc.
  • Una ventaja competitiva con su rivales, derivada del vínculo de confianza creado con sus usuarios (confortables en términos de privacidad, como comentábamos antes). 

¿Y Esto Cómo se Hace?

De acuerdo con el concepto del Privacy by Design, -otra de las grandes novedades del Reglamento General de Protección de Datos europeo-, es obligatorio replantear nuestros procedimientos de forma integral, desde distintos puntos de vista a la vez.

Será necesario el trabajo conjunto de los responsables de los distintos departamentos de cada empresa, de cada organización, para reevaluar los flujos de datos, su adecuación en términos de respeto a la privacidad por defecto del sistema, ámbito del tratamiento, control por parte del usuario, y un largo etcétera…

Habrá sin duda soluciones comunes para problemas comunes.

Pero la solución óptima para cada uno requerirá el esfuerzo conjunto e innovador de todos los estamentos de cada compañía, organización o administración.

El Riesgo de no Hacer Nada

El Reglamento General de Protección de Datos, ya en vigor, empezará a aplicarse el próximo 25 de mayo de 2018.

Cuando uno entiende la magnitud del trabajo que hay que hacer antes de esa fecha para cumplir, no es tanto tiempo.

Las nuevas sanciones para los que no cumplan alcanzan (infracciones graves) los 20 millones de euros (o el 4% de la facturación anual global), la cifra más alta de las dos.

Las infracciones leves “sólo” traen consigo 10 millones o el 2% de la facturación anual global.

No cabe duda de que nos espera un 2017 lleno de retos.

Muy buena semana.

Fotografía de Paolo Ventura «Suitcase» de la serie Short stories

Jorge García Herrero, Abogado