A la hora de recoger datos personales los responsables deben responder inicialmente a dos preguntas: ¿Qué objetivo quiero alcanzar y qué datos necesito para cumplirlo?
Aunque la respuesta parezca sencilla es habitual que las empresas recojan más datos de los que realmente necesitan. Normalmente se recogen datos en exceso, “por si acaso”, previendo utilizarlos en un futuro. En otras ocasiones, se recogen datos con fines distintos a aquellos que se han informado a los interesados. Y en cualquiera de los casos anteriores, frecuentemente, el responsable recoge los datos sin delimitar durante cuánto tiempo conservará los datos. Todas estas opciones son contrarias a la normativa de protección de datos y por ello, es imprescindible conocer estas buenas prácticas en protección de datos personales.
¿Qué principios debemos tener en cuenta?
Hablamos de los principios de limitación de la finalidad, minimización de los datos y limitación del plazo de conservación.
Estos principios, rectores en todo tratamiento de datos personales, obligan a los responsables del tratamiento a:
- Definir claramente para qué van a tratar los datos, previo análisis de si están o no legitimados a hacerlo;
- Informar de los fines a los interesados de forma clara y precisa;
- No recoger más datos de los necesarios;
- Delimitar la extensión del tratamiento y su plazo de conservación.
A su vez, estos principios se integran en lo que se denomina “protección de datos desde el diseño y por defecto”, que básicamente se traduce en que el responsable debe establecer una configuración de los tratamientos que sea mínimamente intrusiva: mínima cantidad de datos personales, mínima extensión del tratamiento, mínimo plazo de conservación y mínima accesibilidad a datos personales por parte de personas. Todo ello – por defecto – es decir, sin que el interesado deba exigírselo al responsable.
¿Y esto cómo se hace?
Me temo que no podemos resumirlo en un post. Pero, como apunte, el Comité Europeo de Protección de Datos se centra en tres estrategias a la hora de implementar la protección de datos desde el diseño y por defecto:
- Optimizar: Aplicar medidas con relación a la cantidad de datos recogidos, la extensión del tratamiento, su conservación y accesibilidad.
- Configurar: Buscar la forma de permitir que el tratamiento sea configurable para el usuario con relación a los datos personales mediante ajustes disponibles en las aplicaciones, dispositivos o sistemas que lo implementan. Pensemos, por ejemplo, en el centro de configuración de preferencias de cookies o en los permisos de las apps.
- Restringir: Las opciones de configuración han de estar ajustadas, por defecto, en aquellos valores que limiten la cantidad de datos recogidos, la extensión del tratamiento, su conservación y accesibilidad.
Implementar este principio es una tarea compleja, para profundizar en el tema resulta de gran utilidad la nueva Guía de Protección de Datos por Defecto de la Agencia Española de Protección de Datos, ya que contiene numerosas referencias a trabajos anteriores que te ayudarán a interpretar el escueto art.25 del RGPD.
¿Quieres especializarte en Dirección de Compliance y protección de datos?
El Máster en Dirección de Compliance & Protección de Datos te convertirá en un profesional de alta cualificación con las competencias necesarias para realizar tareas especializadas en dos de las áreas más relevantes tanto para empresas privadas como para administraciones públicas: la protección de datos y el cumplimiento normativo o Compliance.