¡Comparte en redes sociales!

Buenas prácticas en la recogida de datos personales

A la hora de recoger datos personales los responsables deben responder inicialmente a dos preguntas: ¿Qué objetivo quiero alcanzar y qué datos necesito para cumplirlo?

Aunque la respuesta parezca sencilla es habitual que las empresas recojan más datos de los que realmente necesitan. Normalmente se recogen datos en exceso, “por si acaso”, previendo utilizarlos en un futuro. En otras ocasiones, se recogen datos con fines distintos a aquellos que se han informado a los interesados. Y en cualquiera de los casos anteriores, frecuentemente, el responsable recoge los datos sin delimitar durante cuánto tiempo conservará los datos. Todas estas opciones son contrarias a la normativa de protección de datos y por ello, es imprescindible conocer estas buenas prácticas en protección de datos personales.

¿Qué principios debemos tener en cuenta?

Hablamos de los principios de limitación de la finalidad, minimización de los datos y limitación del plazo de conservación.

Estos principios, rectores en todo tratamiento de datos personales, obligan a los responsables del tratamiento a:

  1. Definir claramente para qué van a tratar los datos, previo análisis de si están o no legitimados a hacerlo;
  2. Informar de los fines a los interesados de forma clara y precisa;
  3. No recoger más datos de los necesarios;
  4. Delimitar la extensión del tratamiento y su plazo de conservación.

A su vez, estos principios se integran en lo que se denomina “protección de datos desde el diseño y por defecto”, que básicamente se traduce en que el responsable debe establecer una configuración de los tratamientos que sea mínimamente intrusiva: mínima cantidad de datos personales, mínima extensión del tratamiento, mínimo plazo de conservación y mínima accesibilidad a datos personales por parte de personas. Todo ello – por defecto – es decir, sin que el interesado deba exigírselo al responsable.

¿Y esto cómo se hace?

Me temo que no podemos resumirlo en un post. Pero, como apunte, el Comité Europeo de Protección de Datos se centra en tres estrategias a la hora de implementar la protección de datos desde el diseño y por defecto:

  1. Optimizar: Aplicar medidas con relación a la cantidad de datos recogidos, la extensión del tratamiento, su conservación y accesibilidad.
  2. Configurar: Buscar la forma de permitir que el tratamiento sea configurable para el usuario con relación a los datos personales mediante ajustes disponibles en las aplicaciones, dispositivos o sistemas que lo implementan. Pensemos, por ejemplo, en el centro de configuración de preferencias de cookies o en los permisos de las apps.
  3. Restringir: Las opciones de configuración han de estar ajustadas, por defecto, en aquellos valores que limiten la cantidad de datos recogidos, la extensión del tratamiento, su conservación y accesibilidad.

Implementar este principio es una tarea compleja, para profundizar en el tema resulta de gran utilidad la nueva Guía de Protección de Datos por Defecto de la Agencia Española de Protección de Datos, ya que contiene numerosas referencias a trabajos anteriores que te ayudarán a interpretar el escueto art.25 del RGPD.

¿Quieres especializarte en Dirección de Compliance y protección de datos?

El Máster en Dirección de Compliance & Protección de Datos te convertirá en un profesional de alta cualificación con las competencias necesarias para realizar tareas especializadas en dos de las áreas más relevantes tanto para empresas privadas como para administraciones públicas: la protección de datos y el cumplimiento normativo o Compliance.

Carlos Vera

Abogado especializado en IT/IP en Grupo SIA

Suscríbete a nuestra newsletter para estar al día de todas las novedades

EIP International Business School te informa que los datos del presente formulario serán tratados por Mainjobs Internacional Educativa y Tecnológica, S.A.U. como responsable de esta web. La finalidad de la recogida y tratamiento de los datos personales es gestionar tu suscripción a la newsletter así como para el envío de información comercial de los servicios del responsable del tratamiento. La legitimación es el consentimiento explícito del/a interesado/a. No se cederán datos a terceros, salvo obligación legal. Podrás ejercer tus derechos de acceso, rectificación, limitación y supresión de los datos en cumplimiento@grupomainjobs.com, así como el derecho a presentar una reclamación ante la autoridad de control. Puedes consultar la información adicional y detallada sobre Protección de datos en la Política de Privacidad que encontrarás en nuestra página web.
Blog Master Dpo

Deja un comentario

EIP International Business School te informa que los datos del presente formulario serán tratados por Mainjobs Internacional Educativa y Tecnológica, S.A.U. como responsable de esta web. La finalidad de la recogida y tratamiento de los datos personales es gestionar tu suscripción a la newsletter así como para el envío de información comercial de los servicios del responsable del tratamiento. La legitimación es el consentimiento explícito del/a interesado/a. No se cederán datos a terceros, salvo obligación legal. Podrás ejercer tus derechos de acceso, rectificación, limitación y supresión de los datos en cumplimiento@grupomainjobs.com, así como el derecho a presentar una reclamación ante la autoridad de control. Puedes consultar la información adicional y detallada sobre Protección de datos en la Política de Privacidad que encontrarás en nuestra página web.