RGPD: Comprender todo sobre el principio de minimización
"Minimizar" es una frase utilizada en el lenguaje común para reducir la importancia de algo.
En materia de protección de datos, el artículo 5.1 del RGPD ofrece una definición completamente diferente de este principio que se refiere a la recogida de datos.
¡En 5 minutos y un café, descubramos juntos este principio y lo que significa! ☕️
La respuesta a la encuesta "Según el RGPD, los datos recopilados deben ser...? "
Para presentarles el tema, les ofrecimos una encuesta el 22 de febrero en nuestra página de LinkedIn, preguntándole cómo deben ser los datos según el principio de minimización.
¡Eras fuerte! De 204 votantes, el 89% tenía "Adecuado, relevante y limitado". Juntos descubriremos por qué siguiendo el artículo.
Los principios relativos al tratamiento de datos personales
La minimización es uno de los 5 principios que el responsable del tratamiento debe respetar para implementar el tratamiento de conformidad con el RGPD.
En efecto, según el artículo 5.1 del RGPD, el tratamiento de datos personales debe cumplir varios principios:
- Legalidad, lealtad y transparencia,
- Limitación de la conservación,
- Limitación de propósitos lo cual explicamos la semana pasada,
- El principio de este artículo: minimización,
- Seguridad,
- Precisión
Estamos en el proceso, durante nuestros artículos de blog y nuestros episodios de 1 minuto para entender todo, de presentar y explicar cada uno de estos principios en detalle. Síguenos para que no te pierdas ninguno. ¡La próxima semana discutiremos el principio de seguridad!
Comprender el principio de minimización
En aplicación del RGPD, para respetar el principio de minimización, los datos personales recogidos deberán ser adecuados, pertinentes y limitados en relación con las finalidades perseguidas por el responsable del tratamiento.
En términos más simples, cuantos menos datos recopile, mejor estaré. Sólo deberán recogerse los datos necesarios para cumplir la finalidad del tratamiento realizado.
Por ejemplo, si un usuario quiere suscribirse a una newsletter, sólo hay que preguntar qué es necesario para enviarla. En nuestro caso, la dirección de correo electrónico del usuario es más que suficiente.
Categoría de datos
Las categorías de datos a recopilar son específicas de cada operación de procesamiento de datos. Por tanto, la pertinencia de los datos se evalúa caso por caso. Por eso es necesario determinar primero el propósito de su procesamiento. Una vez determinada la finalidad, podrás identificar los datos que necesitarás para cumplir la finalidad del tratamiento. Recuerde entonces recopilar la menor cantidad de datos posible y ser preciso sobre su relevancia.
Por ejemplo, sólo registra el mes y día de nacimiento de tu cliente para enviarle una oferta promocional en su cumpleaños, en caso de que conocer la edad de tu cliente no te sea útil. Debes plantearte cada vez la siguiente pregunta: ¿Puedo seguir consiguiendo el objetivo perseguido con mi tratamiento sin recoger tal o cual dato? Si la respuesta es sí, algunos datos son superfluos, por lo que estás recopilando más datos de los necesarios.
Justificación y documentación
Sin embargo, si es necesario recopilar otros datos, recuerde justificar la elección e informar a las personas de las razones por las que está recopilando estos datos.
En todos los casos, documente sus pensamientos y las justificaciones de sus elecciones sobre el alcance de recopilación de datos elegido.?
Esta minimización tiene 2 ventajas para tu cuerpo:
- La información recopilada será más fácilmente verificable y rápida de actualizar
- En caso de violación de datos, personas no autorizadas tendrán acceso a poca información, por lo que el riesgo para las personas afectadas será limitado en lo que respecta al perímetro de datos en cuestión.
¿Sanción de la CNIL?♂️
En 2020, una organización sindical se puso en contacto con la CNIL en relación con los expedientes de evaluación de los agentes de la RATP, utilizados durante las reuniones de arbitraje. . La RATP ha implementado el procesamiento de datos relacionados con la evaluación de los agentes; con el fin de crear un archivo que identifique a las personas que probablemente obtendrán un ascenso. Como parte de este procesamiento, la RATP realizó un registro del número de días de huelga de cada agente, distinguiéndolo del número de días de ausencia. Para dar seguimiento a la denuncia recibida, la CNIL realizó controles y constató un cierto número de infracciones de la normativa aplicable.
También encontró brechas de cumplimiento con respecto al período de retención de datos y la seguridad.
La decisión de la CNIL
Tras estos controles, la autoridad de control consideró que la indicación del número total de días de ausencia constituía datos suficientes
para lograr el propósito previsto. Por el contrario, conocer el motivo de las ausencias y en particular las relativas a los días de huelga de los agentes se consideró excesivo e innecesario habida cuenta de la finalidad inicial del expediente en cuestión. Más allá de que esta recopilación no sea relevante, también podría resultar muy perjudicial para el agente en cuestión. Siendo el derecho de huelga una libertad fundamental garantizada por la Constitución, su ejercicio no debe poder ser utilizado contra el agente en el marco de la toma de una decisión sobre su ascenso.
Por las razones antes mencionadas, la CNIL impuso una multa de 400.000 euros y hizo pública su decisión.
Data Comply One (anteriormente Mission RGPD) frente al principio de minimización
¿Tiene problemas con su registro de procesamiento? ¿No tienes tiempo para pensar y configurar concretamente tu registro de tratamiento? ¿O te faltan los medios para cumplir?
✅ Con Data Comply One (anteriormente Mission RGPD), usted simplemente identifica los propósitos de su procesamiento y los datos recopilados. Gracias a nuestras plantillas precargadas encontrarás propuestas para escritura y subpropósitos listas para usar. Obviamente puedes modificarlos si es necesario e incluso crear tus propias plantillas.
¡No pierdas más tiempo, es muy sencillo!
