¿Qué es la Minimización de Datos?
Es uno de los principios que nació con la aprobación del Reglamento Europeo de Protección de Datos y la LOPDGDD y, a la vista de las últimas resoluciones emitidas por distintas Agencias de Protección de Datos a nivel europeo, este principio es la piedra angular del cumplimento de la normativa que ha llegado a Europa para quedarse, y con fuerza.
La minimización es la obligación impuesta a las empresas de no recabar, tratar ni almacenar más datos personales de los necesarios y durante un período de tiempo indefinido o demasiado largo, especialmente por los riesgos que esto puede suponer para los derechos y libertades de los interesados.
Minimizar debe hacerse desde el diseño
La minimización se configura como un principio que debe cumplirse desde el diseño. El empresario debe decidir desde el inicio qué datos personales va a tratar, cómo los va a tratar y cuanto tiempo los va a conservar. Es necesario cerciorarse, siempre previamente a la obtención, que el tratamiento de datos estará justificado con una necesidad que surja de la propia actividad empresarial.
Si bien por la definición que nos da la Ley puede parecer que es un principio fácil de cumplir, no lo es en absoluto. En la práctica nos encontramos numerosas dudas que no son fáciles de responder.
A modo de ejemplo, la selección de personal:
Un seleccionador puede pedir más o menos información para elegir al candidato más adecuado, pero ¿Dónde está el límite aceptable? ¿realmente toda la información que solicita es decisiva para elegir al candidato? ¿Podría llegar al mismo punto solicitando menos información de carácter personal?
Estas cuestiones deben plantearse antes y diseñar un punto de equilibrio entre el cumplimento óptimo de los objetivos del tratamiento y el respeto por el derecho a la protección de datos de los interesados.
Recientemente hemos podido ver distintas resoluciones a nivel estatal y europeo que ejemplarizan tanto la importancia de este principio como lo complicado que es poner límites. Vamos a explicar tres ejemplos muy gráficos:
Copia del DNI en Hotel
Es una práctica habitual del sector hotelero (también en apartamentos de uso turístico) solicitar copia del DNI en el momento de realizarse el registro de entrada. Sin embargo, mediante una resolución de marzo de 2022, impuso una multa de 30.000 Euros a un establecimiento por considerar que solicitando la copia del DNI estaba vulnerando el principio de minimización.
Lo cierto es que los hoteles piden el DNI en cumplimiento del artículo 25 de la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana, que establece que los establecimientos están obligados a » las obligaciones de registro documental e información en los términos que establezcan las disposiciones aplicables». Según la AEPD, esta norma legitima a recoger algunos datos personales. En concreto:
- Número de documento de identidad
- Tipo de documento
- Fecha de expedición
- Nombre y apellidos
- Sexo
- Fecha de nacimiento
- País de nacionalidad
- Fecha de entrada
- Firma del viajero
Sin embargo, en el DNI salen más datos, como la fotografía y los nombres del padre y de la madre.
La AEPD aclara que se podrán registrar los datos, pero no usar la fotografía del DNI sin consentimiento porque este uso no viene impuesto por la Ley mencionada.
Sanción al motosharing por geolocalizar sus vehículos más de la cuenta
La CNIL (en cooperación con la AEPD y la agencia italiana) impone una sanción de 125.000 Euros a la compañía CITYSCOOT por recabar la localización de sus vehículos cada 30 segundos, además de mantener un registro de estos viajes.
Se considera que su vulneración el principio de minimización de datos, al recabar datos excesivos para las finalidades previstas, que era: tramitaciones de infracciones de tráfico, gestión de quejas de clientes, soporte al usuario y gestión de reclamaciones y robos. Se considera que ninguna finalidad justifica que se acceda a toda la ruta en cada momento y que debería bastar con localizar el origen y el destino del vehículo.
ChatGPT investigado en varios países
Recientemente se hizo eco de la noticia de que ChatGPT había sigo bloqueado en Italia porque se tenían serias dudas de que cumpliera con la legislación vigente en materia de protección de datos. El bloqueo y la investigación desde Italia llegaron apenas unos días después de que dos importantes organizaciones pidieran investigar a ChatGPT por protección de datos y su impacto en los consumidores.
Varias agencias denuncian «la ausencia de base jurídica que justifique la recogida y almacenamiento masivos de datos personales con el fin de «entrenar» los algoritmos que gestionan el funcionamiento de la plataforma». Se trata, por lo tanto, y entre otros posibles incumplimientos, una cuestionamiento claro al principio de minimización.