Minimización de datos o sanción

Minimización de datos

Hablar de minimización de datos personales no es un tema nuevo ni mucho menos; es más, es un principio que rige en materia de protección de datos desde que entró en vigor el RGPD y que cualquier empresa o profesional debe cumplir.

Así, el artículo 5.1 c) del RGPD, señala que el tratamiento de datos estará regido por el principio de minimización de datos y para cumplirlo hay que aplicar estas medidas:

Datos imprescindibles

Únicamente se tratarán aquellos datos que sean necesarios, pertinentes y adecuados para la finalidad del tratamiento que se persigue.

Limitación temporal

Se limitará el tratamiento de datos al plazo de conservación y accesibilidad, imprescindibles para cumplir la finalidad para la que han sido recopilados los datos; ni más ni menos.

Limitación de uso

Solo se permitirá el tratamiento de datos personales, a trabajadores autorizados que realmente lo necesiten para cumplir con la finalidad para la que fueron recopilados.

Pues bien, aunque parece sencillo aplicar este principio rector del tratamiento en materia de protección de datos, no siempre resulta tan fácil ni tan claro aplicarlo en nuestra actividad profesional.

Lo primero que debemos delimitar con claridad meridiana es la finalidad del tratamiento de los datos, para que a partir de ahí, sea inequívoca la identificación de los datos que necesitaremos tratar para alcanzar dicha finalidad. Sobrepasar esta línea, a veces muy delgada, nos puede traer consecuencias que no esperamos: ser sancionados por pedir demás!

¿Increíble no?, pues pensabas que tener más datos siempre es mejor que no tenerlos, ¿verdad? Pues con los datos personales es al revés: menos es más.

Y para muestra, un botón; la Agencia Española de Protección de Datos (AEPD) acaba de publicar una resolución en donde se ha sancionado a una empresa de juego online por solicitar datos demás a uno de sus usuarios, sin justificación alguna. ¡Te lo contamos¡

Sanciones reales

EUROBOX S.A. es una microempresa dedicada al juego online, y tras sospechar que uno de sus usuarios podría ser un jugador profesional, decidió solicitar cierta información para poder comprobar esta situación, ya que, según la propia entidad, esto está prohibido por la Ley 13/2011, de 27 de mayo, de regulación del juego, así como por los términos y condiciones establecidos en la propia plataforma de juego, circunstancia que llevó a la suspensión de la cuenta del usuario.

Para levantar dicha suspensión, al usuario, nada más y nada menos que le solicitaron domicilio registrado, profesión actual, sueldo bruto anual, si juega con fondos propios o cedidos por terceros y última nómina o declaración trimestral en el caso de ser autónomo. Como puede verse, es mucha información que contiene datos personales, incluso un perfilado de esta persona, circunstancia que de inicio nos debe alertar de ser objeto de fraude, así como negarnos a proporcionarla sin que exista una verdadera justificación para ello.

En el caso que comentamos, la persona aún y cuando desconfió de dicha petición por parte de EUROBOX, entregó la información.

La AEPD considera que en su respuesta, EUROBOX S.A. no justificó suficientemente la petición al usuario de todos estos datos en relación con la finalidad de identificarlo como un jugador profesional de acuerdo con su comportamiento en la web, además de que en su Política de Privacidad web, nunca aparecen enumerados dentro del listado de datos que pueden ser tratados por la entidad, los correspondientes a profesión, retribuciones brutas anuales o el origen de todos sus ingresos.

De esta manera, se identifica que EUROBOX S.A. no cumplió con el principio de minimización de datos por las siguientes razones:

Solicitó datos que no eran necesarios ni pertinentes

Los datos solicitados al usuario no estaban contemplados en la Política de Privacidad

No se identificó de manera clara la finalidad de solicitarle al usuario dichos datos.

Por estas razones, la AEPD identificó que se habían vulnerado los art. 5.1 c) y 13 del RGPD.

La sanción impuesta a EUROBOX S.A. alcanzó los 10.000 euros.

Otros casos reales

Esta resolución que hemos comentado no es la única en donde la AEPD ha sancionado por incumplimiento del principio de minimización de datos. Te damos otros ejemplos:

PS-00436-2023

Publicación de un video en una red social sin consentimiento y sin adoptar medidas para que no se reconocieses los rostros de las personas que salían en el video.

Sanción de 50.000 euros.

PS-00253-2023

Reintegro de una cantidad pagada por un servicio odontológico, se solicita copia del DNI, habiendo otras formas de realizar el reintegro con la información que ya contaba la clínica por serla reclamante una clienta que ya llevaba tiempo utilizando sus servicios.

Sanción de 20.000 euros.

PS-00596-2021

Un policía local toma una foto de un DNI de una persona sin su consentimiento y sin informarle de qué uso hará de esos datos. Sanción.

Apercibimiento al Ayuntamiento.

Business Adapter® a tu servicio

Si crees que no estás aplicando correctamente el principio de minimización de datos en tu entidad, contáctanos en el email: info@businessadapter.es,  también puedes llamar al 96 131 88 04, o deja tu mensaje en este formulario:

 

Consúltanos, estaremos encantados de ayudarte
error: Content is protected !!