Analytics

jueves, 20 de diciembre de 2018

Principio de Minimización de Datos

En la era actual, en la que prácticamente, a nivel mundial todos nos encontramos conectados a través de internet, redes sociales, smartphones, etc. Nuestros datos de carácter personal, nuestros gustos, nuestra información más íntima, se ha convertido en uno de los mayores negocios y que más dinero mueven en el mundo.

En la edad de oro del Big Data y del Knowledge Discovery, de los datawarehouses y del datamining, resulta bastante sencillo extraer una gran cantidad de información personal de la actividad que realizamos en Internet. La gran mayoría de las personas no son conscientes de la ingente cantidad de datos que hacen públicos o que directamente venden de una forma gratuita a terceras empresas, movidas por una sociedad cada vez más dependientes de las nuevas tecnologías y de su uso no responsable.

La tendencia de las empresas, hoy en día, es recoger la máxima cantidad de datos posibles, aunque no sean necesarios para el trabajo que desempeñan, pero la forma en la cual se mueve el mundo, a mayor cantidad de datos mayor rentabilidad se puede obtener de los mismos.

Es por esto que, con la llegada del nuevo Reglamento Europeo de Protección de Datos, una de las mayores novedades y más llamativas, es la obligación del responsable del tratamiento a minimizar los datos recogidos. A grandes rasgos, esta obligación intenta preservar y proteger los datos de carácter personal de las personas físicas, es decir, empleando la política del “need to know”, evitando que terceras personas se apropien de forma indebida de datos que no les son necesarios para la prestación del servicio que ofertan.

Aunque este término pueda considerarse relativamente nuevo, lo cierto es que ya existía en otros frameworks de seguridad como, por ejemplo, OECD Privacy, en el que se hace referencia al término “Collection Limitation Principle” el cual viene a decir que deben existir límites para la recopilación de datos personales y que cualquier información de este tipo debe obtenerse por medio legales y justos, y que cuando corresponda con el conocimiento o consentimiento del interesado.
El principio de minimización de datos recogido en los artículos 5 y 25 del nuevo Reglamento Europeo, se centra en lo siguiente:
  • Cantidad de dato recogidos.
  • Tiempo de retención de los datos.
  • Número de personas con acceso a los datos.
  • Perímetro del tratamiento.
Aunque en minoría, cada vez existen más personas, a las cuales les preocupa los abusos que sus datos de carácter personal sufren o pueden sufrir. Esto da lugar a que exista una mayor reticencia por parte de estas personas a nuevos tratamientos o a la cesión de estos datos.

Esta problemática no es buena para ninguna de las dos partes, ni para los usuarios porque dejarían de beneficiarse de ciertos servicios que se han convertido necesarios en su día a día, ni para las empresas que verían reducidos por un lado los servicios que ofertan y, por otro lado, los beneficios que obtienen de los datos de carácter personal de las personas físicas que se los ceden.

Además, con la inclusión del nuevo Reglamento Europeo en materia de Protección de Datos, las sanciones que se derivan del mal uso de los datos de carácter personal se han visto fuertemente endurecidas, lo que supone una vía extra de preocupación para las empresas que tratan este tipo de datos.

Las sanciones más graves, para las empresas que decidan establecer la política de no actuación, serán de hasta 20 millones de euros o el 4% de su facturación anual global, la cifra más alta de las dos. Y las sanciones más leves, podrán llegar hasta los 10 millones de euros o el 2% de su facturación anual global, la cifra más alta de las dos. En concreto, la infracción de la no minimización de los datos de carácter personal se encuadraría dentro del segundo grupo, es decir, dentro del grupo de las sanciones más graves.

La solución a estos problemas de privacidad pasa por encontrar un término medio en el cual las dos partes se encuentren a gusto y confiables.

Por un lado, los usuarios; si las empresas son capaces de proporcionarle la confianza de que tiene total control y conocimiento sobre lo que ocurre con sus datos, éstos no tendrán ningún tipo de inconveniente en cederlos para futuros tratamientos.

Por otro lado, las empresas; que sean capaces de implementar de forma pública y comprobable una política de minimización de datos, conseguirán un ahorro logístico, ya que los datos que no se recogen no exigen gasto alguno y una ventaja competitiva frente a sus rivales, ya que generarán en el usuario una mayor confianza.

Lo que es seguro, es que ambas partes tienen que realizar un proceso de cambio de actitud y de conciencia sobre este tema por el bien de todos.



Autor: Sergio Moreno - PCIP, CCNA
Dpto. Consultoría