Las entidades locales, como responsables del tratamiento, deben cumplir la normativa de protección de datos ya que en el ejercicio de su labor administrativa diaria utilizan gran cantidad de datos de carácter personal. Una de sus obligaciones es la aplicación de los principios generales en materia de protección de datos puesto que sientan las bases del cumplimiento de esta normativa. Estos principios son aquel conjunto de reglas que determinan cómo han de recogerse, tratar y ceder los datos de carácter personal por parte de los responsables del tratamiento. Uno de estos principios es el principio de minimización de datos personales, incluido como novedad en el Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, Reglamento UE 2016/679).
¿En qué consiste la aplicación del principio de minimización de datos?
El principio de minimización de datos se define en el artículo 5.1 c) del Reglamento UE 2016/679 como la garantía de que únicamente se están tratando los datos precisos para los fines específicos del tratamiento. La entidad local debe cumplir el principio de minimización de datos en cuanto a utilizar los datos personales mínimos para los fines del tratamiento.
La entidad local debe tener en cuenta este principio en todo tratamiento de datos (recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción) pero debe prestar especial atención a la hora de ceder o publicar datos de carácter personal debido a la trascendencia que puede suponer este incumplimiento en caso de cesión o publicación de datos personales.
Por tanto, en aplicación del principio de minimización de datos, los datos personales objeto de tratamiento por parte de la entidad local deben poseer tres características:
- Datos adecuados: deben aportar información relacionada con la finalidad por la que son tratados.
- Datos pertinentes: deben ser imprescindibles para los fines de los tratamientos, es decir, no lo serán si para el tratamiento puede prescindirse de ellos.
- Datos limitados a lo necesario: deben de tratarse únicamente los datos necesarios para el tratamiento, es decir, no deben de tratarse de datos excesivos.
Las administraciones públicas deben cumplir el principio de minimización de datos: únicamente deben tratarse datos adecuados, pertinentes y limitados a lo necesario.
Las entidades locales, siendo conscientes de estas características, deben adoptar las medidas necesarias para cumplirlas en el tratamiento de los datos personales. Estas medidas se fundamentan en la aplicación de la privacidad desde el diseño y por defecto.
El principio de minimización de datos mediante la privacidad desde el diseño y por defecto
Para el cumplimiento del principio de minimización de datos es importante prestar atención al principio de la privacidad desde el diseño y por defecto recogido en el artículo 25 del Reglamento UE 2016/679 ya que están estrechamente relacionados entre sí.
- La privacidad desde el diseño tiene como objeto establecer las medidas necesarias desde las primeras etapas del diseño de productos y servicios para aplicar de forma efectiva los principios de tratamiento de datos, en especial del principio de minimización de datos. La entidad local debe decidir desde el inicio qué datos personales va a tratar, cómo los va a tratar y cuánto tiempo los va a conservar.
Dentro de las medidas que todo responsable puede tener en cuenta para cumplir con el principio de minimización de datos en aplicación de la privacidad desde el diseño podemos encontrar:
- Fijar criterios de recogida limitados a la finalidad que persigue el tratamiento.
- Limitar el uso de los datos personales a las finalidades para las que fueron recogidos y asegurarse de que existe una base legitimadora del tratamiento.
- Restringir los accesos a los datos personales a los interesados y según la función que realicen mediante la creación de perfiles de acceso diferenciados.
- Definir plazos estrictos de conservación y establecer mecanismos operativos que garanticen su cumplimiento.
- Crear barreras tecnológicas y procedimentales que impidan la vinculación de no autorizada de fuentes de datos independientes.
- La privacidad por defecto busca limitar el uso de datos personales únicamente a lo estrictamente necesario para cada uno de los fines del tratamiento. Para implementar las estrategias de la privacidad por defecto, el artículo 25.2 del Reglamento UE 2016/679 establece las siguientes medidas:
- Análisis del tratamiento (cantidad de datos): es necesario analizar los tipos y la cantidad de datos que se recaban con un criterio de minimización en función de los productos y servicios seleccionados por el usuario. Es decir, es conveniente que la entidad local realice un análisis objetivo y racional de cada tratamiento de datos personales.
La entidad local cuando recoge datos del interesado debe preguntarse: ¿Es necesario conocer este dato para llevar a cabo con éxito la actividad que vamos a realizar?
- Reducir la extensión del tratamiento: será preciso reducir la extensión del tratamiento eliminando aquellos datos que no fueren necesarios. Solo y exclusivamente serán recabados datos indispensables, desechando toda la información irrelevante o que se extralimite de la finalidad del tratamiento de datos.
- Limitar el plazo de conservación: se deben de conservar los datos mientras sean necesarios para el cumplimiento de su finalidad, es decir si un dato personal ya no se necesita después de ejecutar una fase del tratamiento, el dato deberá ser suprimido.
- Accesibilidad: el responsable del tratamiento deberá establecer quién puede acceder a los datos personales. El grado de accesibilidad a los datos ha de estar establecido basándose en un análisis de necesidad para cumplir con el propósito del tratamiento.
Así las cosas, la entidad local debe establecer una configuración de la privacidad desde el diseño y por defecto de los tratamientos de datos personales que sea respetuosa con los principios de protección de datos, abogando por un tratamiento mínimamente intrusivo: mínima cantidad de datos personales, mínima extensión del tratamiento, mínimo plazo de conservación y mínima accesibilidad a datos personales.
En definitiva, las administraciones públicas deben cumplir con el principio de minimización de datos a la hora de tratar datos personales, adoptando las medidas necesarias para garantizar dicho cumplimiento. Para ello, es importante tener en cuenta la aplicación del principio de privacidad desde el diseño y por defecto, minimizando los datos personales de la entidad a lo largo de todas las etapas del tratamiento recogida, uso, conservación y difusión.
Puede ampliar la información sobre este tema, accediendo a la Sección de Administración Electrónica de la Plataforma Corporativa de esPublico: un espacio de contenido especializado dedicado a facilitar la adaptación de las entidades locales a su actuación por medios electrónicos, así como a apoyar el proceso de transformación digital.
La Sección ofrece numerosos recursos explicativos, entre otros, guías didácticas, infografías interactivas, videotutoriales, diccionario de terminología digital, etc. Puede acceder a la Sección de Administración.
Puede acceder a la Sección de Administración Electrónica de esPublico, pulsando aquí.
