En el artículo de hoy nos centraremos en:
1. El principio de minimización de datos –
Art. 5.1 c)” Los datos personales serán: (…) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados”.
También sobre este principio la norma europea establece limitaciones y aclaraciones para su correcta aplicación, como por ejemplo:
– En el considerando 156 se establece que “para el tratamiento de datos personales con fines de archivo en interés público, fines de investigación científica, histórica o fines estadísticos, además de ser un tratamiento supeditado a unas garantías adecuadas para los derechos y libertades del interesado de conformidad con el presente Reglamento, dichas garantías deben asegurar que se aplican medidas técnicas y organizativas para que se observe, en particular, el principio de minimización de los datos.” Es decir, el tratamiento ulterior de datos personales con los fines descritos ha de efectuarse cuando el responsable del tratamiento haya evaluado la viabilidad de cumplir esos fines mediante un tratamiento de datos que no permita identificar a los interesados, o que ya no lo permita.
A este respecto en el artículo 89 del RGPD se especifica aún más indicando que: “tales medidas podrán incluir la seudonimización, siempre que de esa forma puedan alcanzarse dichos fines. Siempre que esos fines pueden alcanzarse mediante un tratamiento ulterior que no permita o ya no permita la identificación de los interesados (…)”.
– Por otro lado y hablando de una protección de datos desde el diseño y por defecto, el artículo 25 del RGPD, nos indica que si bien se deberá tener en cuenta el estado de la técnica, el coste de aplicación, naturaleza, contexto y fines de tratamiento (…) en todo caso el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos (…).
2. El principio de exactitud –
Art. 5.d) “Los datos personales serán: exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan”.
En relación a la exactitud versus inexactitud de los datos, en el considerando 39 del RGPD entre otras cuestiones indica que “(…) para garantizar que los datos personales no se conservan más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su supresión o revisión periódica. Deben tomarse todas las medidas razonables para garantizar que se rectifiquen o supriman los datos personales que sean inexactos”.
Por último, el RGPD establece que: “el interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan (…)” (art.16).