Resulta tentador ver el RGPD como una larga, molesta y a veces enrevesada casilla de verificación del cumplimiento. Sin embargo, el RGPD pretende ser un modelo de buen gobierno de los datos y no una mera lista de lo que la ley debe y no debe hacer. Se puede examinar cada artículo, asegurarse de que se cumple y seguir adelante. O puede considerar el Reglamento como fuente de inspiración para estrategias que pueden ser beneficiosas además de conformes.
La semana pasada Miloš Novović y Rie Aleksandra Walle tocaron algunas reglas importantes de la buena gobernanza de datos en su impresionante podcast Grumpy GDPR, incluyendo la minimización de datos. Su discusión nos inspiró a escribir sobre ello también.
Queremos mostrar cómo la minimización de datos puede sentar las bases de estrategias inteligentes de gobierno de datos que aúnen privacidad, cumplimiento y decisiones empresariales acertadas.
- ¿Qué es la minimización de datos?
- ¿Puede menos ser más?
- Los datos no son el nuevo petróleo, sino las nuevas acciones
- ¿Cómo puedo minimizar mis datos?
- Conclusiones
Entremos en materia.
¿Qué es la minimización de datos?
La letra c) del apartado 1 del artículo 5 del RGPD dice así: "los datos personales serán (...) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que se traten". En una palabra: sólo debe recoger y tratar los datos que necesite. A esto se refieren los abogados de datos cuando hablan de minimización de datos.
La minimización de datos es uno de los principios básicos del RGPD y está estrictamente relacionada con otros principios como la limitación de la finalidad y la limitación del almacenamiento. La minimización de datos desempeña un papel crucial en el cumplimiento, pero hay más razones para tomarse en serio este principio.
¿Puede menos ser más?
La mayoría de las empresas tratan los datos como un activo: quieren la mayor cantidad posible de ellos. Es fácil tragarse esta actitud general y olvidar que los datos tienen un coste. Obviamente, los costes técnicos aumentan con el volumen de datos, tanto si el tratamiento se realiza internamente como si se subcontrata a un procesador.
Pero los costes operativos no son los únicos que hay que tener en cuenta. El tratamiento de datos personales conlleva unos elevados costes de cumplimiento. Los responsables del tratamiento tienen muchas obligaciones: deben responder a las peticiones de los interesados, ocuparse de la ciberseguridad y la seguridad de la organización, etcétera. Si recurren a un encargado del tratamiento, también deben asegurarse de que cumple el RGPD. Nada de esto es sencillo, y se vuelve más caro y complicado cuando se procesan más datos.
Los costes y riesgos de cumplimiento no dependen únicamente del volumen de los datos: su naturaleza también tiene un impacto significativo. Como regla general, cuanto más sensibles sean los datos, mayores serán los costes. Los datos de localización son más sensibles que la información de contacto, por lo que hay que establecer sistemas de seguridad más robustos para hacer frente a los riesgos. Esto es especialmente cierto para categorías específicas de datos sujetos a protección especial en virtud del RGPD, como los datos de salud, orientación sexual y creencias políticas. El tratamiento de estos tipos de datos también hace que el cumplimiento sea más gravoso para el responsable del tratamiento porque se aplican normas más estrictas.
Por último, cuantos más datos procese, más probable es que algo vaya mal en algún momento, y peor será su posición si eso ocurre. Supongamos que su empresa es investigada por cualquier motivo. En ese caso, lo último que quieres es que una autoridad de protección de datos descubra que has estado procesando datos que realmente no necesitas, ya que las DPA tienden a tomarse el principio de minimización de datos bastante en serio. Y, por supuesto, almacenar grandes cantidades de datos significa arriesgarse a una violación de datos más importante, que puede tener graves consecuencias y atraer una gran atención mediática no deseada hacia su empresa.
Los datos no son el nuevo petróleo, sino las nuevas acciones
La expresión "los datos son el nuevo petróleo" es ya un lugar común, pero podría decirse que las acciones son una metáfora mejor. Las acciones pueden hacerle ganar mucho dinero o hacerle perder mucho. Los inversores de éxito tienen una estrategia clara y son conscientes de los riesgos que asumen.
Los datos deben abordarse con la misma mentalidad. No hay que recopilar datos porque sí. Hay que preguntarse: ¿qué objetivo quiero conseguir procesando datos? ¿Qué datos necesito realmente para alcanzar ese objetivo? ¿Merece la pena correr el riesgo? ¿Realmente necesito todos los datos que ya tengo, o puedo beneficiarme borrando algunos?
Una mentalidad de minimización de datos puede ahorrarle dinero y quebraderos de cabeza, simplificar el aspecto técnico de su negocio y ayudar a su empresa a labrarse una reputación de buen gobierno de datos y respeto a la privacidad. Por último, pero no por ello menos importante, puede ayudar a construir una Internet mejor en la que cada comunicación, cada clic y cada interacción dejen de ser rastreados por una avaricia sin sentido.
¿Cómo puedo minimizar mis datos?
No hay una respuesta universal, pero hacerse las preguntas adecuadas puede ser un buen punto de partida:
- ¿qué datos personales trato?
- ¿con qué fin los trato?
- ¿los trato de forma que persigan esa finalidad?
- ¿durante cuánto tiempo almaceno los datos? ¿y cuánto tiempo necesito almacenarlos?
Por supuesto, es probable que procese distintos tipos de datos personales: por ejemplo, datos analíticos de su sitio web, información de contacto para su boletín, datos de empleados e información de pago de sus clientes. Es mejor pensar en cada uno de ellos por separado en lugar de mezclarlos todos.
La primera pregunta es probablemente la más difícil porque la definición de datos personales según el GDPR es complicada. Personal es algo más que información que identifica a alguien, como un nombre o un correo electrónico. No hace mucho abordamos este tema en nuestras preguntas frecuentes sobre el RGPD, pero apenas arañamos la superficie.
Ninguna de las preguntas es fácil y no pasa nada si aún no tiene todas las respuestas. No obstante, tenerlas en cuenta puede ayudarle a comprender mejor sus operaciones de tratamiento de datos, que es un punto de partida para minimizarlos. Una vez que tenga una idea algo clara, probablemente encontrará algunas oportunidades de mejora.
Por ejemplo, algunas API utilizan cookies y otras no. Tal vez algunas API de su sitio web puedan sustituirse fácilmente por otras menos invasivas con pocos o ningún inconveniente. Pero esto podría no ser evidente hasta que tenga una imagen completa de los datos que recoge su sitio web.
Conclusiones
Creamos Simple Analytics como respuesta a la invasión de la privacidad de Google Analytics. Creemos en una web independiente que sea amigable con los visitantes del sitio web. Si le parece bien, no dude en probarlo.