Los dispositivos deben programarse de forma que se minimice el tiempo que almacenan los datos: sólo deben conservar los datos durante el tiempo estrictamente necesario para alcanzar su objetivo (véase la subsección “Limitación del periodo de almacenamiento en la parte “Principios” de estas directrices). Por supuesto, esto dependerá probablemente del objetivo que requiera la aplicación. El almacenamiento sólo es aceptable si es necesario para alcanzar el objetivo de la herramienta. Por ejemplo, si una aplicación está destinada a hacer un seguimiento de una persona que padece la enfermedad de Alzheimer, en caso de que se desvíe por los efectos de la enfermedad, probablemente habrá que borrar los datos con mucha frecuencia. Si pensamos en un dispositivo destinado a ayudar a los usuarios a saber si han estado cerca de alguien que padece una enfermedad infecciosa, los datos deberán conservarse durante días o semanas.

No hay que olvidar que un Identificador Único de Dispositivo (UDID por sus siglas en inglés) atribuido aleatoriamente, como un número único, sólo debe almacenarse con fines operativos, durante el tiempo que sea necesario para los fines del tratamiento. “Después de ese periodo, este UDID debería ser anonimizado teniendo en cuenta que la verdadera anonimización es cada vez más difícil de realizar y que los datos de localización combinados podrían seguir dando lugar a una identificación. Este UDID no debería poder vincularse a UDID anteriores o futuros atribuidos al dispositivo, ni a ningún identificador fijo del usuario o del teléfono (como una dirección MAC, un número IMEI o IMSI o cualquier otro número de cuenta).”^[1]

Lista de control: limitación del periodo de almacenamiento  El historial de contactos o los datos de localización almacenados en el servidor central se eliminan cuando ya no son necesarios para los fines del tratamiento.  El procedimiento de supresión de datos está adecuadamente diseñado y el responsable y los usuarios lo conocen bien.  Cualquier identificador incluido en el historial local se borra después de X días desde su recogida (el valor de X viene definido por la finalidad del tratamiento).  Los datos de los registros del servidor se minimizan y cumplen con los requisitos de protección de datos  Si hay un servidor central y éste necesita almacenar identificadores de datos, éstos deben ser eliminados una vez que se distribuyen a las demás aplicaciones, a menos que una razón legal/técnica recomiende lo contrario.

 

 

1. Grupo de Trabajo del Artículo 29 (2011) Dictamen 13/2011 sobre los servicios de geolocalización en los dispositivos móviles inteligentes, adoptado el 16 de mayo de 2011. 881/11/ES WP 185, disponible en: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2011/wp185_es.pdf ↑