Principio de minimización
Home » IdC » Gobernanza de los datos: principios de minimización, limitación de la finalidad y limitación del almacenamiento » Principio de minimización

El principio de minimización establece que los datos personales deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que se tratan (véase “Minimización de datos”, en la sección “Principios” de la Parte II de estas Directrices). En términos sencillos, significaría reducir al máximo la cantidad, las categorías y la granularidad de los datos personales que se tratan. Esto significa que no se podrán recoger datos personales que no vayan a ser tratados simplemente para que el responsable del tratamiento pueda tenerlos y utilizarlos en el futuro, ya sea para los fines declarados o para otros nuevos. Por desgracia, este principio entra a veces en tensión con la lógica de la tecnología de la IdC. A veces, la inferencia de datos y la elaboración de perfiles son necesarias para los fines del sistema, pero multiplican la cantidad de datos implicados en el tratamiento. Además, la mayoría de los sistemas de IdCprocesan muchos datos personales entre dispositivos que a menudo están bajo el control de procesadores alternativos y/o implican a terceros.

Hay algunas formas de evitar los escenarios omnipresentes. Si la finalidad del tratamiento puede obtenerse sin necesidad o con información identificable, los datos deben hacerse anónimos lo antes posible. En principio, los sistemas de IdC deberían promover el uso de datos anonimizados, especialmente si esos datos se comparten con otros dispositivos. “Dado que difícilmente se puede evitar la posibilidad de construir amplios perfiles personales, la anonimización de los datos es importante en el contexto del intercambio de datos”.[1] En principio, esto parece factible, pero en la práctica podría ser difícil de alcanzar. Como afirma la AEPD, “la vinculación de los dispositivos de la IdCcon identificadores únicos, unida a los estrechos vínculos entre determinados dispositivos y sus usuarios, hacen prácticamente imposible utilizar esos datos de forma anónima, y el riesgo de reidentificación se dispara. Por ejemplo, muchos dispositivos requieren el registro del usuario o incluyen identificadores únicos de publicidad, como televisiones inteligentes. La vinculación de los identificadores únicos en los dispositivos móviles es un hecho probado, y dichos dispositivos se utilizan ampliamente para interactuar con los dispositivos de la IdCy operarlos”.[2] Así pues, los responsables del tratamiento no deben dar por sentado que sus procesos de anonimización servirán para preservar la privacidad de los interesados. De hecho, deberían llevar a cabo una EIPD y evaluaciones de riesgo para garantizar dicha creencia (véase la responsabilidad en esta parte de las Directrices).

A este respecto, los responsables del tratamiento deben ser conscientes de que la captación de datos personales que luego se convierten en anónimos supone un tratamiento de datos personales, hasta que dichos datos hayan finalizado el proceso de anonimización, por poco que sea ese lapso de tiempo. Además, la anonimización es un tratamiento, lo que significa que sólo puede ser lícito si se aplica una base jurídica. El interés legítimo o el consentimiento son los candidatos más prometedores. Una vez anonimizados los datos, el tratamiento ya no debe cumplir los requisitos de protección de datos personales. Puede seguir entrando en la normativa sobre privacidad electrónica, pero de forma más diluida.

Una alternativa a la anonimización como tal es el uso de datos agregados (a veces la agregación se considera una herramienta de anonimización). Esto debería ser alcanzable en la mayoría de los sistemas de IdC, ya que la mayoría de los valores de datos con los que tratamos son una forma de agregación, aunque esto pueda no ser evidente ya que puede hacerse de forma “invisible” por algún sensor o método de recogida de datos. La agregación es una forma de sustituir varios elementos de datos por uno solo. Los principales ejemplos provienen de la estadística e incluyen la media, la mediana, el mínimo y el máximo. En el contexto de la protección de datos, hay que distinguir dos tipos de agregación (véase “Minimización de datos” dentro de los “Principios”, Parte II de estas Directrices):

  • Agregación de elementos de datos pertenecientes a una sola persona: Tomar, por ejemplo, los ingresos mensuales medios de una persona a lo largo de un año reduce el contenido de la información correspondiente a esa persona.
  • La agregación de elementos de datos pertenecientes a una multitud de personas: Tomar, por ejemplo, la renta media anual sobre un grupo de personas también reduce el contenido global de la información (minimización de datos). Además, también debilita el grado de asociación entre un elemento de datos y una persona determinada. Por lo tanto, este tipo de agregación también es pertinente para la limitación del almacenamiento.

Cuando la finalidad pueda alcanzarse utilizando datos agregados, deberá aplicarse. En tales circunstancias, nadie más que el sujeto de los datos debería acceder a los datos brutos, a menos que se aplique una razón pertinente. La transformación de los datos brutos en datos agregados debe ser posible en la herramienta de la IdC, de modo que el material bruto que sale del dispositivo siga siendo el mínimo estrictamente necesario. Estos datos agregados deben estar en un formato estandarizado”.[3] En cualquier caso, los responsables del tratamiento deben ser conscientes de que recopilar datos y eliminarlos después de un pequeño lapso de tiempo, incluso de milisegundos, sigue constituyendo un tratamiento de datos personales y se requiere el pleno cumplimiento de las normas de protección de datos.

Si la finalidad del tratamiento sólo puede obtenerse mediante el tratamiento de datos personales, dichos datos pueden convertirse en seudónimos. Esto seguirá entrando en las normas de protección de datos y privacidad, pero supone una buena medida de seguridad y mejora la responsabilidad.

Un tema importante a destacar es el hecho de que un controlador no debe crear, recoger y almacenar datos “por si acaso”. Es decir, datos almacenados para el caso de que en un futuro surja una nueva idea que requiera dichos datos para desarrollar un proyecto diferente. En este caso, el almacenamiento de los datos durante más tiempo del necesario y la reutilización de los datos de forma ilícita puede dar lugar a las multas más elevadas.

Por último, pero no por ello menos importante, los desarrolladores de IdC “deberían habilitar entidades locales de control y procesamiento (los llamados proxies de privacidad personal) que permitan a los usuarios tener una visión clara de los datos recogidos por sus dispositivos y faciliten el almacenamiento y procesamiento local sin tener que transmitir los datos al fabricante del dispositivo.”[4]

 

 

  1. Rolf H. Weber, “Internet of Things: Privacy Issues Revisited’ (2015) 31 Computer Law & Security Review 618.
  2. AEPD, “IoT (I): Qué es IoT y qué riesgos conlleva”, en: https://www.aepd.es/en/prensa-y-comunicacion/blog/iot-%20and-which-risks-does-it-entail
  3. Art. 29 Dictamen 8/2014 del Grupo de Trabajo de Protección de Datos sobre la evolución reciente de la Internet de los objetos (16 de septiembre de 2014) https://www.dataprotection.ro/servlet/ViewDocument?id=1088.
  4. Dictamen 8/2014 del Grupo de Trabajo del Artículo 29 de Protección de Datos sobre la evolución reciente de la Internet de los objetos (16 de septiembre de 2014) https://www.dataprotection.ro/servlet/ViewDocument?id=1088.

 

Ir al contenido