Las empresas y entidades recaban y almacenan grandes cantidades de datos personales, ya que éstos representan una información muy suculenta, puesto que los datos suponen hoy en día el mayor “tesoro” de las empresas. Pero estos datos que se recogen, a veces son datos especialmente protegidos, es decir, aquellos que están relacionados con la salud, la ideología, etc.
Por ello es muy importante que cada empresa o entidad piense si realmente le van a ser útiles y necesarios para el desarrollo de su actividad o la prestación de sus servicios, todos esos datos que tiene.
Porque esto no es una cuestión banal o de si se tienen más o menos datos, el problema radica en que una gran cantidad de datos, sobre todo si se tienen almacenados en diferentes bases de datos, ya sean propias o alojadas en servicios de prestadores externos y si no se tiene el control real de los mismos, puede dar lugar a problemas, ya que el recopilar y almacenar datos, conlleva una serie de responsabilidades legales.
Uno de los principios que establece el RGPD es el de Minimización de los datos, que consiste en lo siguiente: Los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
Por ello, toda empresa o entidad deberá llevar un control mucho más preciso en la recogida y uso de la información personal de los usuarios, con lo que deberá de tener en cuenta lo siguiente:
– Sólo podrá recoger los datos personales que vaya a tratar; ni más ni menos, y únicamente aquellos que sean estrictamente necesarios.
– Sólo podrá recogerlos cuando vayan a ser tratados. Es decir, no podrá hacerse con los datos de los usuarios o clientes para utilizarlos tiempo después. No es posible, según este principio, recabar y tratar datos simplemente por si pudieran resultar útiles o “por tenerlos”.
– Únicamente podrá tratarlos para la finalidad que haya declarado en los términos y condiciones. Es decir, que si los utiliza para cualquier otro fin, esto puede ser denunciado y penalizado.
Teniendo en cuenta este principio es conveniente que se establezcan una serie de costumbres a la hora de tratar los datos de los clientes o usuarios, como pueden ser entre otras:
– Tener establecidos unos criterios para la clasificación de los datos: la entidad deberá establecer los criterios que considere oportunos y necesarios y que mejor se adapten a sus circunstancias particulares (por ejemplo, según la utilidad de esos datos, ordenando los datos que se recogen y almacenan, quedándose únicamente con aquellos que realmente sean de utilidad para el funcionamiento de la empresa.)
– Tener implantadas una serie de políticas y procedimientos de seguridad que aplicará para cada tipo o categoría de datos, por ejemplo: limitar y controlar el acceso a los datos, cifrar la información, realizar copias de respaldo y restauración de datos, o firmar acuerdos de confidencialidad con proveedores y empresas externas que, para prestarle un servicio, necesitan acceder a datos de los que la empresa es responsable.
– Revisión y actualización, es necesario realizar revisiones de seguridad, para comprobar que realmente se están tomando las medidas de seguridad adecuadas para proteger la información de la que dispone la empresa o entidad.
