Les entitats locals, com a responsables del tractament, han de complir la normativa de protecció de dades, ja que a l’exercici de la seva tasca administrativa diària utilitzen gran quantitat de dades de caràcter personal. Una de les seves obligacions és l’aplicació dels principis generals en matèria de protecció de dades, atès que estableixen les bases del compliment d’aquesta normativa. Aquests principis són aquell conjunt de regles que determinen com s’han de recollir, tractar i cedir les dades de caràcter personal per part dels responsables del tractament. Un d’aquests principis és el principi de minimització de dades personals, inclòs com a novetat al Reglament 2016/679 del Parlament Europeu i del Consell, de 27 d’abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades i pel qual es deroga la Directiva 95/46/CE (d’ara endavant, Reglament UE 2016/679).
En què consisteix l’aplicació del principi de minimització de dades?
El principi de minimització de dades es defineix a l’article 5.1 c) del Reglament UE 2016/679 com la garantia que únicament s’estan tractant les dades necessàries per a les finalitats específiques del tractament. L’entitat local ha de complir el principi de minimització de dades pel que fa a utilitzar les dades personals mínimes per a les finalitats del tractament.
L’entitat local ha de tenir en compte aquest principi en tot tractament de dades (recollida, registre, organització, estructuració, conservació, adaptació o modificació, extracció, consulta, utilització, comunicació per transmissió, difusió o qualsevol altra forma d’habilitació d’accés, confrontació o interconnexió, limitació, supressió o destrucció) però ha de prestar atenció especial a l’hora de cedir o publicar dades de caràcter personal a causa de la transcendència que pot suposar aquest incompliment en cas de cessió o publicació de dades personals.
Per tant, en aplicació del principi de minimització de dades, les dades personals objecte de tractament per part de l’entitat local han de tenir tres característiques:
- Dades adequades: han d’aportar informació relacionada amb la finalitat per la qual es tracten.
- Dades pertinents: han de ser imprescindibles per a les finalitats dels tractaments; és a dir, no ho seran si per al tractament se’n pot prescindir.
- Dades limitades al que és necessari: s’han de tractar únicament les dades necessàries per al tractament; és a dir, no s’han de tractar de dades excessives.
Les administracions públiques han de complir el principi de minimització de dades: únicament s’han de tractar dades adequades, pertinents i limitades al que sigui necessari.
Les entitats locals, amb consciència d’aquestes característiques, han d’adoptar les mesures necessàries per complir-les en el tractament de les dades personals. Aquestes mesures es fonamenten en l’aplicació de la privacitat des del disseny i per defecte.
El principi de minimització de dades mitjançant la privacitat des del disseny i per defecte
Per al compliment del principi de minimització de dades és important fer atenció al principi de la privacitat des del disseny i per defecte recollit a l’article 25 del Reglament UE 2016/679, ja que estan estretament relacionats entre ells.
- La privacitat des del disseny té com a objecte establir les mesures necessàries des de les primeres etapes del disseny de productes i serveis per aplicar de manera efectiva els principis de tractament de dades, en especial del principi de minimització de dades. L’entitat local ha de decidir des de l’inici quines dades personals tractarà, com les tractarà i quant temps les conservarà.
Dins de les mesures que tot responsable pot tenir en compte per complir el principi de minimització de dades en aplicació de la privacitat des del disseny podem trobar:
- Establir criteris de recollida limitats a la finalitat que persegueix el tractament.
- Limitar l’ús de les dades personals a les finalitats per a les quals es van recollir i assegurar-se que hi ha una base legitimadora del tractament.
- Restringir els accessos a les dades personals als interessats i segons la funció que exerceixin mitjançant la creació de perfils d’accés diferenciats.
- Definir terminis estrictes de conservació i establir mecanismes operatius que en garanteixin el compliment.
- Crear barreres tecnològiques i procedimentals que impedeixin la vinculació no autoritzada de fonts de dades independents.
- La privacitat per defecte busca limitar l’ús de dades personals únicament al que és estrictament necessari per a cada una de les finalitats del tractament. Per implantar les estratègies de la privacitat per defecte, l’article 25.2 del Reglament UE 2016/679 estableix les mesures següents:
- Anàlisi del tractament (quantitat de dades): és necessari analitzar els tipus i la quantitat de dades que s’obtenen amb un criteri de minimització en funció dels productes i serveis seleccionats per l’usuari. És a dir, és convenient que l’entitat local dugui a terme una anàlisi objectiva i racional de cada tractament de dades personals.
L’entitat local quan recull dades de l’interessat s’ha de preguntar: Cal conèixer aquesta dada per dur a terme amb èxit l’activitat que durem a terme?
- Reduir l’extensió del tractament: cal reduir l’extensió del tractament i eliminar les dades que no siguin necessàries. Només s’obtenen exclusivament dades indispensables, i s’ha de rebutjar tota la informació irrellevant o que s’extralimiti de la finalitat del tractament de dades.
- Limitar el termini de conservació: s’han de conservar les dades mentre siguin necessàries per al compliment de la seva finalitat; és a dir, si una dada personal ja no es necessita després d’executar una fase del tractament, aquesta dada s’ha de suprimir.
- Accessibilitat: el responsable del tractament ha d’establir qui pot accedir a les dades personals. El grau d’accessibilitat a les dades s’ha d’establir a partir d’una anàlisi de necessitats per complir amb la finalitat del tractament.
Així, doncs, l’entitat local ha d’establir una configuració de la privacitat des del disseny i per defecte dels tractaments de dades personals que sigui respectuosa amb els principis de protecció de dades, advocant per un tractament mínimament intrusiu: quantitat mínima de dades personals, extensió mínim del tractament, termini de conservació mínim i accessibilitat mínima a dades personals.
En definitiva, les administracions públiques han de complir el principi de minimització de dades a l’hora de tractar dades personals, mitjançant l’adopció de les mesures necessàries per garantir aquest compliment. Per a això, és important tenir en compte l’aplicació del principi de privacitat des del disseny i per defecte, minimitzant les dades personals de l’entitat al llarg de totes les etapes del tractament, recollida, ús, conservació i difusió.
Podeu ampliar la informació sobre aquest tema accedint a la secció d’administració electrònica de la plataforma corporativa de esPublico: un espai de contingut especialitzat dedicat a facilitar l’adaptació de les entitats locals a la seva actuació per mitjans electrònics, així com a donar suport al procés de transformació digital.
La secció ofereix nombrosos recursos explicatius, entre d’altres, guies didàctiques, infografies interactives, videotutorials, diccionari de terminologia digital, etc.
Podeu accedir a la secció d’administració electrònica de esPublico prement aquí.