Los principios del Reglamento (UE) General de Protección de Datos (2); en particular, el de minimización de datos

Carles San José i Amat, jefe del Área de Inspección de la Autoridad Catalana de Protección de Datos y profesor de la asignatura “Acceso a la documentación. Protección de datos” del Máster en Archivística y Gestión de Documentos (ESAGED-UAB)

seudonimizacion

.

En este artículo continuo el análisis de los principios a tener en cuenta en el tratamiento de datos personales, recogidos en el art. 5 del nuevo Reglamento General de Protección de Datos (RGPD), después de haberme referido al principio de licitud, lealtad y transparencia (art. 5.1.a), y al de limitación de la finalidad (art. 5.1.b).

Me centraré aquí en el principio de minimización de datos, respecto al cual el art. 5.1.c) determina que los datos personales deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados. Este principio debe conectarse con en el de calidad previsto en el art. 4 de la LOPD, en su vertiente de principio de proporcionalidad, según el cual los datos personales sólo se pueden recoger y/o tratar cuando sean adecuados, pertinentes y no excesivos. El principio de minimización está a su vez relacionado con un concepto nuevo que ha introducido el RGPD, el de la “seudonimización”, y que se define en el art. 4.5 en la forma siguiente: “el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable”.

Este nuevo concepto de la seudonimización no debe confundirse con el de “Dato disociado” que se ha venido utilizando y que estaba definido en el art. 5.1.e del RLOPD, referido al que “no permite la identificación de un afectado o interesado”, como resultado de haber sometido el dato a un “procedimiento de disociación” (art. 3.f LOPD), de modo que tal desvinculación entre la información y la persona a la que iba asociada, deviene irreversible, y en consecuencia, su tratamiento no estaría sometido a las obligaciones y garantías de la legislación de protección de datos, puesto que estaríamos ante datos “anonimizados” (siempre que la disociación sea efectiva, de manera que resulta imposible la reidentificación).  En cambio, el dato seudonimizado sometido a tratamiento por parte del responsable, aparece desvinculado de la persona a la que se refiere, al haber sustituido el dato identificativo (por ejemplo nombre y apellidos) por un código o clave, si bien sería posible la vinculación de la información a la persona afectada si se utiliza información adicional que está debidamente custodiada. En consecuencia, el dato seudonimizado sí quedaría sometido a la legislación de protección de datos, si bien es una manifestación evidente del “principio de minimización de datos” patrocinado por el RGPD.

Anuncios

Un comentario en “Los principios del Reglamento (UE) General de Protección de Datos (2); en particular, el de minimización de datos

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s