Es muy difícil dar un único consejo para empezar a hacer entender la protección de datos. Es imposible, de hecho. Este ámbito es tan amplio y permite aproximaciones tan diversas que establecer un primer paso unívoco y general sería incluso temerario.
Sin embargo, puestos a enseñar las cartas, puesto que no podemos guardar el as para el final, que puede ser muy diversa, podemos poner el foco en primera instancia en uno de los conceptos más relevantes del Reglamento General de Protección de Datos (RGPD), la minimización.
Sólo lo necesario y que esté justificado. El principio de la minimización del tratamiento de datos personales es crucial en la salvaguardia de la privacidad de los ciudadanos europeos en la era digital, y aunque es esencial, a menudo es olvidado o ignorado por muchas empresas. Sin embargo, asumir la minimización de datos no sólo es una obligación legal, sino también una práctica empresarial responsable que puede generar confianza y mejorar las relaciones con los clientes.
La minimización de datos implica recopilar, procesar y almacenar sólo la información personal estrictamente necesaria para una finalidad específica. Hay que tenerlo siempre presente, sea cual sea la actividad empresarial, porque será extraño no tener que tomar una decisión en esta línea en muchos momentos de todo tipo de empresas, instituciones o asociaciones.
Sin ir más lejos, los típicos formularios de registro de clientes, que incluyen nombres, direcciones o números de teléfono, deben garantizar que esta información sea necesaria para el servicio o producto que ofrecen. Una librería online puede necesitar estos datos obligatoriamente para servir un pedido, pero el género, la edad, las preferencias de su ocio o el estado civil, información no esencial para la transacción, es mejor evitarlo.
Quizás haya oído hablar recientemente del caso de las fotocopias de los DNI para según qué trámites, a raíz de una publicación al respecto de la Agencia Española de Protección de Datos, o del escaneo de las huellas digitales para acceder a las oficinas o gimnasios.
Para garantizar el cumplimiento del principio de minimización de datos, podemos tener presentes diversas buenas prácticas que deben empezar por una revisión exhaustiva de todos los procesos de recopilación, almacenamiento y procesamiento de datos para identificar y eliminar información no necesaria. Y cómo minimizar no significa que sean pocos, porque a veces los datos necesarios pueden ser muchos e, incluso, sensibles, lo siguiente es asegurar la implementación de controles de acceso para garantizar que sólo el personal autorizado tenga acceso a todas aquellas datos personales. Si además conseguimos cierto nivel de anonimización y pseudonimización para proteger los datos, ya tendremos un paso de gigante alcanzado. Sobre todo, pensando que cumplir con el principio de minimización de datos no es sólo un requisito legal, sino también una práctica ética y responsable y eso, hoy, tiene un valor también.