El Reglamento General de Protección de Datos (RGPD) establece en su artículo 5.1.c) que los datos personales deben ser adecuados, pertinentes y limitados a lo estrictamente necesario en relación con los fines para los que se recopilan y tratan. Esto implica que no se debe recoger información innecesaria o irrelevante, evitando así riesgos adicionales para los interesados.

El responsable del tratamiento tiene la obligación de identificar y determinar qué información es realmente imprescindible para cumplir con los fines previstos. En términos prácticos, esto supone realizar revisiones periódicas de formularios, procesos internos y sistemas de información, con el objetivo de eliminar o reducir al mínimo la recopilación excesiva de datos personales. Por ejemplo:

• Evitar la solicitud de datos sensibles salvo que sean estrictamente necesarios para la finalidad concreta.

• Utilizar listas predefinidas o menús desplegables en lugar de campos abiertos que permitan introducir información innecesaria o no controlada.

• Limitar la recopilación de datos únicamente a los elementos que permitan cumplir con la finalidad declarada.

Asimismo, es fundamental implementar medidas técnicas y organizativas que garanticen la privacidad desde el diseño. Entre estas medidas se incluyen:

• La privacidad por diseño y por defecto, incorporando la protección de datos desde la concepción de procesos y sistemas.

• La aplicación de técnicas de anonimización o seudonimización para reducir el riesgo asociado al manejo de datos personales.

• El establecimiento de controles de acceso basados en roles, asegurando que solo el personal autorizado pueda acceder a la información necesaria para sus funciones.

Por último, el responsable del tratamiento debe mantener un registro de actividades de tratamiento, documentando de manera detallada la finalidad de cada tratamiento y justificando la necesidad de los datos personales recopilados. Este registro no solo facilita la supervisión interna, sino que también demuestra cumplimiento frente a las autoridades de protección de datos.

En definitiva, la minimización de datos no es solo un requisito legal: es una práctica estratégica que protege a las personas y refuerza la reputación y la confianza en la entidad.

La entrada Principio de minimización de datos, claves para proteger los datos personales se publicó primero en Adaptación RGPD.

Los datos personales necesarios para el desarrollo de la relación laboral, podrían ser los siguientes, y a título solamente ejemplificativo, (según la guía de la AEPD): el nombre y apellidos de la persona trabajadora; sexo; número de DNI; número de afiliación de extranjero y de la Seguridad Social; nacionalidad; discapacidad y fecha de nacimiento.

Otros datos personales que no resultan imprescindibles para la ejecución de un contrato, se podrían tratar por el empleador con una base jurídica diferente a la del contrato, como podría ser el interés legítimo. Para ello, habría que analizar las características de cada relación laboral. Así, por ejemplo, la dirección de correo electrónico o el número de teléfono personal, son datos que permiten a la empresa localizar a su personal y contactar con ellos en caso necesario. El tratamiento será preciso ponderarlo caso por caso.

IMPORTANTE

El interés legítimo se tiene que demostrar debidamente aplicando los principios de ponderación y proporcionalidad.

La entrada Minimización de datos en las relaciones laborales se publicó primero en Adaptación RGPD.