Los datos personales han de ser adecuados, pertinentes y no excesivos con la finalidad para la que se recogen, tampoco se puede utilizar para finalidades incompatibles con aquellas para la que se recogieron.
Ya lo dice la Ley de Protección de Datos, solicitar y tratar sólo la información que nos sea necesaria para el fin previsto permite a la entidad cumplir con el principio de calidad de los datos establecido en el art. 4 LOPD. Además, el obtener sólo los datos que necesitamos nos ayudará a una buen gestión de esos datos, evitando trabajos y procesos duplicados o triplicados que pueden tener como consecuencia pérdidas de información o tratamientos contradictorios. El análisis previo de nuestros flujos informativos y su necesidad para la entidad debe conducirnos a una optimización de las labores administrativas o comerciales que lleven a cabo los trabajadores. Del mismo modo, cuanta más información no necesaria, mayor descontrol y más esfuerzos en seguridad deberemos emplear.
Saber lo que necesitamos supone poder definir una finalidad legal del tratamiento de los datos. De esta finalidad derivará la información previa que tendremos la obligación de hacer llegar a los afectados (clientes, futuros clientes, usuarios y trabajadores), o inclusive la obligación de obtener de ellos el consentimiento previo para el uso de los datos personales.
La finalidad legal de uso de los datos personales nos vendrá marcada por la cláusula legal que utilicemos en el momento de la obtención de los datos. Un uso más allá de lo que los afectados saben nos llevará a incumplir la LOPD. No resulta reiterativo informar de dónde podemos encontrar el régimen aplicable a la obtención legal de los datos, que se define en los art. 5 y 6 de nuestra normativa de referencia.
Cancelación de los datos
Una vez los datos ya no nos resulten útiles para los fines legítimos, deberemos de eliminarlos de nuestros sistemas, salvo que tengamos otra obligación legal de conservación, en cuyo caso podremos bloquearlos en el sistema de información, estando exclusivamente al alcance del responsable del mismo. De acuerdo con la Ley de Protección de Datos este proceso debe realizarse «de oficio» sin esperar a que el afectado nos lo solicite.
Alberto Martínez, autor de este post, es abogado de Zaragoza especialista y auditor de protección de datos.