top of page
Buscar

Lecciones del Caso Banorte: La Importancia del Principio de Proporcionalidad y la Minimización de Datos en la Protección de Información Personal.


Principio de proporcionalidad y minimización en protección de datos
Multa a Banorte por recolección indebida de datos personales

El caso reciente de Banorte, que resultó en una multa millonaria de más de 32 millones de pesos por la gestión indebida de datos personales en un contrato de crédito automotriz, ha puesto en el foco los principios de proporcionalidad y minimización en el tratamiento de información. La denuncia fue presentada cuando se descubrió que Banorte recolectó información sensible sobre la salud del cónyuge de la solicitante del crédito, quien ni siquiera formaba parte del contrato, y almacenó esta información sin justificación válida en sus sistemas. Este manejo inadecuado reveló una infracción importante: la recopilación de datos excedió los límites necesarios para el objetivo del crédito y no se justificó en la finalidad original. ¿Qué sucede cuando una organización recolecta más datos de los necesarios o utiliza información sensible sin justificación? Este artículo explora cómo el principio de proporcionalidad y el criterio de minimización actúan como salvaguardas en la protección de datos personales y cómo el incumplimiento de estos puede llevar a consecuencias legales y a una pérdida de confianza del cliente.


Principio de Proporcionalidad: Un Pilar en la Protección de Datos

El principio de proporcionalidad se basa en la idea de que una organización solo debe recolectar y utilizar los datos personales necesarios para cumplir con sus objetivos específicos y legítimos. Este principio está consagrado en normativas de protección de datos de alcance global, como el Reglamento General de Protección de Datos (RGPD) en la Unión Europea, y es adoptado por legislaciones de protección de datos en países de América Latina, como México.


  • Necesidad: Los datos personales tratados deben ser esenciales para el propósito del tratamiento. Por ejemplo, si un banco necesita evaluar la solvencia de un cliente para otorgarle un crédito, la información financiera es relevante, pero no lo es su historial médico o sus datos familiares, a menos que sean parte del análisis de riesgo.


  • Adecuación: La información debe tener una relación directa con el fin que se busca alcanzar. En el caso de Banorte, la recolección de datos sobre la salud de un cónyuge que no formaba parte del crédito es una acción desproporcionada y sin relevancia para el objetivo del contrato.


  • Relevancia: Los datos deben ser los idóneos y exactos para cumplir con la finalidad. Recolectar información adicional que no tiene impacto directo en la decisión crediticia va en contra de este principio.


El principio de proporcionalidad se enfoca en prevenir el tratamiento excesivo y arbitrario de datos, asegurando que las organizaciones justifiquen por qué cada dato es necesario. Sin este fundamento, el consentimiento del titular puede ser considerado viciado, pues se da bajo la impresión errónea de que toda la información solicitada es indispensable para el servicio o producto solicitado.


Criterio de Minimización: Solo lo Estrictamente Necesario

El criterio de minimización complementa la proporcionalidad al requerir que las empresas reduzcan al mínimo la cantidad de datos recolectados y tratados. La minimización significa que se deben recolectar solo aquellos datos que son estrictamente necesarios para cumplir con la finalidad.


  • Supresión de Datos Innecesarios: Una vez que los datos han cumplido su función, deben ser eliminados. En el caso de Banorte, la retención de datos sensibles del cónyuge en sistemas y archivos sin una razón válida va en contra de la minimización.


  • Análisis de Necesidades: Las organizaciones deben realizar auditorías periódicas de los datos recolectados para asegurar que no estén almacenando más información de la necesaria. Esto implica un esfuerzo consciente para ajustar sus prácticas de recolección y tratamiento de datos, evitando el almacenamiento de datos redundantes o excesivos.


Este criterio no solo reduce la exposición a riesgos de privacidad, sino que también limita el alcance de la responsabilidad del responsable de datos en caso de un incumplimiento normativo.


Caso Banorte: Un Ejemplo Práctico

El caso de Banorte representa un ejemplo claro de cómo la falta de aplicación de los principios de proporcionalidad y minimización puede llevar a sanciones. Banorte, al recolectar información médica sobre el cónyuge de la denunciante sin justificación, violó el principio de proporcionalidad al tratar datos irrelevantes para la finalidad del crédito automotriz. Además, almacenó esta información en sistemas internos sin justificar su necesidad, violando el criterio de minimización.


  • Recolección sin Justificación: La información de salud del cónyuge no era necesaria para evaluar la viabilidad del crédito. Este tipo de datos sensibles exige no solo el consentimiento expreso, sino también una justificación concreta de su recolección. En este caso, el consentimiento habría sido inválido, ya que la recolección de esta información fue innecesaria para el propósito original.


  • Consecuencias Legales: Banorte fue sancionado con una multa de más de 32 millones de pesos, lo que subraya las consecuencias de una política de datos personales mal diseñada. La falta de proporcionalidad y minimización no solo resultó en sanciones económicas, sino también en una potencial pérdida de confianza por parte de sus clientes.


Buenas Prácticas para la Aplicación de Proporcionalidad y Minimización.

A continuación, se presentan algunas prácticas recomendadas para aplicar estos principios en la recolección de datos:


  1. Definición Clara de Finalidades: Establecer finalidades específicas y legítimas para el tratamiento de datos ayuda a reducir la cantidad de información recolectada.


  2. Auditorías Regulares de Datos: Evaluar los datos almacenados permite asegurar que los datos sean necesarios y relevantes. Cualquier dato que no cumpla con el principio de proporcionalidad debe ser eliminado.


  3. Uso de Consentimiento Informado y Específico: Solicitar consentimiento informado sobre el propósito específico de cada dato recolectado y explicar claramente si algún dato es opcional.


  4. Limitación del Acceso a Datos Sensibles: Minimizar el acceso a datos sensibles dentro de la organización, lo que ayuda a mitigar el riesgo en caso de incidentes de seguridad.


Estas prácticas no solo cumplen con la normativa de protección de datos, sino que también refuerzan la confianza de los usuarios en la gestión responsable de sus datos personales.


Conclusión

La aplicación del principio de proporcionalidad y el criterio de minimización son fundamentales para una gestión de datos personales ética y conforme a la normativa. El caso de Banorte nos recuerda que la recolección y almacenamiento de datos sensibles sin justificación no solo conlleva sanciones legales, sino también una pérdida significativa de confianza de los clientes. Las organizaciones deben comprometerse a recolectar y retener únicamente la información estrictamente necesaria, respetando el derecho de los individuos a la privacidad y evitando el almacenamiento de datos irrelevantes.


Para profundizar en estrategias de protección de datos personales y asegurarte de que tu empresa cumpla con los principios de proporcionalidad y minimización, te invito a descargar mi eBook gratuito "25 Estrategias Empresariales para Proteger los Datos Personales" aquí: Descargar eBook




Comments

Gustavo Montaño

Abogado especialista en Privacidad, Protección de Datos Personales y Derechos Digitales.

Aviso de Privacidad

Redes Sociales

Suscríbete 

  • LinkedIn
  • Twitter
  • Facebook

Gracias por suscribirte!

© 2024  by Gustavo Montaño

bottom of page