La minimización de datos se volvió real con el primer aviso de aplicación de la CCPA ISMS.online

La minimización de datos se volvió realidad con el primer aviso de aplicación de la CCPA

Por Danny Bradbury • 30 May 2024

Hay una cláusula en la Ley de Protección al Consumidor de California (CCPA) sobre minimización de datos que los Rolling Stones podrían haber escrito. Dice que, como empresa, no siempre puedes obtener los datos que deseas, pero obtienes los que necesitas. La minimización de datos significa únicamente recopilar datos suficientes para el propósito necesario, y nada más. Como ejemplo extremo, si desea enviar a alguien un boletín electrónico, se le permitirá solicitar su dirección de correo electrónico, pero no una copia escaneada de su licencia de conducir.

Seis años después de exigir la minimización de datos en la ley, la Agencia de Protección de la Privacidad de California (CPPA) ha emitido una aviso de cumplimiento explicando cuán en serio se toma este tema.

La CCPA permite a los consumidores solicitar a las organizaciones acceso a los datos que tienen sobre ellos y corregirlos o eliminarlos cuando sea necesario. El aviso del 2 de abril informa que muchas organizaciones han estado pidiendo demasiada información al cumplir con estas solicitudes. El mensaje es claro: córtalo.

Hacer lo que hacen los europeos

El enfoque de la CPPA aquí refleja fielmente el de Europa, según Odia Kagan, socia y presidenta de Práctica de Privacidad Internacional y Cumplimiento del RGPD en Fox Rothschild LLP.

"La regla de no utilizar la información que se obtiene en relación con las solicitudes para otros fines y recopilar sólo lo que se necesita es exactamente la misma en Europa", explica a ISMS.online. "Tenemos orientación de la Autoridad Europea de Protección de Datos al respecto".

Entonces, ¿por qué las empresas no aplican simplemente la minimización de datos como se solicita al procesar las solicitudes? No es una obviedad, señala Kagan; es un equilibrio entre comodidad y seguridad. Es particularmente importante al procesar solicitudes de acceso y eliminación de información.

"Eliminar y acceder son más importantes porque estás brindando información que podría ser riesgosa para la persona si se ve comprometida", afirma.

Los datos de geolocalización son un buen ejemplo. Si alguien se hace pasar por el legítimo propietario de los datos de geolocalización y solicita acceso, podría descubrir información sensible. Como señala Kagan, esto podría incluir si fueron a una clínica de abortos, un tema particularmente delicado en los Estados Unidos hoy en día.

Las solicitudes de eliminación también son riesgosas. "¿Qué pasa si alguien solicita eliminar fotos familiares?" ella agrega. Es posible que la eliminación de fotografías desde un vehículo no ponga en peligro la vida, pero sigue siendo muy perturbadora y potencialmente perjudicial desde el punto de vista legal para el titular de los datos.

La suplantación de identidad es una amenaza real

La suplantación de identidad al realizar solicitudes de acceso a datos es una amenaza real, como lo demostró el investigador de la Universidad de Oxford James Pavur en 2019. Con el permiso de su prometida, fingido ser ella al presentar solicitudes de acceso a datos bajo las regulaciones GDPR.

Casi una cuarta parte de las 83 empresas con las que contactó que tenían datos los proporcionaron sin verificar su identidad en absoluto, mientras que el 16% solicitó un tipo de identificación fácilmente falsificada. Le entregaron los resultados de la verificación de antecedentes penales, junto con los registros de viaje y las calificaciones escolares.

Las empresas deben hacer su debida diligencia, pero no deben ser demasiado restrictivas, explica Kagan.

“No conviene complicar demasiado la ejecución de una solicitud ni verse implicado con datos sensibles”, señala. Recopilar demasiados datos confidenciales para verificar la identidad de alguien no sólo lo pone en riesgo de sufrir acciones regulatorias; también corre el riesgo de sufrir una mayor responsabilidad si esos datos de verificación se violan posteriormente.

Cómo caminar por la línea

Entonces, ¿cómo pueden las empresas seguir la línea sin traspasarla? El aviso de aplicación proporciona dos ejemplos de cómo las empresas que reciben solicitudes pueden cumplir con estas reglas.

El primer ejemplo es una solicitud de exclusión voluntaria de la venta de información personal. Este es el más fácil de navegar, porque el procesamiento de solicitudes de exclusión voluntaria no requiere ninguna verificación de identidad según la CCPA. Sólo necesita la información necesaria para hacer referencia al cliente, como una dirección de correo electrónico.

El segundo ejemplo implica que alguien le pide a una empresa que elimine su información personal cuando no tiene una cuenta en la organización. Esta empresa tiene que verificar la identidad del individuo.

Las preguntas más básicas se exponen en 11 CCR § 7002(c)-(d) y son esencialmente estos:

¿La información que estamos recopilando es más que el mínimo que necesitamos?
¿Cuáles son los posibles impactos negativos sobre las personas al recopilar o procesar la información?
¿Existen salvaguardas (como el cifrado o la eliminación automática) que puedan proteger a los consumidores?

En los ejemplos dados, el aviso advierte a las empresas que se pregunten si necesitan recopilar más información de la que ya tienen del consumidor. La CCPA generalmente desaprueba solicitar más información para verificación a menos que sea absolutamente necesario, y les dice a las empresas que la eliminen si la recopilan.

Hora de prepararse

Kagan advierte a sus clientes que se preparen para estas preguntas realizando un análisis de riesgos. Esto incluye evaluar los datos que la organización tiene sobre el individuo, junto con la sensibilidad de esos datos. Pueden determinar el nivel apropiado de autenticación dada la naturaleza de la solicitud y pueden decidir si pueden utilizar los datos que ya tienen para ayudar a autenticar a una persona.

Las empresas deberían tomarse en serio la minimización de datos, afirma, ya que se está convirtiendo en una cuestión clave en el manejo de datos. La Oficina del Comisionado de Información del Reino Unido (ICO) tiene su propia ayuda, al igual que varios estados de EE. UU. La Comisión Federal de Comercio de EE. UU. también se ha interesado cada vez más en el tema, priorizando la minimización de datos. en su caso contra el servicio de entrega de alcohol Drizly y, según se informa, se centra en este punto en su próxima norma de vigilancia comercial y seguridad de datos.

Las diferentes jurisdicciones tienen en su mayoría el mismo requisito: que los datos recopilados sean necesarios para el fin previsto.

"El hecho de que sea común y simple no significa que sea fácil", concluye Kagan. “No es nada fácil de implementar. Pero el estándar es bastante común en este momento”.

danny bradbury

Danny Bradbury ha sido periodista impreso especializado en tecnología desde 1989 y escritor independiente desde 1994. Ha escrito para publicaciones nacionales en ambos lados del Atlántico y ha ganado premios por su trabajo de periodismo de investigación en ciberseguridad.

Lea más de Danny Bradbury

La seguridad cibernética 15 de enero de 2026

De la seguridad perimetral a la identidad como bandera de seguridad

De la seguridad perimetral a la identidad como seguridad

Hoy en día, es imposible ver un evento de seguridad sin ver la frase "confianza cero". Es una palabra de moda, sí, pero...

danny bradbury

La seguridad cibernética 18 December 2025

Cómo navegar por el laberinto de cumplimiento de IA en EE. UU.

Cómo navegar por el laberinto del cumplimiento normativo de la IA en EE. UU.

En materia de regulación, el término «Estados Unidos» es un oxímoron. Las leyes estatales están lejos de estar unificadas, y cada jurisdicción tradicionalmente...

danny bradbury

La seguridad cibernética 20 November 2025

Lo que las brechas de seguridad de Salesforce nos enseñan sobre la responsabilidad compartida

2025 no ha sido un buen año para los clientes de Salesforce. Un grupo criminal sin escrúpulos lanzó una serie de ataques contra sus clientes, afectando finalmente a...

danny bradbury