La reciente resolución que analiza el tratamiento de datos personales en la venta de entradas online del Teatro Real nos deja valiosas lecciones sobre el principio de minimización recogido en el RGPD.
📌 La Fundación (sector público) fue declarada infractora por recolectar más datos de los necesarios. Estas son las claves que debes conocer:
1️⃣ ¿DNI obligatorio? Solo si hay justificación
El número de DNI no puede exigirse por defecto. Solo cabe pedirlo si hay una base jurídica clara, como la emisión de factura.
👉 Si para comprar entradas en taquilla no te lo piden, tampoco pueden hacerlo en la web.
2️⃣ El código postal no es obligatorio
Aunque es lícito usar el código postal para estadísticas, no puede ser obligatorio si no es imprescindible para la venta.
✅ Si lo quieres recoger, busca una base de legitimación distinta (como el consentimiento).
3️⃣ Un solo dato por finalidad
No se pueden pedir dos datos para una misma finalidad si uno basta.
🧾 En este caso, solicitaban teléfono y email para avisar de cancelaciones.
📱 Basta con el teléfono. El email solo sería legítimo si sirve para otra finalidad distinta, como el envío de entradas electrónicas.
💡El principio de minimización no es un adorno del RGPD, sino un límite claro a lo que una entidad puede (o no puede) pedir. Especialmente en el sector público.
¿Te siguen pidiendo más datos de los necesarios? Quizás es momento de empezar a preguntar: ¿Para qué los necesitas?
