Minimização de dados
A minimização de dados é um princípio fundamental do RGPD que exige a recolha e o tratamento apenas dos dados pessoais estritamente necessários para a finalidade declarada. Este princípio obriga as organizações a justificar cada dado recolhido e a evitar qualquer acumulação excessiva de informação.
Consagrada no artigo 5.o, n.o 1, alínea c), do RGPD, a minimização de dados exige que os dados pessoais sejam «adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados». Este princípio aplica-se desde a conceção do sistema (privacidade desde a conceção) e ao longo de todo o ciclo de vida dos dados.
No domínio do KYC, a minimização de dados representa um desafio particular. As obrigações regulamentares impõem a recolha de numerosas informações (documento de identidade, comprovativo de morada, origem dos fundos), mas o princípio proíbe ir além do estritamente necessário. Por exemplo, uma verificação de identidade para uma conta bancária básica não justifica a recolha de um recibo de vencimento se a regulamentação não o exigir.
As soluções modernas de verificação documental integram este princípio ao propor abordagens de «verificação seletiva»: extrair apenas os campos necessários de um documento, ocultar automaticamente as informações não pertinentes e eliminar as cópias dos documentos após a verificação. Esta abordagem reduz a exposição em caso de violação de dados e simplifica a conformidade com o RGPD.
Regulações
Exemplos concretos
- 1.Uma plataforma de arrendamento imobiliário solicita uma cópia do passaporte, extratos bancários de três meses e a declaração de impostos: a autoridade de proteção de dados considera a recolha do extrato bancário desproporcionada para uma simples verificação de identidade do inquilino.
- 2.Um prestador de verificação de identidade configura o seu sistema para extrair apenas o nome, a data de nascimento e a foto do documento de identidade, sem armazenar o número de segurança social visível em certos documentos.
- 3.Um gabinete de contabilidade elimina automaticamente as cópias de documentos de identidade 30 dias após a validação do cliente, conservando apenas um hash de verificação e a data de controlo.