El problema de conformitat de minimització de dades
L'article 5(1)(c) de GDPR requereix que les dades personals siguin «adequades, rellevants i limitades al que és necessari en relació amb els propòsits per als quals es processen.» Aquest és el principi de minimització de dades — i la majoria d'organitzacions el violen no a través de malesa sinó per accident.
Un formulari de contacte demanava:
- Nom (necessari)
- Adreça de correu electrònic (necessari)
- Telèfon (necessari per a contacte de seguiment)
- Adreça física (per a treball del compte)
- Data de naixement (NO necessari — mai es va utilitzar)
- Empresa (informació contextual)
La data de naixement és PII. No era necessari. Però va ser col·leccionat igualment a causa de una falta de validació de form anterior.