Hoy en día, los datos personales son activos muy importantes para la entidad. El cumplimiento del principio de minimización de datos es fundamental para la privacidad. El RGPD indica en el artículo 5.1.c) que solo deben recogerse datos adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
El responsable del tratamiento debe llevar a cabo las actuaciones necesarias para conocer qué información es estrictamente necesaria. Desde el punto de vista práctico tiene que revisar los formularios, procesos y sistemas para eliminar, en la medida de lo posible, la recogida excesiva de datos personales. Por ejemplo, evitar datos sensibles salvo que sean imprescindibles, o usar listas cerradas en lugar de campos abiertos.
Las medidas técnicas y organizativas resultan imprescindibles: implementar políticas de privacidad por diseño, aplicar técnicas de anonimización o seudonimización, y establecer controles de acceso según roles. Además, el responsable del tratamiento debe mantener un registro de actividades de tratamiento en el que identifique la finalidad y necesidad de los datos personales tratados.
La LOPDGDD califica como infracción muy grave tratar datos personales sin respetar principios como el principio de minimización, con sanciones significativas.