Los principios relativos al tratamiento de datos personales se regulan en el art 5 y en el considerando 39 del RGPD.
Artículo 5: Principios relativos al tratamiento
- Los datos personales serán:
- tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia«);
- recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1 (Investigación Científica, estadística), el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finalidad«);
- adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos«);
- exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan («exactitud«);
- mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89 (Investigación Científica, estadística), apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado («limitación del plazo de conservación«);
- tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad«).
- El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva«).
A los tradicionales principios de calidad: proporcionalidad, finalidad, exactitud y actualidad, cancelación de oficio y licitud, el RGPD incorpora través del art. 5, seis principios básicos.
“toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro. Dicho principio se refiere en particular a la información de los interesados sobre la identidad del responsable del tratamiento y los fines del mismo y a la información añadida para garantizar un tratamiento leal y transparente con respecto a las personas físicas afectadas y a su derecho a obtener confirmación y comunicación de los datos personales que les conciernan que sean objeto de tratamiento. Las personas físicas deben tener conocimiento de los riesgos, las normas, las salvaguardias y los derechos relativos al tratamiento de datos personales, así como del modo de hacer valer sus derechos en relación con el tratamiento”.
“Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios.”
“Deben tomarse todas las medidas razonables para garantizar que se rectifiquen o supriman los datos personales que sean inexactos.”
“Para garantizar que los datos personales no se conservan más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su supresión o revisión periódica.”
¿En el plazo de conservación es necesario informar del plazo de conservación o del plazo de prescripción de las acciones ante reclamaciones por el tratamiento de datos realizado?.
El plazo que se debe de incluir por el Responsable o el criterio utilizado para determinar dicho plazo, es aquél necesario para la finalidad del tratamiento. Por tanto se debe distinguir dos supuestos:
La falta de mención al bloqueo de datos por parte del RGPD será un buen motivo para que nuestro legislador regule esta materia, ya que podría generar indefensión en encargados o responsables que puedan verse obligados a destruir o borrar datos porque los mismos dejaron de ser útiles o necesarios para la finalidad del tratamiento. Ante la falta de regulación sobre la identificación o no de los plazos de conservación para la defensa ante reclamaciones, es recomendable incluir ambos plazos tanto para el tratamiento de datos del interesado y como para el plazo de prescripción de las acciones del Responsable.
“Los datos personales deben tratarse de un modo que garantice una seguridad y confidencialidad adecuadas de los datos personales, inclusive para impedir el acceso o uso no autorizados de dichos datos y del equipo utilizado en el tratamiento.”