Los principios relativos al tratamiento de datos personales se regulan en el art 5 y en el  considerando 39 del RGPD.

Artículo 5: Principios relativos al tratamiento

  1. Los datos personales serán:
    1. tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia«);
    2. recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1 (Investigación Científica, estadística), el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finalidad«);
    3. adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos«);
    4. exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan («exactitud«);
    5. mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89 (Investigación Científica, estadística), apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado («limitación del plazo de conservación«);
    6. tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad«).
  2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva«).

 

A los tradicionales principios de calidad: proporcionalidad, finalidad, exactitud y actualidad, cancelación de oficio y licitud, el RGPD incorpora través del art. 5, seis principios básicos.

  1. Licitud, lealtad y transparencia:tratados de manera lícita, leal y transparente en relación con el interesado”. Queda vinculado nuestro principio de licitud al principio de transparencia, el cual queda igualmente vinculado con la información, ya que la misma debe facilitarse de forma comprensible y accesible. Por tanto, el tratamiento no será leal y lícito si la información no está accesible o no es comprensible. Así lo establece el considerando 39, que exige:

“toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro. Dicho principio se refiere en particular a la información de los interesados sobre la identidad del responsable del tratamiento y los fines del mismo y a la información añadida para garantizar un tratamiento leal y transparente con respecto a las personas físicas afectadas y a su derecho a obtener confirmación y comunicación de los datos personales que les conciernan que sean objeto de tratamiento. Las personas físicas deben tener conocimiento de los riesgos, las normas, las salvaguardias y los derechos relativos al tratamiento de datos personales, así como del modo de hacer valer sus derechos en relación con el tratamiento”.

  1. Minimización de datos: “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados”. Es el correspondiente a nuestro principio de proporcionalidad, el cual establecía que los datos deben de ser adecuados pertinentes y no excesivos en relación con la finalidad y el ámbito para la que fueron recabados. Sin embargo, en el caso del RGPD no se limita por el exceso si no por la necesidad. Es decir, los datos personales serán adecuados pertinentes y limitados a la necesidad para la que fueron recabados. Cobra especial valor el sentido de la “Necesidad” (ya establecido por la Jurisprudencia del Tribunal Constitucional), de tal manera que, si el objetivo podría alcanzarse sin realizar un tratamiento de datos, los mismos no deberían ser tratados. Por otro lado, dicha limitación a lo necesario debe ser evaluada desde un punto de vista cuantitativo (volumen de datos) como cualitativo (categoría de datos). Así se establece en el considerando 39:

“Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios.”

  1. Limitación de la finalidad: recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines. A este respecto al RGPD aclara la posibilidad de realizar tratamientos de datos con finalidades distintas de las recogidas siempre y cuando se de una serie de presupuestos. Así en el 6.4 se establece que el responsable de tratamiento con objeto de determinar si dicho fin es compatible tendrá en cuenta una serie de cuestiones:
    1. cualquier relación entre los fines para los cuales se hayan recogido los datos personales y los fines del tratamiento ulterior previsto;
    2. el contexto en que se hayan recogido los datos personales, en particular por lo que respecta a la relación entre los interesados y el responsable del tratamiento;
    3. la naturaleza de los datos personales, en concreto cuando se traten categorías especiales de datos personales, de conformidad con el artículo 9, (Categorías especiales de datos personales) o datos personales relativos a condenas e infracciones penales, de conformidad con el artículo 10 (Datos relativos a condenas e infracciones);
    4. las posibles consecuencias para los interesados del tratamiento ulterior previsto;
    5. la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización.
  1. Exactitud: exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan. A este respecto señala también el considerando 39 que:

“Deben tomarse todas las medidas razonables para garantizar que se rectifiquen o supriman los datos personales que sean inexactos.”

  1. Limitación en el plazo de conservación: “mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales”. Si bien en nuestra normativa ya se establece que deberán ser cancelados cuando los datos dejen de ser útiles para la finalidad en la que fueron recabados, el RGPD además de limitar el plazo de conservación establece la obligación al responsable de incluir plazos para la supresión o revisión periódica. Considerando 39:

“Para garantizar que los datos personales no se conservan más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su supresión o revisión periódica.”


PREGUNTAS FRECUENTES:

¿En el plazo de conservación es necesario informar del plazo de conservación o del plazo de prescripción de las acciones ante reclamaciones por el tratamiento de datos realizado?.

El plazo que se debe de incluir por el Responsable o el criterio utilizado para determinar dicho plazo, es aquél necesario para la finalidad del tratamiento. Por tanto se debe distinguir dos supuestos:

  1. Por un lado el plazo de conservación que es necesario para el tratamiento de datos del interesado, o el criterio a utilizar para que pueda el interesado saber cuánto tiempo va a durar el tratamiento de sus datos, se trata por tanto de un derecho del interesado al que tiene derecho y que debe de ser informado previamente al interesado.
  2. Por otro lado el plazo de conservación para la defensa de reclamaciones por parte del Responsable.

La falta de mención al bloqueo de datos por parte del RGPD será un buen motivo para que nuestro legislador regule esta materia, ya que podría generar indefensión en encargados o responsables que puedan verse obligados a destruir o borrar datos porque los mismos dejaron de ser útiles o necesarios para la finalidad del tratamiento. Ante la falta de regulación sobre la identificación o no de los plazos de conservación para la defensa ante reclamaciones, es recomendable incluir ambos plazos tanto para el tratamiento de datos del interesado y como para el plazo de prescripción de las acciones del Responsable.


  1. Integridad y Confidencialidad: tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas. La seguridad en el tratamiento de los datos aparece ya no sólo como una obligación si no como un principio del tratamiento de datos, y deberá ser adecuada a la categoría de datos que se esté tratando. Así el considerando 39 establece al respecto:

“Los datos personales deben tratarse de un modo que garantice una seguridad y confidencialidad adecuadas de los datos personales, inclusive para impedir el acceso o uso no autorizados de dichos datos y del equipo utilizado en el tratamiento.”

Conclusiones:

  • El tratamiento de datos no será lícito si la información no es accesible y comprensible.
  • Los datos deben ser limitados a los necesarios para la finalidad.
  • Las obligaciones de integridad y confidencialidad se configuran como un principio.