Legislació

Principis de protecció de dades al RGPD

A la nova regulació, els principis que regiran en protecció de dades s’ubiquen al Capítol II del RGPD (articles 5 a 11), on s’estableixen els principis relatius al tractament i la seva licitud; les condicions en les que s’ha de recavar el consentiment de l’interessat (inclòs, en cas de menors); els tractament de categories especials de dades, etc.

Principis relatius al tractament

El RGPD detalla a l’article 5 el principi de qualitat de les dades al moment de la recollida i el seu posterior tractament fins a la cancel·lació dels mateixos per haver-se complert la finalitat per la que van ser obtinguts, o quan procedeixi, l’esborrat d’aquestes dades.

De la mateixa manera detalla el principi d’exactitud, exigint al responsable que adopti totes les mesures raonables per a que es rectifiquin o suprimeixin les dades personals inexactes atenint a les finalitats per a les que es recavaren.

Igualment s’incorpora l’exigència que les dades personals han de ser adequades, pertinents, limitades (principi de minimització de dades), i han de ser objecte de tractament durant el temps estrictament necessari atenent a les finalitats del mateix.

De forma genèrica, el RGPD determina la vinculació entre les dades i el seu titular ha de ser l’estrictament necessària en funció del tractament pel que s’ha recavat el consentiment de l’afectat.

A part d’aquesta finalitat, les dades només es poden conservar de manera associada amb relació a arxius d’interès públic tals com finalitats d’investigació científica, històrica o estadística, pel que s’hauran d’adoptar les mesures tècniques i organitzatives adequades que garanteixin complir amb aquest principi, i que es denomina principi de limitació del termini de conservació.

Al RGPD també es menciona també el principi d’integritat i confidencialitat de les dades. Consisteix en que les dades han de ser tractades de forma que es garanteixi una seguretat adequada front intromissions no autoritzades, pel que s’exigeix aplicar mesures tècniques i organitzatives apropiades.

De tot el comentat, recau sobre el responsable del tractament no només l’exigència de complir-ho sinó estar en situació de poder-ho demostrar, atenent al principi de responsabilitat proactiva.

El Considerant 39 deixa clar que les finalitats del tractament han de ser explícites, legítimes i determinades al moment de la recollida de dades. Igualment, aquestes dades han de ser adequades, pertinents, exactes o actualitzades i limitades a les finalitats de tractament. A més a més, el responsable del tractament ha d’establir terminis per a la seva supressió o revisió periòdica.