Legislación

Principios de protección de datos en el RGPD

En la nueva regulación, los principios que van a regir en protección de datos se ubican en el Capítulo II del RGPD (artículos 5 a 11) donde se establecen los principios relativos al tratamiento y su licitud; las condiciones en las que debe recabarse el consentimiento del interesado (incluso, en el caso de menores); los tratamientos de categorías especiales de datos, etc.

Principios relativos al tratamiento

El RGPD detalla en su artículo 5 el principio de calidad de los datos en el momento de la recogida y su posterior tratamiento hasta la cancelación de los mismos por haberse cumplido la finalidad para la que se obtuvieron, o cuando proceda, el borrado de dichos datos.

Del mismo modo se detalla el principio de exactitud, exigiéndose al responsable que adopte todas las medidas razonables para que se rectifiquen o supriman los datos personales inexactos atendiendo a los fines para los que se recabaron.

Igualmente se incorpora la exigencia de que los datos personales deben ser adecuados, pertinentes, limitados (principio de minimización de datos), y deben ser objeto de tratamiento durante el tiempo estrictamente necesario atendiendo a los fines del mismo.

De forma genérica, el RGPD determina que la vinculación entre los datos y su titular tiene que ser el estrictamente necesario en función del tratamiento para el cual se ha recabado el consentimiento del afectado.

Además de esta finalidad, los datos solo se pueden conservar de manera asociada con relación a archivos de interés público tales como fines de investigación científica, histórica, o estadística, para lo que habrá que adoptar las medidas (técnicas y organizativas) adecuadas que garanticen cumplir con este principio, que se denomina principio de limitación del plazo de conservación.

Al RGPD se menciona también el principio de integridad y confidencialidad de los datos. Consiste, en que los datos tienen que ser tratados de forma que se garantice una seguridad adecuada frente a intromisiones no autorizadas, por lo que se exige aplicar medidas técnicas y organizativas apropiadas.

De todo lo dicho, recae sobre el responsable del tratamiento no solo exigencia de cumplirlo sino estar en situación de poder demostrarlo, atendiendo al principio de responsabilidad proactiva.

El Considerando 39 deja claro que los fines del tratamiento deben ser explícitos, legítimos y determinados en el momento de la recogida de los datos. Igualmente, dichos datos deben ser adecuados, pertinentes, exactos o actualizados y limitados a los fines de tratamiento. Además, el responsable del tratamiento debe establecer plazos para su supresión o revisión periódica.