El nuevo Reglamento General de Protección de Datos (RGPD) establece que el tratamiento de todos los datos personales debe de llevarse a cabo conforme a los principios definidos en el reglamento. Como parte del esfuerzo por implementar el reglamento, es importante comprender los principios clave del RGPD que se establecen en los Artículos 5-11 del texto del RGPD. Como estos principios representan la base de los requisitos del RGPD, entendamos cuáles son.
Legalidad del tratamiento
Las empresas que tratan datos personales deben de hacerlo de forma legal. Ahora, ¿qué significa esto? Legal significa que todo tratamiento debe estar basado en un fin legítimo. El RGPD enumera seis fines legítimos, y el tratamiento de datos personales debe estar vinculado a uno de ellos.
1) Limitación del fin. El tratamiento de datos personales debe estar limitado a fines legítimos para los cuales los datos personales fueron recogidos originalmente del interesado. Esto prohíbe efectivamente el tratamiento de datos personales fuera del fin legítimo para el cual los datos personales fueron recogidos.
2) Minimización de datos. Durante la recogida de datos, sólo se pueden solicitar los datos personales absolutamente necesarios para tal fin. Esto significa que ningún dato que no sea necesario puede solicitarse o guardarse. Esto es importante cuando su empresa está analizando datos. Será fundamental limitar el análisis de datos a un conjunto de datos anonimizados, o a un conjunto de datos para los cuales se ha obtenido el consentimiento o existe un fin claro de tratamiento legítimo.
3) Exactitud. Los datos personales de los interesados deben ser siempre precisos y estar actualizados. Esto es simple y directo, lo que quiere decir que se les pide a los responsables garantizar que se mantengan los datos precisos, y que los interesados puedan actualizar sus datos cuando lo soliciten.
4) Integridad y confidencialidad. Los datos personales deben ser tratados de forma que se garantice la seguridad apropiada, incluyendo protección contra el tratamiento no autorizado o ilegal. Además, los responsables deben asegurar que los datos no pueden ser modificados por personas no autorizadas.
5) Limitación de almacenamiento. Los datos personales deben ser conservados sólo mientras sea necesario. Es decir, los datos personales deben de ser eliminados una vez se haya cumplido el fin legítimo para el cual habían sido recogidos. Esto no es sencillo, y necesita ser determinado conforme a las leyes de aplicación que pueden requerir en ocasiones que los datos personales sean conservados por un periodo más largo del previsto originalmente para el fin del tratamiento.
6) Leal y transparente. El RGPD solicita que todos los tratamientos de datos personales deban ser leales; es decir, que las empresas no realicen tratamientos que no sean legítimos. Además, las empresas deben ser transparentes con respecto al tratamiento de datos personales, e informar al interesado de manera abierta y transparente. Esto significa que los datos personales deben ser tratados si, y únicamente si, existe un fin legítimo para el tratamiento de los datos personales. El RGPD requiere que las empresas practiquen la transparencia para que los interesados sean informados suficientemente con respecto al tratamiento de sus datos personales.
Además de estos principios, es importante entender cómo el RGPD define los derechos de los interesados, y la base legal para el tratamiento: vea estos artículos para una explicación más detallada:
- ¿Es necesario el consentimiento? Seis bases jurídicas para tratamiento de datos de acuerdo al RGPD
- 8 derechos de los interesados según el RGPD
Responsabilidad proactiva
La expectativa de que las empresas sean leales y transparentes y de que el tratamiento de los datos personales sea legal, eventualmente da lugar a la responsabilidad proactiva, que es un marco de trabajo de autodisciplina entre las empresas. Y la responsabilidad de demostrar el cumplimiento de este principio siempre recae sobre el responsable. Esto significa que las empresas deben ser responsables de sus acciones relacionadas con el tratamiento de datos personales, hacerse cargo de lo que hacen y demostrar con pruebas todas las decisiones tomadas en el contexto del tratamiento de datos personales. Vea el artículo Implementing three main accountability principles under EU GDPR.
Para concluir, los requisitos del RGPD de la UE se basan en principios. Estos principios se centran en los conceptos de responsabilidad proactiva y de que el tratamiento sea legal, leal y transparente. Además, debe existir un enfoque en el fin y las limitaciones de almacenamiento al considerar la minimización de datos. Y la integridad y confidencialidad de los datos personales se deben mantener siempre, mientras se conservan los datos personales precisos y actualizados en todo momento.
Haga click aquí para leer el texto completo del RGPD para saber más sobre los principios clave del RGPD.