Todo lo que necesitas saber acerca de los principios de protección de datos para adaptar tu empresa al RGPD.

Infografía sobre los principios de protección de datos del RGPD
 
Ver

Qué son los principios de protección de datos

Los principios de protección de datos son un conjunto de normas amplias y de enorme importancia que inspiran toda la normativa europea de protección de datos personales. Se encuentran ubicados en el artículo 5 del capítulo II del RGPD y son de obligado cumplimiento.

Observar los principios de protección de datos es esencial para cumplir el resto de disposiciones del RGPD. Su posible vulneración debe ser objeto de análisis cuando realices los análisis de riesgos y evaluaciones de impacto de tus tratamientos.

Además, no respetarlos puede exponerte a una de las sanciones más altas que contempla el Reglamento, pudiendo alcanzar la escalofriante cifra de 20 millones de euros o el 4% del volumen de negocio total anual global, la que sea de mayor cuantía.

No respetar los principios de protección de datos puede exponer tu empresa una sanción administrativa de hasta 20 millones de euros o el 4% del volumen de negocio total anual global.

Principio de licitud, lealtad y transparencia

El primero de los principios de protección de datos es el principio de licitud, lealtad y transparencia. Este se encuentra ubicado en el artículo 5.1.a), que dice que los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado.

Licitud

Los datos personales serán tratados de forma lícita cuando exista una base legal para el tratamiento. Por ello, para satisfacer este requisito deberás identificar una de las 6 bases legítimas para tratar los datos:

  1. Consentimiento: el interesado te ha dado su consentimiento para que trates sus datos personales para uno o varios fines específicos;
  2. Contrato: el tratamiento es necesario para ejecutar un contrato en el que el interesado es parte o para la aplicación de medidas precontractuales;
  3. Obligación legal: el tratamiento es necesario para el cumplimiento de una obligación legal del responsable del tratamiento;
  4. Intereses vitales: el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
  5. Interés público: el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
  6. Intereses legítimos: el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Además, para que el tratamiento sea lícito también deberá estar permitido por el Derecho aplicable y hacerse dentro de los límites de la ley. Esto significa que deberá de ser conforme al resto del ordenamiento jurídico.

Por ejemplo, un tratamiento será ilícito si no respeta los acuerdos alcanzados en un contrato o vulnera derechos fundamentales.

Lealtad

Que los datos personales sean tratados de forma leal se refiere a que el tratamiento sea justo para los interesados. Esencialmente, esto significa que los datos personales deben ser tratados cumpliendo con las expectativas de los interesados y no debes utilizarlos en una forma que les pueda causar un perjuicio injusto.

Con ese objetivo, deberás disponer los medios para informarles, en el momento que recojas sus datos, de cómo vas a usarlos y conservarlos a fin de que puedan tomar una decisión informada.

Por otro lado, en ocasiones un tratamiento puede conllevar un perjuicio para los interesados pero aún ser justo. Es el caso por ejemplo, de la inscripción o consulta de ficheros de morosos por entidades financieras o el registro de antecedentes criminales por las autoridades públicas competentes.

Transparencia

El principio de transparencia está estrechamente vinculado con el de lealtad y se traduce en que debes ser abierto, claro y honesto con los interesados cuando tratas sus datos.

Este principio se concreta a lo largo del Reglamento en varias obligaciones, por ejemplo:

  • el deber de mantener un registro de las actividades de tratamiento, que debes poner a disposición de la autoridad de control, a requerimiento;
  • el derecho de acceso de los interesados, que les faculta para exigirte copia de sus datos personales e información acerca del tratamiento;
  • el deber de notificar las brechas de seguridad a los interesados cuando entrañen un alto riesgo para sus derechos y libertades; o
  • el deber, cuando proceda, de recabar la opinión de los interesados cuando se llevan a cabo evaluaciones de impacto sobre un tratamiento que les afecte.

Pero sobre todos los demás, este se refleja en el derecho de información de los interesados, que te obliga a comunicarles una serie de información acerca del tratamiento cuando recoges sus datos.

Principio de limitación de la finalidad

El segundo de los principios de protección de datos que regula el RGPD es el principio de limitación de la finalidad.

El artículo 5.1.b del RGPD establece que los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines.

Cuando recoges y tratas datos personales de tus usuarios u otras personas debes hacerlo siempre con una finalidad, por ejemplo, procesar pagos y entregar pedidos a tus clientes, o gestionar los recursos humanos de la empresa.

El principio de limitación de la finalidad te impide tratar los datos personales con fines distintos a aquellos para los que los recogiste inicialmente, salvo que esa nueva finalidad sea compatible con la inicial.

Únicamente puedes tratar datos personales con fines distintos al inicial cuando la nueva finalidad sea compatible con la original.

¿Cuándo es compatible una finalidad?

Se consideran operaciones de tratamiento compatibles las realizadas con fines de:

  • archivo en interés público,
  • investigación científica e histórica, y
  • fines estadísticos.

Más allá de estos fines, si deseas tratar los datos con otra finalidad deberás analizar primero si esa nueva finalidad es compatible con la inicial que te permitió recoger los datos personales. Para ello, el Considerando 50 del RGPD indica que debes tener en cuenta, entre otros, los siguientes factores:

  • cualquier relación entre los fines iniciales y los fines del tratamiento ulterior previsto,
  • el contexto en el que se recogieron los datos, en particular las expectativas razonables del interesado basadas en su relación con el responsable en cuanto a su uso posterior,
  • la naturaleza de los datos personales,
  • las consecuencias para los interesados del tratamiento ulterior previsto, y
  • la existencia de garantías adecuadas tanto en la operación de tratamiento original como en la operación de tratamiento ulterior prevista.

Si la finalidad es compatible, podrás tratar los datos sin tener que recurrir a una base legal distinta de la que te permitió obtener los datos personales. Si no es compatible y deseas tratar los datos con esa nueva finalidad, deberás informar al interesado y recabar un nuevo consentimiento o respaldarte en otra base legal.

Principio de minimización de datos

El principio de minimización de datos significa que solo deberás recoger y tratar datos personales que sean adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados.

Los datos personales serán adecuados cuando sean suficiente para cumplir con la finalidad del tratamiento y pertinentes cuando su obtención y tratamiento esté relacionada con la finalidad.

Que los datos personales se limiten a lo necesario para los fines que sean tratados significa que no debes recoger más datos que los estrictamente necesarios para cumplir con la finalidad; no es una buena práctica recoger enormes cantidades de información que no necesitas para cumplir con la finalidad del tratamiento.

Una buena forma de demostrar el cumplimiento de este principio es analizando si la finalidad puede ser cumplida con datos anonimizados, es decir, separando los datos personales de todos los datos identificadores que pueden llevar a la identificación de la persona.

Principio de exactitud

El principio de exactitud te obliga a tomar las medidas razonables para asegurar que los datos personales que tienes son correctos, se encuentran actualizados y no inducen a error.

Una buena práctica es verificar la autenticidad de la información en el momento de su recogida e implementar procesos para mantenerla actualizada, especialmente cuando su inexactitud puede repercutir negativamente en el interesado.

Del mismo modo que para el resto de principios de protección de datos, no existe una única forma de cumplir con este principio. Las medidas a adoptar para asegurar la exactitud de los datos dependerán de la finalidad del tratamiento y del tipo de datos personales.

Para que los datos no induzcan a error, también deberás considerar si estos son objetivos o subjetivos, como opiniones o valoraciones. En este último caso, puede ser útil anotarlo a fin de evitar tomarlos como ciertos en un momento ulterior.

Del mismo modo, también puede ser necesario en ciertas instancias mantener un registro de los datos incorrectos, por ejemplo, cuando se trataran de datos de salud de un paciente y se hubiese prescrito un tratamiento en base a esos datos.

Finalmente, el principio de exactitud también requiere de implementar las medidas necesarias para atender las peticiones de los interesados ejerciendo el derecho de rectificación.

Principio de limitación del plazo de conservación

El principio de limitación del plazo de conservación te obliga a definir plazos de conservación de los datos.

Los datos personales deben ser mantenidos durante el tiempo que sea estrictamente necesario para los lograr los fines del tratamiento para los que fueron recogidos. Pueden conservarse durante períodos más largos si se tratan exclusivamente con fines de archivo en interés público, fines de investigación científica o fines estadísticos, o si se aplican técnicas de anonimización para eliminar todos los identificadores e impedir la reidentificación de los interesados de forma permanente.

Para garantizar que los datos personales no se conservan más tiempo del necesario, el Considerando 39 instruye a los responsables a establecer plazos para su supresión o revisión periódica.

Cómo definir los plazos de conservación de los datos personales

Para definir los plazos de conservación deberías tener en cuenta los siguientes tres puntos:

  1. Requerimientos legales de conservación de los datos. Para definir los plazos de conservación es imprescindible que consultes la legislación nacional, pues suelen existir normas que te requerirán conservar los datos durante unos plazos determinados. Por ejemplo, la ley de prevención de blanqueo de capitales española requiere a las empresas obligadas a conservar los datos durante un período mínimo de 10 años.
  2. Plazos legales de prescripción y acuerdos contractuales. Para determinados tipos de datos también deberás tener en cuenta los plazos de prescripción legal. Por ejemplo, en España las infracciones de la Ley General Tributaria prescriben en 4 años, así que sería necesario conservar los datos de naturaleza tributaria durante al menos 4 años.

A falta de disposición legal deberás fijar un plazo razonable, que deberá ser el estrictamente necesario para cumplir con la finalidad. Por ejemplo, cuando un candidato a una vacante no supera un proceso de selección, desaparece la finalidad para conservar sus datos y debería procederse a su supresión.

Principio de integridad y confidencialidad (seguridad)

El artículo 5.1.f establece que los datos personales serán:

Tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.

De los distintos principios de protección de datos que recoge el RGPD, el principio de integridad y confidencialidad (o de seguridad) es probablemente el más importante y el que mayor impacto puede tener en tu organización y en los interesados.

La falta de un buen esquema de seguridad de la información en la organización puede motivar brechas de seguridad que, de otro modo, quizás podrían haberse evitado. En función de si la brecha de seguridad afecta a la confidencialidad, disponibilidad, o integridad de la información, y del tipo de datos que se hayan visto afectados, el impacto puede ser realmente severo.

Por ejemplo, si un tercero accede y sustrae, sin autorización, los datos bancarios que una entidad financiera custodia sobre sus clientes, estos podrían ser utilizados para cometer suplantaciones de identidad y multitud de fraudes.

Para los interesados, ello podría resultar en pérdidas económicas, de tiempo y estrés. Para tu empresa, vulnerar los principios de protección de datos puede exponerte a una sanción administrativa de hasta 20.000.000€ o el 4% del volumen de negocio total anual, la mayor de las dos cuantías, sin perjuicio de las responsabilidades penales o civiles.

Sufrir una brecha de seguridad sin haber implementado un esquema de seguridad de la información adecuado, puede exponerte a una sanción administrativa de hasta 20.000.000€ o el 4% del volumen de negocio total anual, la mayor de las dos cuantías, sin perjuicio de las responsabilidades penales o civiles.

Cómo cumplir con el principio de seguridad de la información

Para cumplir con este principio deberás evaluar los riesgos para la confidencialidad, integridad y disponibilidad a los que se expone tu información, tanto en soporte digital como físico. Deberás detectar vulnerabilidades y determinar la probabilidad de que una amenaza se llegue a materializar, así como el impacto que esa amenaza tendría en tu empresa y en los derechos y libertades de los interesados. Así lo establece el artículo 32.2 del RGPD:

Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Una vez evaluado el nivel de riesgo, deberás escoger y aplicar las medidas de seguridad técnicas y organizativas adecuadas a fin de mitigar o trasladar esos riesgos, si es que su nivel supera el riesgo que estás dispuesto a asumir.

Además del nivel de riesgo, para escoger y aplicar controles deberás tener en cuenta:

  • el estado de la técnica,
  • los costes de aplicación
  • la naturaleza, alcance, contexto y fines del tratamiento

Teniendo en cuenta todo lo anterior, el RGPD establece que las medidas que elijas deberían incluir, entre otras:

  1. la seudonimización y el cifrado de datos personales;
  2. la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
  3. la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
  4. un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Además de evaluar los riesgos para la integridad, confidencialidad y disponibilidad de la información, el Reglamento también te requiere evaluar los riesgos para los derechos y libertades de los interesados. Ello significa que deberás:

  1. Identificar los derechos fundamentales afectados
  2. Identificar, analizar y evaluar los riesgos
  3. Definir e implementar controles
  4. Hacer seguimiento

Principio de responsabilidad proactiva o accountability

El principio de responsabilidad proactiva, o “accountability”, está estrechamente relacionado con el resto de principios de protección de datos, y es que si el resto de principios imponen a la empresa u organización obligaciones de actuar, el principio de responsabilidad proactiva obliga a la empresa a ser capaz de demostrar y probar el cumplimiento.

La finalidad última de este principio no es, sin embargo, que la empresa cree unos documentos, marque unos checklists y de por finalizado el cumplimiento de la norma. No, eso no es cumplir con el principio de responsabilidad proactiva ni con las obligaciones del Reglamento.

Cumplir con el principio de responsabilidad proactiva requiere implementar una verdadera cultura de protección de datos en el propio ADN de la compañía.

Cómo cumplir con el principio de accountability

Todas las actuaciones que realices para cumplir el RGPD te servirán para demostrar el cumplimiento de este principio. Así, por ejemplo, puedes:

  • Nombrar a un delegado de protección de datos. Puedes contratar a un externo que asista a la empresa o tener uno in-house. En ocasiones su nombramiento es obligatorio.
  • Mantener y actualizar el registro de las actividades de tratamiento. El registro debe estar actualizado en todo momento, y a disposición de las autoridades de control si te lo solicitasen.
  • Realizar evaluaciones de impacto. En ocasiones son obligatorias, en otras no. En cualquier caso, hacer evaluaciones de impacto es una buena práctica para asegurarse que el tratamiento respeta los principios de protección de datos y demostrar tu preocupación por cumplir con la normativa.
  • Proteger los datos desde el diseño y por defecto. Antes de lanzar un nuevo producto, iniciar un nuevo tratamiento o modificar uno existente, valora las implicaciones que ello puede tener para la protección de datos personales y diseña el producto o tratamiento teniendo en cuenta los principios de protección de datos. Por ejemplo, haciendo fácil, sencillo y rápido ejercer los derechos para los interesados, recogiendo solo las datos estrictamente necesarios para cumplir con la finalidad del tratamiento, seudonimizando o anonimizando la información si es posible, etc.
  • Crear y revisar políticas internas.Para los distintos tratamientos, es recomendable la creación de políticas internas que delimiten claramente las responsabilidades de los empleados y la dirección.
  • Asignar responsabilidades. Una buena práctica es crear un comité o equipo, con representantes de cada departamento que sea responsable de la protección de datos en la empresa.
  • Dar formaciones en protección de datos personales a la plantilla.
Contactar

¿Necesitas ayuda para implementar los principios de protección de datos?

Házmelo saber, estaré encantado de ayudarte.
Contactar

Quizás también te interese…

Entidades y empresas obligadas a cumplir con el RGPD
Principios de protección de datos en el RGPD
Datos sensibles en el RGPD
Cómo atender los derechos del RGPD
Requisitos de seguridad de la información en el RGPD
Evaluación de impacto de protección de datos en el RGPD. EIPD o DPIA.
Cómo transferir datos fuera de la UE transferencias internacionales de datos
Multas y sanciones del rgpd