Los principios relativos al tratamiento


Manuel Castilleja Toscano     09/01/2024

El artículo 5 del GDPR, que es el que establece los principios relativos al tratamiento, es la esencia del Reglamento y su cumplimiento la base sobre la que se sustenta un sólido y eficaz sistema de cumplimiento de la normativa de protección de datos.

Podemos decir que, si cumplimos con el artículo 5, estamos implícitamente cumpliendo el resto de artículos de los capítulos II al V del GDPR, ya que estos se podrían considerar aplicaciones prácticas del artículo 5.

Vamos a continuación a analizar cada uno de los seis principios, y el resto de artículos del GDPR que deberíamos cumplir, para no infringir ninguno de ellos.

1. LICITUD, LEALTAD Y TRANSPARENCIA (art. 5.1.a)

Los datos personales deben ser tratados de manera lícita, leal y transparente en relación con el interesado.

El principio de licitud y lealtad exige que:

  • Al interesado le debe quedar claro que se están recogiendo, utilizando, consultando o tratando de otra manera sus datos personales, así como en qué medida dichos datos son tratados o serán tratados posteriormente.
  • Se cuente con:
    • Una base jurídica que legitime el tratamiento de esos datos personales (art. 6, 7 y 8 y 11).
    • Alguna de las excepciones permitidas cuando los datos tratados son de categoría especial o de naturaleza penal (art. 9 y 10)
    • Alguno de los instrumentos habilitantes para llevar a cabo transferencias internacionales cuando se van a transferir fuera del EEE (art. 44-49).

El principio de transparencia exige que toda información y comunicación relativa al tratamiento de datos sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro (art. 12). Dicho principio se refiere en particular:

  • A informar a los interesados sobre la identidad del responsable del tratamiento y los fines del mismo y a la información añadida para garantizar un tratamiento leal y transparente con respecto a los interesados (art. 13 y 14)
  • Y a su derecho a obtener confirmación y comunicación de los datos personales que les conciernan, que sean objeto de tratamiento. Los interesados deben tener conocimiento de los riesgos, las normas, las salvaguardias y los derechos relativos al tratamiento de datos personales, así como del modo de hacer valer sus derechos en relación con el tratamiento (art. 15-23).

2. LIMITACIÓN DE LA FINALIDAD (art. 5.1.b)

Los datos personales deben ser recogidos con fines determinados, explícitos y legítimos; deben determinarse en el momento de su recogida y no serán tratados ulteriormente de manera incompatible con dichos fines, el tratamiento ulterior con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales.

3. MINIMIZACIÓN DE DATOS (art. 5.1.c)

Los datos personales recabados deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.

Los datos personales no se deben tratar si lo que se pretende pudiera lograrse razonablemente por otros medios.

4. EXACTITUD (art. 5.1.d)

Los datos personales tratados deben ser exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.

5. LIMITACIÓN DEL PLAZO DE CONSERVACIÓN (art. 5.1.e)

Los datos personales se deben conservar de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento para los que fueron recabados; podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el GDPR a fin de proteger los derechos y libertades del interesado.

Se debe garantizar que se limite a un mínimo estricto su plazo de conservación. Para garantizar no se conservan más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su supresión o revisión periódica.

6. INTEGRIDAD Y CONFIDENCIALIDAD (art. 5.1.f )

Los datos personales deben ser tratados de tal manera que se garantice una seguridad adecuada de los mismos, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas. Incluso impidiendo el acceso o uso no autorizados de dichos datos y del equipo utilizado en el tratamiento.

Para la adopción de esas medidas apropiadas, que además se deben revisar y actualizar cuando sea necesario, será preciso analizar y evaluar los riesgos que el tratamiento de esos datos personales suponga para el interesado (art. 24, 25 y 32). La adhesión a códigos de conducta (art. 40-41) o a un mecanismo de certificación (art. 42-43) podrán ser utilizados como elementos para demostrar el cumplimiento de estas obligaciones.

Cuando el tratamiento suponga un alto riesgo para el interesado, se deberá llevar a cabo de manera previa al inicio del mismo una evaluación de impacto (EIPD) (art. 35); si tras la EIPD el riesgo continúa siendo alto y no se dispone de medidas para reducirlo, se deberá consultar a la autoridad de control (AC) antes de iniciar el tratamiento (art. 36).

Cuando se produzca una brecha de seguridad a pesar de las medidas implantadas, además de notificarla a la AC si supone un riesgo para los interesados afectados y comunicarla a los propios afectados si este riesgo es alto, se deben adoptar nuevas medidas para poner remedio a la brecha y para mitigar los posibles efectos negativos que suponga la misma (art. 33 y 34).

Se deben adoptar no solo medidas técnicas, sino también organizativas, y dentro de estas, son obligatorias:

  • Cuando dos o más responsables determinen conjuntamente los fines y los medios del tratamiento (CT) determinarán de modo transparente y de mutuo acuerdo sus responsabilidades respectivas en el cumplimiento de las obligaciones impuestas por el GDPR (art. 26).
  • Cuando la organización esté establecida fuera de la UE pero le sea de aplicación el GDPR, designará por escrito un representante en la UE (art. 27).
  • Se deben elegir solo encargados de tratamiento (ET) que ofrezcan suficientes garantías para aplicar medidas de manera que el tratamiento sea conforme al GDPR, encargo que debe regularse a través de un contrato (art. 28).
  • Se darán indicaciones a través de políticas y/o protocolos a cualquier persona que actúe bajo la autoridad de la organización y tenga acceso a datos personales, para que solo traten dichos datos siguiendo instrucciones de la organización (art. 29).
  • Cada organización debe llevar un registro de las actividades de tratamiento efectuadas bajo su responsabilidad (RT) y otro de las efectuadas por cuenta de otra entidad (ET) (art. 30).
  • Cooperar con la AC cuando lo solicite en el desempeño de sus funciones (art. 31).
  • Designar un DPO siempre que se den las circunstancias en las que la normativa obligue a ello (art. 37, 38 y 39).

7. RESPONSABILIDAD PROACTIVA (art. 5.2)

En el apartado 2 del artículo 5 se establece que no solo debemos cumplir con los principios anteriormente relacionados, sino que además debemos ser capaces de demostrarlo.

EJEMPLO DE INCUMPLIMIENTO DEL ARTÍCULO 5 GDPR

A continuación, analizamos un claro ejemplo de incumplimiento de prácticamente todos estos principios y lo que supone desde el punto de vista sancionador, por parte de la AEPD.

Se trata del procedimiento sancionador PS/00240/2019 instruido por la AEPD por múltiples reclamaciones a una conocida entidad de información crediticia (EIC).

La EIC recopilaba datos personales de la información publicada en boletines o diarios oficiales de AAPP para hacer efectiva la notificación de una resolución administrativa o judicial.

La EIC trataba posteriormente esos datos personales con el fin de determinar la solvencia de los titulares de los mismos, para generar después informes sobre esa situación y facilitarlos a otras entidades.

Los incumplimientos del artículo 5.1 que se darían en este caso, serían:

  • Art. 5.1.a) GDPR: basaban el tratamiento en el art. 6.1.f) GDPR, el interés legítimo de conocer las deudas y reclamaciones de las personas físicas para dar “seguridad al tráfico mercantil”, “prevenir la morosidad” y “valorar la solvencia patrimonial” de esas personas.

Intereses incompatibles, según la AEPD, con respecto a la finalidad para la cual los datos fueron recabados inicialmente, es decir hacer efectiva la notificación de una resolución administrativa o judicial.

Por tanto, trataban los datos sin la base jurídica adecuada (art. 6.1 GDPR), incumpliendo el principio de licitud y sin facilitar la información relativa a este tratamiento de datos personales a todos los interesados (art. 14 GDPR), incumpliendo el principio de transparencia.

  • Art. 5.1.b) GDPR: trataban los datos con una finalidad ulterior (la evaluación de la solvencia de los afectados y a la prevención del fraude) incompatible con los fines iniciales (notificar resolución), y por tanto incumpliendo el principio de limitación de la finalidad.
  • Art. 5.1.c) GDPR: los datos tratados tampoco eran adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados, al igual que sucede con el resto de principios, el de minimización está condicionado por la infracción del principio de limitación de la finalidad evidenciando su incumplimiento. por lo que también incumplían el principio de minimización.
  • Art. 5.1.d) GDPR: trataban los datos personales recabados de este tipo de publicaciones oficiales sin contar con mecanismos para actualizarlos, tal y como la propia EIC reconoce implícitamente; además en este tipo de publicaciones la información personal contenida no siempre permiten identificar de manera exacta al supuesto titular de la deuda, a veces identificados no por el NIF, sino por nombre y dos apellidos combinados con un domicilio, de forma que podría encontrarse una o varias personas con el mismo nombre y apellido posibilitando una identificación errónea del supuesto deudor. Incumpliendo también, por tanto, el principio de exactitud.

La AEPD concluye el procedimiento:

  • Imponiendo una sanción de 1 millón de euros.
  • Prohibiéndole continuar con dicho tratamiento.
  • Obligándole a suprimir todos esos datos personales.