5. PRINCIPIOS QUE HAN DE REGIR TODO TRATAMIENTO
Los principios básicos en materia de protección de datos se pueden considerar como las líneas directrices que deben regir todo tratamiento de datos para considerarlo conforme al RGPD.
5.1. Principios de licitud, lealtad y transparencia
El principio de licitud significa que todo tratamiento de datos personales tiene que tener origen en una causa lícita. Esas causas se desarrollan en el art. 6 y 9 del RGPD en forma de lista cerrada. Los centros no pueden hacer uso de todas ellas.
Los principios de lealtad y transparencia se refieren a que el tratamiento de los datos debe hacerse de tal manera que el titular de los mismos tenga un conocimiento claro y completo sobre el tratamiento. Están relacionados con la información que se debe proporcionar al titular de los datos, de modo que esta no dé lugar de ninguna forma a equívoco o engaño de modo accidental o deliberado. Los art. 13 y 14 del RGPD regulan la información que hay que facilitar al interesado.
5.2. Principio de limitación de la finalidad
Lo que dice el RGPD es que los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines.
Es decir, cuando se recogen datos personales hay que hacerlo para una finalidad concreta. No se pueden tratar para finalidades distintas salvo aquellas que no se consideran incompatibles conforme al RGPD.
5.3. Principio de minimización de datos
Los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
Este es un principio fundamental que tiene distintas manifestaciones. Un criterio que se puede emplear para aplicar este principio es plantearse si la finalidad que se quiere alcanzar con el tratamiento se vería afectada si no se tratase un determinado dato. Si la respuesta es que la finalidad se puede alcanzar sin el citado dato, entonces ese dato es excesivo y no ha de ser objeto de tratamiento.
El principio tiene otra manifestación -juicio de proporcionalidad- de modo que no solo han de ser los mínimos datos, sino que, al tener que estar en relación con la finalidad con que son tratados, la finalidad no pueda ser alcanzada con un tratamiento que sea menos lesivo para los derechos y libertades de los individuos. Es decir que no se maten moscas a cañonazos. Además, el balance entre el beneficio obtenido y la afección de los derechos tiene que ser favorable, es decir, no se trata sólo de que sea el tratamiento menos lesivo, sino que el beneficio obtenido con el mismo sea superior a la afección de los derechos.
Una manifestación distinta de este principio es el de necesidad de saber -minimización de acceso- que significa que las personas y los procesos informáticos solo deben tener acceso a aquellos datos personales que necesiten para realizar su trabajo. Este principio es independiente -y compatible- con el deber de confidencialidad y/o de secreto profesional de las personas que acceden a datos personales.
5.4. Principio de exactitud
Los datos serán exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.
La exactitud se refiere también a la completitud de los datos. En todo caso este principio se debe poner en relación con la finalidad del tratamiento. Por ejemplo, la aplicación de exactitud no puede dar lugar a que se vulnere el principio de minimización de datos.
5.5. Principio de limitación del plazo de conservación
Los datos serán mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos.
A efectos prácticos, en aquellos casos en los que los datos personales se encuentran dentro de expedientes administrativos, se conservaran en la medida que se conserven los expedientes. El plazo de conservación de los expedientes se determina aplicación lo dispuesto en la normativa de archivos y documentación.
5.6. Principio de integridad y confidencialidad
Los datos serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.
5.7. Principio de responsabilidad proactiva
El responsable del tratamiento será responsable del cumplimiento de todos los principios y capaz de demostrarlo. Este principio ha sido objeto de una ficha.
Fundamental para evitar sanciones. Hay que documentar las decisiones y conservar los registros que permitan demostrar un comportamiento diligente en materia de protección de datos.