RGPD – Nuevos principios

La RGPD fue aprobada en 2016 en el parlamento europeo y es de obligado cumplimiento desde 2018 para las empresas.

En este artículo vamos a hacer un repaso rápido sobre qué es y los nuevos principios respecto a anteriores leyes de protección de datos.

RGPD qué es

Es el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

Podemos decir que el RGPD se ha centrado en la protección de los ciudadanos sobre las siguientes bases de recopilación uso y almacenamiento de los datos:

• El tratamiento de datos no será lícito si la información no es accesible y comprensible.
• Los datos deben ser limitados a los necesarios para la finalidad.
• Las obligaciones de integridad y confidencialidad se configuran como un principio.

Principios del RGPD

El RGPD recoge 3 nuevos principios genrales y fundamentales:

Se incluyen 3 nuevos principios fundamentales:

• PRINCIPIO DE RESPONSABILIDAD (ACCOUNTABILITY). Habrá que implementar mecanismos que permitan acreditar que se han adoptando todas las medidas necesarias para tratar los datos personales como exige la norma. Es una responsabilidad proactiva. Las organizaciones deben ser capaces de demostrar que cumplen dichas exigencias, lo cual obligará a desarrollas políticas, procedimientos, controles, etc.

• PRINCIPIOS DE PROTECCIÓN DE DATOS POR DEFECTO Y DESDE EL DISEÑO. Se deberán adoptar medidas que garanticen el cumplimiento de la norma desde el mismo momento en que se diseñe una empresa, producto, servicio o actividad que implique tratamiento de dato, como regla y desde el origen.

• PRINCIPIO DE TRANSPARENCIA. Los avisos legales y políticas de privacidad deberán ser más simples e inteligibles, facilitando su comprensión, además de más completos. Incluso se prevé que, con el fin de informar sobre el tratamiento de los datos, puedan utilizarse iconos normalizados.

Además a los tradicionales principios de calidad: proporcionalidad, finalidad, exactitud y actualidad, cancelación de oficio y licitud, el RGPD incorpora través del art. 5, seis principios básicos que detallamos a continuación.

RGPD: Los 6 nuevos principios básico incorporados.

1. Licitud, lealtad y transparencia: 

Los datos deben ser tratados de manera lícita, leal y transparente en relación con el interesado.

“toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro. Dicho principio se refiere en particular a la información de los interesados sobre la identidad del responsable del tratamiento y los fines del mismo y a la información añadida para garantizar un tratamiento leal y transparente con respecto a las personas físicas afectadas y a su derecho a obtener confirmación y comunicación de los datos personales que les conciernan que sean objeto de tratamiento. Las personas físicas deben tener conocimiento de los riesgos, las normas, las salvaguardias y los derechos relativos al tratamiento de datos personales, así como del modo de hacer valer sus derechos en relación con el tratamiento”

Además los avisos legales y políticas de privacidad deberán ser más simples e inteligibles, facilitando su comprensión, además de más completos. Incluso se prevé que, con el fin de informar sobre el tratamiento de los datos, puedan utilizarse iconos normalizados.

2. Minimización de datos:

Los datos solicitados deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.

Los datos deben de ser adecuados pertinentes y no excesivos en relación con la finalidad y el ámbito para la que fueron recabados. Sin embargo, en el caso del RGPD no se limita por el exceso si no por la necesidad. Es decir, los datos personales serán adecuados pertinentes y limitados a la necesidad para la que fueron recabados.

“Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios.”

3. Limitación de la finalidad.

Los datos serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines”

A este respecto al RGPD aclara la posibilidad de realizar tratamientos de datos con finalidades distintas de las recogidas siempre y cuando se de una serie de presupuestos. Así en el 6.4 se establece que el responsable de tratamiento con objeto de determinar si dicho fin es compatible tendrá en cuenta una serie de cuestiones:

• cualquier relación entre los fines para los cuales se hayan recogido los datos personales y los fines del tratamiento ulterior previsto;
• el contexto en que se hayan recogido los datos personales, en particular por lo que respecta a la relación entre los interesados y el responsable del tratamiento;
• la naturaleza de los datos personales, en concreto cuando se traten categorías especiales de datos personales, de conformidad con el artículo 9, (Categorías especiales de datos personales) o datos personales relativos a condenas e infracciones penales, de conformidad con el artículo 10 (Datos relativos a condenas e infracciones);
• las posibles consecuencias para los interesados del tratamiento ulterior previsto;
• la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización.

4. Exactitud:

Los datos deber conservarse exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan. A este respecto señala también el considerando 39 que:

“Deben tomarse todas las medidas razonables para garantizar que se rectifiquen o supriman los datos personales que sean inexactos.”

5. Limitación en el plazo de conservación

“Los datos deber ser mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales”. 

Si bien en nuestra normativa ya se establece que deberán ser cancelados cuando los datos dejen de ser útiles para la finalidad en la que fueron recabados, el RGPD además de limitar el plazo de conservación establece la obligación al responsable de incluir plazos para la supresión o revisión periódica. Considerando 39:

“Para garantizar que los datos personales no se conservan más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su supresión o revisión periódica.”

6. Integridad y Confidencialidad:

Los datos deben ser tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.

La seguridad en el tratamiento de los datos aparece ya no sólo como una obligación si no como un principio del tratamiento de datos, y deberá ser adecuada a la categoría de datos que se esté tratando. Así el considerando 39 establece al respecto:

“Los datos personales deben tratarse de un modo que garantice una seguridad y confidencialidad adecuadas de los datos personales, inclusive para impedir el acceso o uso no autorizados de dichos datos y del equipo utilizado en el tratamiento.”

En próximos artículos hablaremos de las obligaciones que ha traído esta nueva Ley para las empresas, administraciones y diferentes entidades, así como sobre lo que supone respecto a la protección de los ciudadanos.

¿Qué piensas? ¿Tu negocio está adaptado a la RGPD?

El proceso de readaptación no es técnicamente fácil, por lo que es importante para las empresas contar con un asesoramiento especializado como el que realizamos en Proceso Social, que ofrezca garantías suficientes y que ayude a la gestión del RGPD y la LOPDGDD de forma sencilla y fiable.