Nuevos principios de la protección de datos (RGPD)

Aunque los principios establecidos por la Directiva 95/46/CE que desarrolla la Ley Orgánica de Protección de Datos (LOPD) se mantienen, el nuevo Reglamento General de Protección de Datos (RGPD) implanta novedades y nuevas designaciones, para que el nivel de protección de los datos de carácter personal sea el mismo en todos los países de la UE.

Los nuevos principios a aplicar en el tratamiento de datos, tal y como los recoge el Reglamento General de Protección de Datos son los siguientes:

Principio de licitud, lealtad y transparencia

Los datos personales deben ser tratados de manera lícita, leal y transparente en relación con el interesado.

Principio de limitación de finalidad
Los datos personales recogidos con fines determinados, explícitos y legítimos; no serán tratados posteriormente de manera incompatible con dichos fines.

Principio de minimización
Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.

Principio de exactitud
Los datos personales deben ser exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.

Principio delimitación del plazo de conservación
Los datos personales deben ser mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines por los que se tratan. Salvo si el tratamiento se realiza exclusivamente para fines de archivo en interés público o para investigación histórica, estadística o científica.

Principio de integridad y confidencialidad
Los datos deben ser tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.

Principio de responsabilidad proactiva
El responsable del tratamiento será responsable del cumplimiento de los demás principios del tratamiento, y debe ser capaz de demostrarlo.

En su artículo 6, el nuevo RGPD explica que todo tratamiento de datos de carácter personal debe ser lícito y leal. Así, el tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

El interesado da consentimiento

El interesado debe dar su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos.

Existe un contrato

Para realizar el tratamiento será necesario un contrato, en el que el interesado sea una de las partes.

El tratamiento es necesario

El tratamiento es necesario para:

• El cumplimiento de una obligación legal aplicable al responsable.
• Proteger intereses vitales del interesado o de otra persona física.
• El cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
• La satisfacción de intereses legítimos del responsable del tratamiento o de un tercero, siempre que sobre estos intereses no prevalezcan los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado es un niño.

Cuando el tratamiento sea para otro fin distinto del determinado inicialmente cuando se recogieron los datos, aunque no esté basado en el consentimiento del interesado, el responsable del tratamiento, para determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos, tendrá en cuenta:

Relación entre los fines

Cualquier relación entre los fines para los cuales se hayan recogido los datos personales y los fines del tratamiento posterior previsto.

Contexto

El contexto en que se hayan recogido los datos personales, sobre la relación entre los interesados y el responsable del tratamiento.

Naturaleza de datos

La naturaleza o categoría de los datos personales.

Consecuencias

Las posibles consecuencias para los interesados del tratamiento posterior.

Garantías

La existencia de garantías adecuadas, que podrán incluir el cifrado o la pseudonimización.

En resumen, el nuevo RGPD se basa en la necesidad de que los tratamientos de datos deben apoyarse en una base que lo legitime, al igual que recoge la Directiva 95/46 y la normativa española (LOPD);  esto es, las bases sobre las que se permite el tratamiento de datos son:

• El consentimiento del interesado.
• La existencia de una relación contractual.
• La existencia de intereses vitales del interesado o de otras personas.
• La existencia de una obligación legal para el responsable del tratamiento.
• La existencia de un interés público o ejercicio de poderes públicos.
• La existencia de unos intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos.