El artículo 5 del GDPR, que es el que establece los principios relativos al tratamiento, es la esencia del Reglamento y su cumplimiento la base sobre la que se sustenta un sólido y eficaz sistema de cumplimiento de la normativa de protección de datos.
Podemos decir que, si cumplimos con el artículo 5, estamos implícitamente cumpliendo el resto de artículos de los capítulos II al V del GDPR, ya que estos se podrían considerar aplicaciones prácticas del artículo 5.
Vamos a continuación a analizar cada uno de los seis principios, y el resto de artículos del GDPR que deberíamos cumplir, para no infringir ninguno de ellos.
1. LICITUD, LEALTAD Y TRANSPARENCIA (art. 5.1.a)
Los datos personales deben ser tratados de manera lícita, leal y transparente en relación con el interesado.
El principio de licitud y lealtad exige que:
El principio de transparencia exige que toda información y comunicación relativa al tratamiento de datos sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro (art. 12). Dicho principio se refiere en particular:
2. LIMITACIÓN DE LA FINALIDAD (art. 5.1.b)
Los datos personales deben ser recogidos con fines determinados, explícitos y legítimos; deben determinarse en el momento de su recogida y no serán tratados ulteriormente de manera incompatible con dichos fines, el tratamiento ulterior con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales.
3. MINIMIZACIÓN DE DATOS (art. 5.1.c)
Los datos personales recabados deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
Los datos personales no se deben tratar si lo que se pretende pudiera lograrse razonablemente por otros medios.
4. EXACTITUD (art. 5.1.d)
Los datos personales tratados deben ser exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.
5. LIMITACIÓN DEL PLAZO DE CONSERVACIÓN (art. 5.1.e)
Los datos personales se deben conservar de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento para los que fueron recabados; podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el GDPR a fin de proteger los derechos y libertades del interesado.
Se debe garantizar que se limite a un mínimo estricto su plazo de conservación. Para garantizar no se conservan más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su supresión o revisión periódica.
6. INTEGRIDAD Y CONFIDENCIALIDAD (art. 5.1.f )
Los datos personales deben ser tratados de tal manera que se garantice una seguridad adecuada de los mismos, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas. Incluso impidiendo el acceso o uso no autorizados de dichos datos y del equipo utilizado en el tratamiento.
Para la adopción de esas medidas apropiadas, que además se deben revisar y actualizar cuando sea necesario, será preciso analizar y evaluar los riesgos que el tratamiento de esos datos personales suponga para el interesado (art. 24, 25 y 32). La adhesión a códigos de conducta (art. 40-41) o a un mecanismo de certificación (art. 42-43) podrán ser utilizados como elementos para demostrar el cumplimiento de estas obligaciones.
Cuando el tratamiento suponga un alto riesgo para el interesado, se deberá llevar a cabo de manera previa al inicio del mismo una evaluación de impacto (EIPD) (art. 35); si tras la EIPD el riesgo continúa siendo alto y no se dispone de medidas para reducirlo, se deberá consultar a la autoridad de control (AC) antes de iniciar el tratamiento (art. 36).
Cuando se produzca una brecha de seguridad a pesar de las medidas implantadas, además de notificarla a la AC si supone un riesgo para los interesados afectados y comunicarla a los propios afectados si este riesgo es alto, se deben adoptar nuevas medidas para poner remedio a la brecha y para mitigar los posibles efectos negativos que suponga la misma (art. 33 y 34).
Se deben adoptar no solo medidas técnicas, sino también organizativas, y dentro de estas, son obligatorias:
7. RESPONSABILIDAD PROACTIVA (art. 5.2)
En el apartado 2 del artículo 5 se establece que no solo debemos cumplir con los principios anteriormente relacionados, sino que además debemos ser capaces de demostrarlo.
EJEMPLO DE INCUMPLIMIENTO DEL ARTÍCULO 5 GDPR
A continuación, analizamos un claro ejemplo de incumplimiento de prácticamente todos estos principios y lo que supone desde el punto de vista sancionador, por parte de la AEPD.
Se trata del procedimiento sancionador PS/00240/2019 instruido por la AEPD por múltiples reclamaciones a una conocida entidad de información crediticia (EIC).
La EIC recopilaba datos personales de la información publicada en boletines o diarios oficiales de AAPP para hacer efectiva la notificación de una resolución administrativa o judicial.
La EIC trataba posteriormente esos datos personales con el fin de determinar la solvencia de los titulares de los mismos, para generar después informes sobre esa situación y facilitarlos a otras entidades.
Los incumplimientos del artículo 5.1 que se darían en este caso, serían:
Intereses incompatibles, según la AEPD, con respecto a la finalidad para la cual los datos fueron recabados inicialmente, es decir hacer efectiva la notificación de una resolución administrativa o judicial.
Por tanto, trataban los datos sin la base jurídica adecuada (art. 6.1 GDPR), incumpliendo el principio de licitud y sin facilitar la información relativa a este tratamiento de datos personales a todos los interesados (art. 14 GDPR), incumpliendo el principio de transparencia.
La AEPD concluye el procedimiento: