ARTÍCULO 5, APARTADO 1, LETRA B), DEL RGPD
El Principio de Protección de Datos de Limitación de Finalidad
Una empresa siempre debe tener un propósito predeterminado para el procesamiento de datos personales. Por lo tanto, el RGPD no permite el tratamiento de datos personales sin ningún fin.
Debe ser un propósito claro
El principio de limitación de la finalidad establece que la finalidad de que se trate debe ser específica y clara. Esto significa que el propósito no debe ser difuso, demasiado amplio o poco claro. Además, una empresa no puede procesar más datos personales de los realmente necesarios para cumplir con el propósito. La empresa también determinará el propósito del procesamiento antes de realizar el procesamiento. Esto significa que no es posible recopilar una gran cantidad de datos personales «solo porque puede ser útil tenerlos en el futuro» y comenzar a determinar los fines del tratamiento de los datos personales después de la recopilación.
El principio de limitación de propósito en RGPD
El artículo 5, apartado 1, letra b), del RGPD establece el principio de limitación de la finalidad. Tenga en cuenta que la empresa también debe cumplir los demás principios básicos de protección de datos, como el principio de legalidad, equidad y transparencia.
Informar a los interesados de la finalidad del tratamiento
Al informar a los interesados de la finalidad del tratamiento de sus datos personales, los interesados comprenderán, entre otras cosas, lo siguiente:
- Por qué: Por qué la empresa procesa los datos personales.
- Adecuado: Si el procesamiento es apropiado en relación con su uso.
- Derechos: Si el interesado puede influir en el tratamiento a través de los derechos que los interesados tienen en virtud del RGPD.
Propósitos compatibles de acuerdo con el Principio de Limitación de Propósito
En algunos casos, una empresa puede procesar datos personales además del propósito inicial establecido de uso, para un nuevo propósito. Sin embargo, en tales casos, el nuevo propósito debe ser compatible con el propósito original de uso. En tales casos, no es necesario que la empresa tenga una base legal separada de la que se utilizó para el propósito original del procesamiento. Tenga en cuenta que la empresa también debe cumplir siempre con las demás normas del RGPD y otras leyes pertinentes en todo el procesamiento de datos personales.
A continuación puede leer algunos ejemplos de operaciones de procesamiento que pueden ser compatibles entre sí, siempre que la empresa cumpla con las salvaguardas del RGPD. Cuando el tratamiento adicional se lleve a cabo para:
- Archivar en aras del interés público.
- Si el interesado no puede esperar el procesamiento.
- Fines estadísticos.
Ejemplos de cuando un nuevo propósito de procesamiento de los mismos datos personales no es compatible con el propósito original de uso:
- Si el cambio en el propósito de uso es demasiado significativo.
- Propósitos de investigación histórica (lo mismo se aplica a los propósitos de investigación científica).
- Cuando las consecuencias del tratamiento no sean justas para el interesado.
El considerando 50 del RGPD contiene más información sobre los fines compatibles.
Si la base jurídica para el tratamiento de datos personales es el consentimiento
El consentimiento es una base legal relativamente común para que las empresas utilicen al procesar datos personales. Cuando la base legal es el consentimiento, en la mayoría de los casos las empresas necesitan obtener un nuevo consentimiento para procesar datos personales para otros fines compatibles. Tenga en cuenta que si el interesado revoca su consentimiento, el tratamiento cesará.
Medidas técnicas y organizativas de seguridad para implementar
Las empresas deben tomar las medidas de seguridad técnicas y organizativas adecuadas para cumplir con el RGPD y, sobre todo, garantizar el cumplimiento del principio de minimización de datos. En otras palabras, limitar la recopilación de datos personales a lo que sea directamente necesario y relevante para lograr el propósito declarado. Esto significa que una empresa no procesará más datos personales de los necesarios. Las empresas deben tomar medidas de seguridad más fuertes y más altas cuanto más sensibles sean los datos personales. Por ejemplo, la empresa puede:
- Cifrar los datos personales.
- Seudonimizar los datos personales.
- Archivar los datos personales.
Tenga en cuenta que, en algunos casos, las empresas pueden anonimizar los datos personales y, posteriormente, utilizar datos anónimos. Los datos anónimos ya no son datos personales. Por lo tanto, el RGPD no cubre los datos anónimos.
Determinar si el nuevo propósito de uso es compatible con el propósito inicial del procesamiento
A continuación se presentan algunos ejemplos de preguntas que las empresas pueden responder, al evaluar si un procesamiento de los mismos datos personales para otro propósito de uso es compatible con el propósito inicial:
Conexión
¿Cuál es la conexión entre el procesamiento nuevo y el inicial?
Contexto
¿En qué contexto ha recopilado la empresa los datos personales?
Características
¿Cuál es la naturaleza de los datos personales? (Por ejemplo, si el tratamiento se refiere a datos personales sensibles a la privacidad o sensibles).
Consecuencias
¿Cuáles son las consecuencias del tratamiento para los interesados?
Medidas técnicas y organizativas
¿Qué medidas técnicas y organizativas de seguridad toma la empresa? (Por ejemplo, encriptación de datos personales e implementación de procedimientos internos para violaciones de datos personales).
Procesamiento de datos personales para un nuevo propósito de uso
En algunos casos, las empresas pueden procesar datos personales para un nuevo propósito de uso. Sin embargo, la empresa debe cumplir con lo siguiente:
- La empresa debe haber obtenido el consentimiento del interesado o demostrar que el RGPD u otra legislación relevante permite el procesamiento para el nuevo propósito.
- Además de los requisitos anteriores, la empresa también debe informar a los interesados sobre el procesamiento. La información debe ser proporcionada antes de que la empresa comience el procesamiento. Por ejemplo, los interesados deben ser informados de sus derechos y de la nueva finalidad del uso. Sin embargo, puede haber excepciones a la obligación de proporcionar información en ciertos casos.
OTROS PRINCIPIOS DE PROTECCIÓN DE DATOS
El principio básico de protección de datos de la minimización de datos
Cuando una empresa procesa datos personales, debe asegurarse de que los datos personales sean precisos, relevantes y limitados. En otras palabras, las empresas no pueden procesar más datos personales de los necesarios para el propósito que han especificado a los interesados. En primer lugar, la empresa debe analizar el propósito del procesamiento. A continuación, pueden determinar si los datos personales son necesarios para lograr el propósito del procesamiento. El principio de minimización de datos significa que la cantidad de datos que las empresas procesan debe minimizarse y, por lo tanto, limitarse a los que son necesarios para procesar. Una empresa no puede procesar ningún dato personal innecesario que no sea necesario para lograr el propósito declarado del procesamiento.