Los principios reguladores
Quienes traten datos personales deben respetar los principios generales consagrados en el art. 5 RGPD:
a) licitud, lealtad y transparencia,
b) limitación de la finalidad,
c) minimización de datos,
d) exactitud,
e) limitación del plazo de conservación
f) integridad y confidencialidad
g) responsabilidad proactiva
⇒ Para cumplir con el principio de licitud es esencial contar como con una base legitimadora. Los principios de lealtad y transparencia exigen que los tratamientos no se lleven a cabo de manera subrepticia sino observando el deber de informar a los interesados.
⇒ Siendo todos importantes, uno de los principios que más relevancia práctica tiene es el de minimización que exige que solo se traten los datos personales necesarios para los fines perseguidos. En consecuencia, hay que verificar en cada caso concreto qué datos son realmente necesarios para alcanzar los fines propuestos y evitar el tratamiento de datos excesivos para no vulnerar el principio y cometer una infracción.
⇒ Otro principio muy relevante en la práctica es el de limitación del plazo de conservación, que prohíbe conservar datos personales durante más tiempo del necesario para los fines del tratamiento. En consecuencia, cuando se hayan alcanzado los fines del tratamiento, los datos personales deberán ser suprimidos, salvo que esté justificada su conservación con otra finalidad legalmente prevista (p. ej. archivo en interés público, investigación científica o histórica, fines estadísticos)
⇒ Es preciso también tener muy presente que el principio de limitación de finalidad prohíbe que los datos se utilicen para fines incompatibles con aquéllos para los que fueron recabados. En consecuencia, si se desea tratar los datos con fines distintos de los iniciales se tendrá que superar con éxito el "test de compatibilidad" previsto en el art. 6.4 RGPD, salvo que exista una base legal específica o se obtenga el consentimiento inequívoco del interesado para ello
⇒ Los datos tratados deberán ser exactos, por lo que es obligado mantenerlos actualizados, rectificando o suprimiendo los inexactos (principio de exactitud).
⇒ Se tienen que aplicar las medidas técnicas u organizativas adecuadas para garantizar la integridad y la confidencialidad de los datos personales, protegiéndolos frente a tratamientos no autorizados o ilícitos y contra su pérdida, destrucción o daño accidental.
⇒ El RGPD ha introducido como novedad frente al sistema anterior el principio de "responsabilidad proactiva" (en inglés: Accountability), lo cual comporta un cambio de paradigma de cumplimiento: no basta con la mera observancia pasiva de las normas sino que se exige un enfoque "proactivo". Hay que evaluar los riesgos de los tratamientos y adoptar las medidas que en cada caso resulten apropiadas para garantizar el cumplimiento, debiendo además estar siempre en condiciones de poder demostrarlo.