En el núcleo de GDPR hay siete principios que brindan orientación a las organizaciones sobre cómo pueden proteger y usar apropiadamente los datos, así como expectativas claras para los residentes de la UE sobre cómo se deben procesar sus datos.
Violar estos principios fundamentales puede resultar en multas y sanciones más altas de GDPR.
A continuación, cubriremos cada uno de los principios de privacidad de datos de GDPR para que pueda comprender mejor cómo procesar los datos personales y protegerlos.
Principios de Privacidad de Datos
Los siete principios de protección y responsabilidad que las organizaciones deben cumplir al procesar datos personales están delineados en los Artículos 5.1-2 del documento GDPR.
Estos no son instrucciones explícitas sobre cómo cumplir con GDPR. En cambio, reflejan la ética de la regulación de privacidad de datos y ayudan a guiar a las organizaciones en cómo procesan la información personal y formulan sus protocolos de protección de datos.
A continuación, proporcionaremos una breve visión general de estos principios.
1. Licitud, equidad y transparencia
El procesamiento de datos debe ser lícito, justo y transparente para el titular de los datos.
La licitud significa que tiene una base legal para procesar datos personales. El GDPR incluye seis razones:
- Consentimiento: El individuo ha dado su consentimiento al procesador de datos.
- Contrato: El procesamiento es necesario para un contrato que tiene con el individuo, o porque el individuo le ha pedido que tome pasos específicos antes de entrar en un contrato.
- Obligación legal: Debe procesar datos para cumplir con la ley.
- Intereses vitales: Debe procesar datos para salvar la vida de un individuo.
- Tarea pública: Debe procesar datos en interés del público.
- Interés legítimo: El procesamiento de datos está en su interés legítimo o en el interés legítimo de un tercero y no viola los derechos o libertades fundamentales del titular de los datos. Esta es la base lícita más flexible para el procesamiento de datos. Ejemplos de interés legítimo incluyen marketing, prevención de fraude y seguridad informática.
2. Limitación del propósito
El procesamiento de datos debe limitarse a los motivos explícitamente indicados al titular de los datos cuando se recogieron. Las excepciones son si el nuevo propósito es relevante para el anterior para la recolección de esos datos, o si tiene una responsabilidad clara para realizar el nuevo propósito tal y como se establece en la ley.
Por ejemplo, supongamos que un individuo contactó con una agencia de viajes para solicitar información sobre vuelos a California. En el futuro, esa agencia podría contactar a ese individuo acerca de una oferta especial en vuelos a Los Ángeles. No podrían contactar a ese individuo sobre bienes y servicios no relacionados con las vacaciones en California. Para hacerlo, tendrían que obtener el consentimiento del individuo para usar sus datos de una nueva manera.
3. Minimización de datos
Las organizaciones solo pueden procesar la cantidad de datos absolutamente necesaria para los fines especificados.
De acuerdo con la regulación, los datos deben ser adecuados, pertinentes y limitados. Esto puede significar cosas diferentes dependiendo del motivo para recoger los datos.
Hay tres estipulaciones específicas basadas en este principio:
- Si se necesitan algunos datos para un conjunto particular de individuos, la organización no está autorizada para recopilarlos de todos los titulares de los datos.
- Las organizaciones no pueden recopilar datos con la base de que puedan usarlos en el futuro.
- Si los datos recopilados para un propósito son insuficientes, no se deben procesar.
Para seguir esta directriz, las organizaciones deben revisar periódicamente los datos personales que tienen y eliminar cualquier dato innecesario.
4. Exactitud
Los datos personales deben mantenerse exactos y actualizados.
Según el GDPR, los titulares de los datos no solo tienen el derecho de que los datos inexactos se corrijan, sino que también se espera que las organizaciones tengan los procesos adecuados para garantizar la exactitud de los datos desde el inicio. También se requiere actualizar la información regularmente, lo que incluye registrar y corregir cualquier error.
5. Limitación del almacenamiento
Los datos personales solo pueden ser almacenados durante el tiempo que sea necesario para su propósito específico.
El GDPR no estipula un período de tiempo. En cambio, las organizaciones deben poder justificar cuánto tiempo mantienen los datos personales y revisarlos regularmente.
Hay algunas excepciones. Los datos personales pueden preservarse por períodos indefinidos para propósitos relacionados con el interés público, investigación científica o histórica, o estadísticas.
6. Integridad y confidencialidad
Los datos deben ser procesados de una manera que garantice su seguridad, integridad y confidencialidad. Esto puede requerir medidas de ciberseguridad y seguridad física.
El GDPR no especifica qué medidas de seguridad deben implementarse, solo que sean “adecuadas” a los riesgos asociados con el procesamiento de esos datos personales.
Dependiendo de la organización y el nivel de riesgo, las medidas de seguridad típicamente incluyen una política de seguridad de la información que estipule quién puede acceder y gestionar los datos, encriptación y seudonimización.
Las organizaciones también deben tener procesos para restaurar el acceso o recuperar los datos personales en los peores escenarios.
7. Responsabilidad
Los controladores de datos deben poder demostrar que sus actividades de procesamiento de datos cumplen con todos estos principios del GDPR.
Esto requiere que las organizaciones documenten evidencia de cumplimiento con el GDPR, incluyendo las siguientes responsabilidades:
- Adoptar e implementar políticas para proteger los datos personales.
- Implementar medidas de protección de datos a lo largo del ciclo de vida completo de los datos personales.
- Crear y almacenar contratos escritos con las organizaciones que procesan datos para su organización.
- Registrar cómo procesa nuestros datos.
- Implementar medidas de seguridad técnicas y organizacionales efectivas.
- Registrar y reportar cualquier violación de datos personales.
Preguntas Frecuentes
¿Cuáles son los 7 principios del GDPR?
Los 7 principios del GDPR son:
- Licitud, equidad y transparencia: El procesamiento de datos debe ser lícito, justo y transparente para el titular de los datos.
- Limitación del propósito: El procesamiento de datos debe estar limitado a los propósitos explícitamente establecidos al titular de los datos cuando usted los recopiló.
- Minimización de datos: Las organizaciones solo pueden procesar la cantidad de datos absolutamente necesaria para los propósitos especificados.
- Exactitud: Los datos personales deben mantenerse exactos y actualizados.
- Limitación del almacenamiento: Los datos personales solo pueden ser almacenados durante el tiempo que sea necesario para su propósito específico.
- Integridad y confidencialidad: Los datos deben ser procesados de una manera que garantice su seguridad, integridad y confidencialidad.
- Responsabilidad: Los controladores de datos deben poder demostrar que sus actividades de procesamiento de datos cumplen con todos estos principios del GDPR.
¿Cuál es un ejemplo de limitación de propósito bajo el RGPD?
Por ejemplo, si una persona contactó a una agencia de viajes para solicitar información sobre vuelos a California, entonces la agencia podría contactar a esa persona sobre una oferta especial en vuelos a Los Ángeles en el futuro. Esto es porque el nuevo propósito es compatible con el propósito original. Sin embargo, la agencia no podría contactar a esa persona sobre sus servicios para la planificación de reuniones corporativas, a menos que obtuvieran el consentimiento específico de la persona para este nuevo propósito.
¿Cuál es el principio de precisión de los datos?
Uno de los principios centrales del RGPD es que los datos personales deben mantenerse precisos y actualizados. Esto requiere que las organizaciones implementen procesos para garantizar la precisión de cualquier dato personal y actualicen periódicamente la información.