El Reglamento General de Protección de Datos (RGPD) define hasta seis principios de protección de datos que las organizaciones y empresas deben adoptar cuando recogen, procesan y almacenan datos personales. El responsable de tratamiento no sólo debe aplicar estos principios, sino que además tiene que ser capaz de demostrar que sus prácticas se adhieren a ellos.
A continuación, recogemos la lista de los seis principios con consejos sobre cómo podemos seguirlos:
Licitud, lealtad y transparencia
El primer principio es en cierto modo obvio: las organizaciones y empresas necesitan asegurarse de que sus prácticas de gestión de datos personales no violan la ley y que no actúan de espaldas a los sujetos interesados.
Para que las empresas puedan asegurarse de que se mantienen dentro de los márgenes de la ley, necesitan estar al tanto de sus obligaciones legales. Contar con ayuda profesional especializada en materia de protección de datos es una de las opciones.
En cuanto a la transparencia, las empresas y organizaciones deben de declarar en sus políticas de privacidad los tipos de datos que recogen y las razones para hacerlo.
Limitación de finalidad
Las organizaciones y empresas sólo deben recoger datos personales con una finalidad específica, es decir, no vale recoger datos de más por si acaso se le ocurren otros usos posteriormente. Además, deben comunicar esta finalidad de manera manifiesta y almacenar los datos por el tiempo mínimo necesario para llevar a cabo dicha finalidad. Una vez que se ha llevado a cabo dicha finalidad, los datos se deben eliminar. Por ejemplo, un banco recoge y almacena datos personales de sus clientes, pero una vez que una persona deja de ser cliente de ese banco, la finalidad para la que se recogieron esos datos no existe y por lo tanto deben ser eliminados.
Cabe mencionar que el RGPD contempla una mayor libertar para archivar datos personales con fines de interés público, científicos, históricos o estadísticos.
Minimización de datos
Las empresas y organizaciones solo deben procesar los datos personales que necesiten para los fines que declaren, ni uno más. Este principio no sólo nos ayuda a cumplir con la ley, sino que presenta el beneficio añadido de que en caso de una brecha de seguridad el alcance sea más limitado.
Además, la minimización de datos también ayuda a mantener datos más fiables y actualizados ya que el volumen a gestionar es menor.
Exactitud
La exactitud de los datos personales es un elemento integral de la protección de datos. El RGPD establece que “se adoptarán todas las medidas razonables” para borrar o corregir los datos que sean erróneos o incompletos.
Los sujetos interesados tienen además el derecho de que cualquier dato erróneo o incompleto sea borrado o corregido en un plazo máximo de 30 días.
Limitación del plazo de conservación
Del mismo modo, las empresas y organizaciones deberán borrar los datos personales cuando ya no les hagan falta.
Determinar el momento en el que los datos dejan de ser necesarios requerirá de una evaluación exhaustiva y es una frecuente fuente de controversia. Algunos responsables de tratamiento se escudan en que tienen el derecho de conservar los datos personales mientras un cliente pueda ser considerado como tal. Así que la pregunta sería ¿por cuánto tiempo después de una compra/contratación puede considerarse a un individuo como cliente?
La respuesta variará entre sectores y dependiendo de la finalidad por la que se han recabado esos datos personales. Una vez más, el asesoramiento profesional es fundamental para aquellas empresas en las que este punto plantee dudas.
Integridad y confidencialidad
Este es el principio del RGPD que se ocupa explícitamente de la seguridad. El RGPD establece que los datos personales deben ser “tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas”.
El RGPD no menciona de manera explícita las medidas que las organizaciones deben tomar porque las prácticas y tecnologías de las empresas varían constantemente. Siempre que sea posible los datos almacenados en formato digital deben ser codificados y pseudonimizados, pero se pueden y se deben considerar otras opciones a disposición del responsable de tratamiento.