Regístrate gratis
Principios del RGPD: licitud, finalidad, minimización y responsabilidad proactiva
Los siete principios del art. 5 RGPD, su conexión con la LOPDGDD y las trampas de examen: licitud no es lo mismo que base jurídica, finalidad no equivale a...
Los principios del art. 5 del Reglamento (UE) 2016/679 (RGPD) son la regla de fondo de cualquier tratamiento de datos personales. No dicen solo cuándo puede tratarse un dato, sino cómo debe hacerse: con finalidad clara, los mínimos datos necesarios, exactitud, seguridad, plazo limitado y capacidad de demostrar el cumplimiento. En España se completan con el Título II de la LO 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
La idea clave para examen es esta: el art. 5 RGPD contiene los principios; el art. 6 RGPD contiene las bases jurídicas que hacen lícito el tratamiento. Un tratamiento necesita las dos cosas a la vez. Puede existir una base jurídica y, aun así, vulnerarse el RGPD por recoger más datos de los necesarios o conservarlos demasiado tiempo.
Los siete principios del art. 5 RGPD
| Principio | Artículo | Qué exige |
|---|---|---|
| Licitud, lealtad y transparencia | 5.1.a | Tratar con base jurídica, sin engaño y con información clara al interesado. |
| Limitación de la finalidad | 5.1.b | Recoger datos con fines determinados, explícitos y legítimos, sin usos ulteriores incompatibles. |
| Minimización de datos | 5.1.c | Tratar solo datos adecuados, pertinentes y limitados a lo necesario. |
| Exactitud | 5.1.d | Mantener datos exactos y actualizados cuando sea necesario. |
| Limitación del plazo de conservación | 5.1.e | Conservar en forma identificable solo durante el tiempo necesario. |
| Integridad y confidencialidad | 5.1.f | Proteger los datos con medidas técnicas y organizativas apropiadas. |
| Responsabilidad proactiva | 5.2 | Cumplir y poder demostrar que se cumplen los principios anteriores. |
Licitud, lealtad y transparencia
La licitud se conecta con una de las seis bases del art. 6 RGPD: consentimiento, contrato, obligación legal, interés vital, misión de interés público o interés legítimo. No basta con que el tratamiento sea útil o cómodo para el responsable.
La lealtad impide usos sorpresivos o engañosos. Por ejemplo, no es leal recoger datos para gestionar una inscripción y reutilizarlos después para una finalidad no informada e incompatible.
La transparencia se concreta en los deberes de información de los arts. 12, 13 y 14 RGPD: información concisa, inteligible, de fácil acceso y con lenguaje claro. Si los datos se recogen directamente del interesado, se aplica el art. 13; si proceden de otra fuente, el art. 14.
Finalidad: determinada, explícita y legítima
El principio de limitación de la finalidad tiene dos caras. Primero, al recoger el dato debe indicarse para qué se recoge. Segundo, después no puede usarse para una finalidad incompatible.
El propio art. 5.1.b RGPD aclara una excepción importante: el tratamiento ulterior con fines de archivo en interés público, investigación científica o histórica o fines estadísticos no se considera incompatible, siempre con las garantías del art. 89 RGPD. Esta coletilla es muy preguntable porque rompe la regla general de no reutilización.
Minimización: el dato justo
La minimización exige que los datos sean adecuados, pertinentes y limitados a lo necesario. No significa que solo puedan recogerse datos obligatorios, sino que cada dato debe justificarse por una finalidad real. Si una Administración pide un dato que ya posee o que no necesita para tramitar el procedimiento, el problema no es de consentimiento: es de minimización.
La AEPD conecta este principio con la protección de datos desde el diseño y por defecto del art. 25 RGPD: por defecto debe tratarse la mínima cantidad de datos, durante el mínimo plazo y con la mínima accesibilidad necesaria.
Exactitud y conservación
El principio de exactitud obliga a adoptar medidas razonables para suprimir o rectificar sin dilación los datos inexactos respecto de los fines del tratamiento. Conecta directamente con el derecho de rectificación del art. 16 RGPD.
La limitación del plazo de conservación impide mantener datos identificables indefinidamente por simple comodidad. Cuando ya no sean necesarios, deben suprimirse, anonimizarse o bloquearse si una norma exige conservarlos para atender responsabilidades. En la LOPDGDD, el bloqueo de datos aparece como técnica relevante cuando debe impedirse el tratamiento ordinario pero conservarse a disposición de jueces, tribunales, Ministerio Fiscal o Administraciones competentes.
Seguridad y responsabilidad proactiva
La integridad y confidencialidad exige seguridad adecuada frente a accesos no autorizados, pérdida, destrucción o daño accidental. El art. 32 RGPD desarrolla este principio con medidas como seudonimización, cifrado, garantía de confidencialidad, integridad, disponibilidad y resiliencia, copias de seguridad y pruebas periódicas.
La responsabilidad proactiva del art. 5.2 es el cierre del sistema. El responsable no solo debe cumplir: debe poder demostrarlo. En examen suele aparecer asociada a registro de actividades, análisis de riesgos, evaluaciones de impacto, contratos con encargados, privacidad desde el diseño, notificación de brechas y designación de Delegado de Protección de Datos cuando proceda.
Conexión con la LOPDGDD
El Título II de la LOPDGDD adapta algunos principios al Derecho español:
| Artículo LOPDGDD | Materia |
|---|---|
| Art. 4 | Exactitud de los datos. |
| Art. 5 | Deber de confidencialidad. |
| Arts. 6 y 7 | Consentimiento y consentimiento de menores de edad. |
| Art. 8 | Tratamiento por obligación legal, interés público o ejercicio de poderes públicos. |
| Art. 9 | Categorías especiales de datos. |
| Art. 10 | Datos de naturaleza penal. |
Ojo con el art. 9 LOPDGDD: para evitar discriminación, el consentimiento del afectado por sí solo no basta para levantar la prohibición de tratar ciertas categorías especiales cuando la finalidad principal sea identificar ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.
Para test
- Art. 5.1 RGPD: seis principios materiales; art. 5.2 RGPD: responsabilidad proactiva.
- Licitud no equivale solo a consentimiento: puede haber otras bases del art. 6.
- Finalidad exige fines determinados, explícitos y legítimos.
- Minimización se formula como datos adecuados, pertinentes y limitados a lo necesario.
- Archivo en interés público, investigación científica o histórica y estadística no se consideran incompatibles si se aplican garantías del art. 89.
- Seudonimizar no es anonimizar: el dato seudonimizado sigue siendo dato personal si puede reidentificarse con información adicional.
- En una pregunta práctica, primero identifica finalidad y base jurídica; después revisa minimización, plazo y seguridad.
Fuentes oficiales
¿Te ha sido útil?
Crea tu cuenta gratis y accede a más recursos para tu oposición
🚀 Regístrate gratis