Principios del RGPD: licitud, lealtad, transparencia y minimización

Los principios relativos al tratamiento son la columna vertebral del Reglamento (UE) 2016/679 (RGPD) (texto oficial en BOE/DOUE) y, por remisión, de la LO 3/2018 (LOPDGDD) (texto consolidado en BOE). Aparecen condensados en el art. 5 RGPD, que recoge siete principios que todo responsable y encargado deben cumplir antes incluso de empezar a tratar un dato personal.

No confundas principios (art. 5) con bases jurídicas o de licitud (art. 6). Los principios son las reglas de juego permanentes; las bases jurídicas son los seis títulos posibles que legitiman el tratamiento. Esta distinción suele caer en test casi cada convocatoria.

Los siete principios del art. 5 RGPD

#	Principio	Idea fuerza
1	Licitud, lealtad y transparencia (art. 5.1.a)	El tratamiento debe apoyarse en una base jurídica, ser leal con el interesado e informar de forma comprensible.
2	Limitación de la finalidad (art. 5.1.b)	Solo se recogen datos para fines determinados, explícitos y legítimos; no se reutilizan para fines incompatibles.
3	Minimización de datos (art. 5.1.c)	Adecuados, pertinentes y limitados a lo necesario.
4	Exactitud (art. 5.1.d)	Datos exactos y, si fuera necesario, actualizados; suprimir o rectificar los inexactos sin dilación.
5	Limitación del plazo de conservación (art. 5.1.e)	Mantenerlos en forma identificable solo durante el tiempo necesario para la finalidad.
6	Integridad y confidencialidad (art. 5.1.f)	Garantizar la seguridad mediante medidas técnicas y organizativas apropiadas.
7	Responsabilidad proactiva (accountability) (art. 5.2)	El responsable es responsable y capaz de demostrar el cumplimiento de los seis principios anteriores.

Licitud, lealtad y transparencia

• Licitud: amparado en alguna de las seis bases del art. 6 RGPD.
• Lealtad: sin engaño, sin tratar de forma oculta o inesperada para el interesado.
• Transparencia: deber de información del art. 13 (recogida directa) y 14 (recogida indirecta). Lenguaje claro, conciso y comprensible, especialmente cuando el interesado es un menor.

Limitación de la finalidad

Tres elementos: finalidades determinadas (concretas), explícitas (declaradas al recoger el dato) y legítimas (con cobertura jurídica). El tratamiento ulterior con fines de archivo en interés público, investigación científica o estadística no se considera incompatible (art. 5.1.b in fine y art. 89 RGPD).

Minimización

Es uno de los principios más operativos y vinculado al concepto de privacy by design del art. 25. Si no necesitas el dato para la finalidad, no lo pidas.

Exactitud

Implica deber de rectificación proactiva. Conecta directamente con el derecho de rectificación del art. 16 RGPD.

Limitación del plazo de conservación

Se permite la conservación más allá del plazo solo para fines de archivo en interés público, investigación científica/histórica o estadística, con garantías del art. 89.

Integridad y confidencialidad

Obliga a medidas técnicas y organizativas: cifrado, seudonimización, control de acceso, registro de actividades, copias de seguridad, etc. Se desarrolla en el art. 32 (seguridad del tratamiento).

Responsabilidad proactiva (accountability)

"El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo (responsabilidad proactiva)" — art. 5.2 RGPD.

Es el principio que articula los demás: el responsable no solo debe cumplir sino también demostrar que cumple (registro de actividades del art. 30, evaluaciones de impacto del art. 35, designación de DPD del art. 37, etc.).

Diferencia crítica con las bases jurídicas (art. 6)

Los principios del art. 5 rigen cómo se tratan los datos; las bases del art. 6 legitiman que se traten. El tratamiento debe cumplir simultáneamente con ambos artículos.

• Art. 5 = condiciones cualitativas que el tratamiento debe respetar siempre.
• Art. 6 = uno de los seis títulos jurídicos posibles (consentimiento, contrato, obligación legal, interés vital, interés público, interés legítimo).

Una empresa puede tener una base jurídica perfecta (consentimiento informado) y, aun así, vulnerar la minimización si pide datos innecesarios.

Conexión con la LOPDGDD

La LO 3/2018, en su Título II "Principios de protección de datos" (arts. 4 a 10), concreta para España algunas reglas: exactitud (art. 4), confidencialidad (art. 5), consentimiento (arts. 6-7), tratamiento por obligación legal o interés público (art. 8), categorías especiales (art. 9), tratamiento de datos de naturaleza penal (art. 10).

Para test

• Memoriza los siete principios y su orden en el art. 5.
• Recuerda que la responsabilidad proactiva está en el art. 5.2, no en el 5.1.
• Diferencia siempre art. 5 (principios) y art. 6 (bases jurídicas).
• El plazo de conservación puede ampliarse para archivo, investigación o estadística con garantías del art. 89.
• La seudonimización y el cifrado son ejemplos clásicos de medidas que materializan el principio de integridad y confidencialidad.