Regístrate gratis
Principios del RGPD: el art. 5 explicado para oposiciones
Los 7 principios del art. 5 RGPD (licitud-lealtad-transparencia, limitación de finalidad, minimización, exactitud, plazo, integridad y confidencialidad
Los principios del art. 5 del RGPD (Reglamento UE 2016/679) son la regla de fondo de cualquier tratamiento de datos personales. No dicen solo cuándo puede tratarse un dato, sino cómo debe hacerse: con finalidad clara, los mínimos datos necesarios, exactitud, seguridad, plazo limitado y capacidad de demostrar el cumplimiento. En España se completan con el Título II de la LO 3/2018 LOPDGDD. Esta guía recoge los 7 principios con su jurisprudencia troncal del TJUE, la doctrina de la AEPD y los errores típicos del examen.
Marco normativo
| Norma | Contenido |
|---|---|
| Reglamento (UE) 2016/679 RGPD | Marco europeo |
| Art. 5 RGPD | Principios del tratamiento |
| Art. 6 RGPD | Bases jurídicas |
| Art. 9 RGPD | Categorías especiales |
| Art. 10 RGPD | Datos penales |
| Arts. 12-14 RGPD | Información y transparencia |
| Arts. 25-32 RGPD | Diseño, seguridad, EIPD |
| Arts. 33-34 RGPD | Notificación de brechas |
| Arts. 35-36 RGPD | EIPD y consulta previa |
| Arts. 37-39 RGPD | DPD |
| LO 3/2018 LOPDGDD, arts. 4-10 | Adaptaciones nacionales |
| STJUE varias | Doctrina troncal |
| AEPD: guías | Doctrina nacional |
Diferencia clave: principios (art. 5) vs bases (art. 6)
| Aspecto | Principios (art. 5) | Bases (art. 6) |
|---|---|---|
| Naturaleza | Regla de fondo cómo se trata | Justificación de licitud |
| Pregunta | ¿Cómo se trata? | ¿Por qué/con qué título? |
| Cumplimiento | Todos los 7 | Al menos una |
| Sanción | Hasta 20 M € o 4 % volumen global | Idem |
| Coexistencia | Necesarios ambos | Idem |
Trampa típica: pensar que tener una base jurídica del art. 6 basta. No basta. Hay que cumplir los principios del art. 5 simultáneamente.
Los 7 principios del art. 5
| Principio | Apartado | Idea nuclear |
|---|---|---|
| Licitud, lealtad y transparencia | 5.1.a | Base jurídica + sin engaño + información clara |
| Limitación de la finalidad | 5.1.b | Fines determinados, explícitos y legítimos |
| Minimización de datos | 5.1.c | Adecuados, pertinentes y limitados a lo necesario |
| Exactitud | 5.1.d | Datos exactos y actualizados |
| Limitación del plazo de conservación | 5.1.e | Solo el tiempo necesario en forma identificable |
| Integridad y confidencialidad | 5.1.f | Seguridad técnica y organizativa |
| Responsabilidad proactiva | 5.2 | Cumplir + poder demostrarlo |
Principio 1 — Licitud, lealtad y transparencia (art. 5.1.a)
Licitud
Conexión con el art. 6 RGPD (6 bases jurídicas). Pero la licitud no se agota en la base: debe cumplirse también la lealtad (sin engaño) y la transparencia (información clara).
Lealtad
No usar los datos para fines sorpresivos o engañosos. Ejemplo: recoger correos para gestionar una inscripción y revenderlos a un tercero sin información previa = ilícito.
Transparencia — arts. 12-14 RGPD
| Requisito | Detalle |
|---|---|
| Información | Concisa, transparente, inteligible, de fácil acceso |
| Lenguaje | Claro y sencillo, especialmente para menores |
| Modalidad | Por escrito o por otros medios |
| Datos directos del interesado | Art. 13 RGPD |
| Datos de fuente distinta | Art. 14 RGPD (en plazo razonable, máx 1 mes) |
STJUE relevante
- STJUE Planet49 (C-673/17, 2019): información clara sobre cookies y consentimiento.
- STJUE Schufa (C-634/21, 2023): transparencia sobre decisiones automatizadas.
Principio 2 — Limitación de la finalidad (art. 5.1.b)
| Requisito | Detalle |
|---|---|
| Fines determinados | Concretos, no genéricos |
| Fines explícitos | Comunicados al interesado |
| Fines legítimos | Conformes al ordenamiento |
| No usos ulteriores incompatibles | Salvo excepciones |
Excepciones — usos NO incompatibles
"El tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales, de acuerdo con el artículo 89, apartado 1."
| Finalidad ulterior | Régimen |
|---|---|
| Archivo en interés público | Compatible con garantías art. 89.1 |
| Investigación científica/histórica | Idem |
| Estadística | Idem |
Trampa típica: estos usos NO se consideran incompatibles, no que sean libres. Exigen las garantías del art. 89.1 (seudonimización, medidas de minimización, etc.).
Principio 3 — Minimización (art. 5.1.c)
"Adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados."
| Sub-principio | Detalle |
|---|---|
| Adecuación | Aptos para el fin |
| Pertinencia | Relevantes para el fin |
| Limitación a lo necesario | No más datos de los necesarios |
Conexión con privacy by design — art. 25 RGPD
"Protección de datos por defecto": por defecto deben tratarse la mínima cantidad de datos, durante el mínimo plazo y con la mínima accesibilidad necesaria.
Principio 4 — Exactitud (art. 5.1.d)
| Requisito | Detalle |
|---|---|
| Exactos | Correctos en el momento del tratamiento |
| Actualizados | Cuando proceda |
| Medidas razonables | Para suprimir o rectificar inexactos |
| Conexión | Derecho de rectificación (art. 16 RGPD) |
Principio 5 — Limitación del plazo de conservación (art. 5.1.e)
| Aspecto | Detalle |
|---|---|
| Plazo | Solo durante el tiempo necesario |
| En forma identificable | Una vez no necesario, anonimizar o suprimir |
| Excepción | Conservación con fines de archivo, investigación científica o estadística |
| Bloqueo (LOPDGDD) | Cuando deba impedirse tratamiento ordinario pero conservarse a disposición de jueces, Fiscal o Administraciones |
Bloqueo de datos (LOPDGDD)
| Aspecto | Detalle |
|---|---|
| Cuándo | Tras ejercer derecho de supresión, cuando existan plazos de prescripción de obligaciones del responsable |
| Acceso | Solo a tribunales, Fiscal y Administraciones competentes |
| Plazo | Hasta cumplimiento del plazo de prescripción |
| Después | Supresión efectiva |
Principio 6 — Integridad y confidencialidad (art. 5.1.f)
| Requisito | Detalle |
|---|---|
| Seguridad técnica | Cifrado, seudonimización, control de acceso |
| Seguridad organizativa | Políticas, formación, contratos con encargados |
| Protección frente a | Acceso no autorizado, pérdida, destrucción, daño accidental |
| Conexión | Art. 32 RGPD (seguridad del tratamiento) |
Medidas del art. 32 RGPD
- Seudonimización y cifrado.
- Garantía permanente de confidencialidad, integridad, disponibilidad y resiliencia.
- Restauración rápida tras incidentes.
- Pruebas periódicas de eficacia.
Principio 7 — Responsabilidad proactiva (art. 5.2)
"El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo (responsabilidad proactiva)."
Cómo demostrarlo
| Instrumento | Detalle |
|---|---|
| Registro de actividades del tratamiento (RAT) | Art. 30 RGPD |
| Análisis de riesgos | Para todos los tratamientos |
| Evaluación de impacto (EIPD) | Art. 35 si alto riesgo |
| Contratos con encargados | Art. 28 RGPD |
| Privacy by design | Art. 25 |
| Designación de DPD | Art. 37 RGPD |
| Notificación de brechas | Art. 33 (a AEPD en 72h) + art. 34 (al interesado) |
| Códigos de conducta y certificaciones | Arts. 40-43 |
Conexión con la LOPDGDD
| Artículo LOPDGDD | Materia | Conexión RGPD |
|---|---|---|
| Art. 4 | Exactitud | Principio 4 |
| Art. 5 | Deber de confidencialidad | Principio 6 |
| Art. 6 | Consentimiento | Base jurídica |
| Art. 7 | Consentimiento de menores | Edad 14 años |
| Art. 8 | Tratamiento por obligación legal, interés público o poderes públicos | Bases 6.1.c y 6.1.e |
| Art. 9 | Categorías especiales | Art. 9 RGPD |
| Art. 10 | Datos penales | Art. 10 RGPD |
El art. 9 LOPDGDD — matiz importante
| Aspecto | Detalle |
|---|---|
| Categorías especiales del art. 9.1 RGPD | Régimen estricto |
| Consentimiento explícito | No basta cuando la finalidad principal sea identificar ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico |
| Excepciones del art. 9.2 RGPD | Aplican con cautela |
Sanciones por incumplimiento de los principios
| Tipo | Cuantía |
|---|---|
| Muy graves (vulneración de principios) | Hasta 20 millones € o 4 % volumen de negocio global, la cifra superior |
| Graves | Hasta 10 millones € o 2 % |
| Concurso con otras normas | Acumulativo |
Las sanciones por vulneración del art. 5 RGPD están en la categoría más alta (art. 83.5 RGPD).
Casos prácticos
Caso 1 — Ayuntamiento con padrón
Ayuntamiento que mantiene datos de padrón sin actualizar durante 10 años.
| Pregunta | Respuesta |
|---|---|
| ¿Vulnera algún principio? | Exactitud (5.1.d) y plazo de conservación (5.1.e) |
| ¿Base jurídica? | Sí, obligación legal (Ley 7/1985) |
| ¿Sigue siendo lícito? | No, porque vulnera principios del art. 5 |
| ¿Sanción AEPD? | Posible, hasta 20 M € |
Caso 2 — Empresa con CCTV
Empresa instala cámaras grabando con audio en todo el local.
| Pregunta | Respuesta |
|---|---|
| ¿Principios vulnerados? | Minimización (5.1.c) — el audio excede lo necesario |
| Lugares prohibidos | Vestuarios, comedores (art. 89 LOPDGDD) |
| ¿Información previa? | Obligatoria por transparencia (5.1.a) |
| ¿Plazo de conservación de grabaciones? | Máximo 30 días salvo causa concreta (LOPDGDD) |
Caso 3 — Reutilización con fines de investigación
Hospital quiere usar datos de pacientes para investigación científica.
| Pregunta | Respuesta |
|---|---|
| ¿Es uso ulterior incompatible? | No, art. 5.1.b RGPD lo admite con garantías del art. 89 |
| Garantías | Seudonimización, minimización, comité de ética |
| ¿Hace falta consentimiento? | Depende: salvaguardas técnicas pueden permitirlo |
| ¿Base jurídica? | Interés público o consentimiento explícito según caso |
Seis trampas reales del examen
- "Licitud equivale a consentimiento" — Falso. Es una de las 6 bases del art. 6 RGPD. Puede haber otras (contrato, obligación legal, interés público, interés legítimo, intereses vitales).
- "Tener base jurídica basta para el cumplimiento RGPD" — Falso. Hay que cumplir simultáneamente los 7 principios del art. 5.
- "Los usos con fines de investigación son libres" — Falso. No son incompatibles, pero exigen las garantías del art. 89 (seudonimización, etc.).
- "Seudonimizar equivale a anonimizar" — Falso. El dato seudonimizado sigue siendo dato personal (puede reidentificarse con información adicional); el anonimizado no.
- "La responsabilidad proactiva exige solo no infringir" — Falso. Exige cumplir y poder demostrarlo (registros, EIPD, contratos, formación, brechas...).
- "El bloqueo de datos es lo mismo que la supresión" — Falso. El bloqueo es figura LOPDGDD: impide tratamiento ordinario pero conserva datos a disposición de jueces, Fiscal o Administraciones competentes.
Reformas y novedades
- eIDAS 2 (Reglamento UE 2024/1183) — identidad digital con tratamiento de datos.
- AI Act (Reglamento UE 2024/1689) — IA con tratamiento de datos.
- DSA (Reglamento UE 2022/2065) — servicios digitales.
- Directrices CEPD/EDPB 2024-2026 — actualizaciones interpretativas.
Fuentes oficiales
- BOE/DOUE: RGPD — texto oficial.
- BOE: LO 3/2018 LOPDGDD — adaptación nacional.
- AEPD: principios del tratamiento — guía oficial.
- STJUE Planet49 (C-673/17) — transparencia y consentimiento.
- Directrices EDPB — interpretación europea.
Posts hermanos
- Bases jurídicas del tratamiento: art. 6 RGPD
- Derechos digitales del Título X LOPDGDD
- Brecha de seguridad de datos: plazo de 72 horas
- Identificación personal en la vía pública: art. 16 LOPSC
- DNI, pasaporte y deber de identificación: arts. 8-13 LOPSC
- Despachos de detectives privados: Ley 5/2014
- Temario Policía Nacional 2026
Guía revisada el 27 de mayo de 2026 con el art. 5 RGPD (UE 2016/679), la LO 3/2018 LOPDGDD (Título II), las STJUE Planet49 (C-673/17) y Schufa (C-634/21) y las directrices del Comité Europeo de Protección de Datos.
Preguntas frecuentes
¿Cuántos principios tiene el art. 5 RGPD?
Siete. Seis en el apartado 5.1 (licitud-lealtad-transparencia, limitación de finalidad, minimización, exactitud, limitación del plazo de conservación, integridad y confidencialidad) y uno en el apartado 5.2 (responsabilidad proactiva). El cumplimiento de todos es necesario simultáneamente; tener una base jurídica del art. 6 no exime del cumplimiento del art. 5.
¿Es lo mismo licitud que consentimiento?
No. La licitud es uno de los componentes del principio del art. 5.1.a, y se conecta con cualquiera de las 6 bases jurídicas del art. 6 RGPD (consentimiento, contrato, obligación legal, intereses vitales, interés público, interés legítimo). El consentimiento es solo una de ellas; en sector público dominan obligación legal e interés público.
¿Qué tratamientos ulteriores se consideran compatibles?
Conforme al art. 5.1.b RGPD, el tratamiento ulterior con fines de archivo en interés público, investigación científica o histórica y fines estadísticos no se considera incompatible con los fines iniciales, siempre que se apliquen las garantías del art. 89.1 (seudonimización, medidas técnicas y organizativas de minimización, etc.). No es uso libre, sino tratamiento autorizado bajo garantías.
¿Qué exige la responsabilidad proactiva?
Cumplir los principios del art. 5.1 Y poder demostrarlo. Instrumentos: registro de actividades (art. 30 RGPD), análisis de riesgos, EIPD para alto riesgo (art. 35), contratos con encargados (art. 28), privacidad desde el diseño (art. 25), designación de DPD cuando proceda (art. 37), notificación de brechas (arts. 33-34), códigos de conducta y certificaciones (arts. 40-43).
¿En qué consiste el bloqueo de datos de la LOPDGDD?
Es una figura específica que impide el tratamiento ordinario pero conserva los datos a disposición exclusiva de jueces, tribunales, Ministerio Fiscal y Administraciones competentes durante los plazos de prescripción de las obligaciones del responsable. Cuando expiran esos plazos, se suprimen efectivamente. No equivale a supresión.
¿Qué sanción corresponde a vulnerar los principios del art. 5?
La sanción más alta del RGPD: hasta 20 millones de euros o el 4 % del volumen de negocio global anual del responsable, la cifra que sea superior (art. 83.5 RGPD). Es la misma cuantía aplicable a la vulneración de los derechos del interesado y a las transferencias internacionales no conformes. Las sanciones por vulneración de medidas de seguridad (art. 32) están un escalón por debajo (10 M / 2 %).
Regístrate y sigue repasando gratis
Accede a más de 100 esquemas y reglas mnemotécnicas para preparar tu oposición.
Crear cuenta gratis