Els principis relatius al tractament

L'article 5 del GDPR, que és el que estableix els principis relatius al tractament, és l'essència del Reglament i el seu compliment la base sobre la qual se sustenta un sistema sòlid i eficaç de compliment de la normativa de protecció de dades.

Podem dir que, si complim l'article 5, estem implícitament complint la resta d'articles dels capítols II al V del GDPR, ja que aquests es podrien considerar aplicacions pràctiques de l'article 5.

A continuació analitzarem cadascun dels sis principis, i la resta d'articles del GDPR que hauríem de complir, per no infringir-ne cap.

1. LICITUD, LLEIALTAT I TRANSPARÈNCIA (art. 5.1.a)

Les dades personals han de ser tractades de manera lícita, lleial i transparent en relació amb l'interessat.

El principio de licitud y lealtad exige que:

• A l'interessat li ha de quedar clar que s'estan recollint, utilitzant, consultant o tractant d'una altra manera les vostres dades personals, així com en quina mesura aquestes dades són tractades o seran tractades posteriorment.
• Es compti amb:
  • Una base jurídica que legitimi el tractament d'aquestes dades personals (art. 6, 7 i 8 i 11).
    
  • Alguna de les excepcions permeses quan les dades tractades són de categoria especial o de naturalesa penal (art. 9 i 10)
  • Algun dels instruments habilitants per dur a terme transferències internacionals quan es transferiran fora de l'EEE (art. 44-49).

El principi de transparència exigeix que tota informació i comunicació relativa al tractament de dades sigui fàcilment accessible i fàcil d'entendre, i que es faci servir un llenguatge senzill i clar (art. 12). Aquest principi es refereix en particular:

• A informar els interessats sobre la identitat del responsable del tractament i els seus fins i la informació afegida per garantir un tractament lleial i transparent respecte als interessats (art. 13 i 14)
• I al seu dret a obtenir confirmació i comunicació de les dades personals que els concerneixin, que siguin objecte de tractament. Els interessats han de tenir coneixement dels riscos, normes, salvaguardes i drets relatius al tractament de dades personals, així com de la manera de fer valer els seus drets en relació amb el tractament (art. 15-23).

2. LIMITACIÓ DE LA FINALITAT (art. 5.1.b)

Les dades personals han de ser recollides amb fins determinats, explícits i legítims; s'han de determinar en el moment de la recollida i no s'han de tractar ulteriorment de manera incompatible amb aquests fins, el tractament ulterior amb fins d'arxiu en interès públic, fins d'investigació científica i històrica o fins estadístiques no es considera incompatible amb els fins inicials.

3. MINIMITZACIÓ DE DADES (art. 5.1.c)

Les dades personals demanades han de ser adequades, pertinents i limitades al que sigui necessari en relació amb les finalitats per a les quals són tractades.

Les dades personals no s'han de tractar si allò que es pretén pogués aconseguir raonablement per altres mitjans.

4. EXACTITUD (art. 5.1.d)

Les dades personals tractades han de ser exactes i, si cal, actualitzades; s'adoptaran totes les mesures raonables perquè se suprimeixin o rectifiquin sense dilació les dades personals que siguin inexactes respecte a les finalitats per a les quals es tracten.

5. LIMITACIÓ DEL TERMINI DE CONSERVACIÓ (art. 5.1.e)

Les dades personals s'han de conservar de manera que es permeti la identificació dels interessats durant no més temps del necessari per als fins del tractament per als quals van ser recollits; podran conservar-se durant períodes més llargs sempre que es tractin exclusivament amb finalitats d'arxiu en interès públic, finalitats de recerca científica o històrica o finalitats estadístiques, sens perjudici de l'aplicació de les mesures tècniques i organitzatives apropiades que imposa el GDPR a fi de protegir els drets i llibertats de linteressat.

S'ha de garantir que el termini de conservació es limiti a un mínim estricte. Per garantir no es conserven més temps del necessari, el responsable del tractament ha d'establir terminis per suprimir-los o revisar-los periòdicament.

6. INTEGRITAT I CONFIDENCIALITAT (art. 5.1.f )

Les dades personals han de ser tractades de tal manera que se'n garanteixi una seguretat adequada, inclosa la protecció contra el tractament no autoritzat o il·lícit i contra la seva pèrdua, destrucció o dany accidental, mitjançant l'aplicació de mesures tècniques o organitzatives apropiades. Fins i tot impedint l'accés o l'ús no autoritzats d'aquestes dades i de l'equip utilitzat en el tractament.

Per a l'adopció d'aquestes mesures apropiades, que a més s'han de revisar i actualitzar quan calgui, cal analitzar i avaluar els riscos que el tractament d'aquestes dades personals suposi per a l'interessat (art. 24, 25 i 32). L'adhesió a codis de conducta (art. 40-41) oa un mecanisme de certificació (art. 42-43) es poden utilitzar com a elements per demostrar el compliment d'aquestes obligacions.

Quan el tractament suposi un alt risc per a linteressat, shaurà de dur a terme de manera prèvia a linici del mateix una avaluació dimpacte (EIPD) (art. 35); si després de l'EIPD el risc continua sent alt i no es disposa de mesures per reduir-lo, cal consultar-lo a l'autoritat de control (AC) abans d'iniciar el tractament (art. 36).

Quan es produeixi una bretxa de seguretat malgrat les mesures implantades, a més de notificar-la a l'AC si suposa un risc per als interessats afectats i comunicar-la als mateixos afectats si aquest risc és alt, cal adoptar noves mesures per posar remei a la bretxa i per mitigar els possibles efectes negatius que la suposi (art. 33 i 34).

S'han d'adoptar no només mesures tècniques, sinó també organitzatives, i dins d'aquestes són obligatòries:

• Quan dos o més responsables determinin conjuntament els fins i els mitjans del tractament (CT) determinaran de manera transparent i de mutu acord les seves responsabilitats respectives en el compliment de les obligacions imposades pel GDPR (art. 26).
• Quan l'organització estigui establerta fora de la UE però li sigui aplicable el GDPR, designarà per escrit un representant a la UE (art. 27).
• Només cal triar encarregats de tractament (ET) que ofereixin suficients garanties per aplicar mesures de manera que el tractament sigui conforme al GDPR, encàrrec que s'ha de regular a través d'un contracte (art. 28).
• Es donaran indicacions a través de polítiques i/o protocols a qualsevol persona que actuï sota l'autoritat de l'organització i tingui accés a dades personals perquè només tractin aquestes dades seguint instruccions de l'organització (art. 29).
• Cada organització ha de portar un registre de les activitats de tractament efectuades sota la seva responsabilitat (RT) i un altre de les efectuades per compte d'una altra entitat (ET) (art. 30).
• Cooperar amb l'AC quan ho sol·licite en l'exercici de les seues funcions (art. 31).
• Designar un DPO sempre que es donin les circumstàncies en què la normativa hi obligui (art. 37, 38 i 39).

7. RESPONSABILITAT PROACTIVA (art. 5.2)

A l'apartat 2 de l'article 5 s'estableix que no només hem de complir els principis anteriorment relacionats, sinó que a més hem de ser capaços de demostrar-ho.

EXEMPLE D'INCOMPLIMENT DE L'ARTICLE 5 GDPR

A continuació, analitzem un exemple clar d'incompliment de pràcticament tots aquests principis i el que suposa des del punt de vista sancionador, per part de l'AEPD.

Es tracta del procediment sancionador PS/00240/2019 instruït per l'AEPD per múltiples reclamacions a una coneguda entitat d'informació creditícia (EIC).

L'EIC recopilava dades personals de la informació publicada a butlletins o diaris oficials d'AAPP per fer efectiva la notificació d'una resolució administrativa o judicial.

L'EIC tractava posteriorment aquestes dades personals per tal de determinar la solvència dels titulars dels mateixos, per generar després informes sobre aquesta situació i facilitar-los a altres entitats.

Els incompliments de l'article 5.1 que es donarien en aquest cas serien:

• Art. 5.1.a) GDPR: basaven el tractament a l'art. 6.1.f) GDPR, l'interès legítim de conèixer els deutes i les reclamacions de les persones físiques per donar “seguretat al trànsit mercantil”, “prevenir la morositat” i “valorar la solvència patrimonial” d'aquestes persones.

Interessos incompatibles, segons l'AEPD, pel que fa a la finalitat per a la qual les dades van ser demanades inicialment, és a dir, fer efectiva la notificació d'una resolució administrativa o judicial.

Per tant, tractaven les dades sense la base jurídica adequada (art. 6.1 GDPR), incomplint el principi de licitud i sense facilitar la informació relativa a aquest tractament de dades personals a tots els interessats (art. 14 GDPR), incomplint el principi de transparència.

• Art. 5.1.b) GDPR: tractaven les dades amb una finalitat ulterior (l'avaluació de la solvència dels afectats i la prevenció del frau) incompatible amb les finalitats inicials (notificar resolució), i per tant incomplint el principi de limitació de la finalitat.
• Art. 5.1.c) GDPR: les dades tractades tampoc eren adequades, pertinents i limitades al que és necessari en relació amb els fins per als quals són tractats, igual que succeeix amb la resta de principis, el de minimització està condicionat per la infracció del principi de limitació de la finalitat evidenciant incompliment. per això també incomplien el principi de minimització.
• Art. 5.1.d) GDPR: tractaven les dades personals demanades d'aquest tipus de publicacions oficials sense comptar amb mecanismes per actualitzar-los, tal com la mateixa EIC reconeix implícitament; a més en aquest tipus de publicacions la informació personal continguda no sempre permeten identificar de manera exacta el suposat titular del deute, de vegades identificats no pel NIF, sinó per nom i dos cognoms combinats amb un domicili, de manera que se'n podria trobar una o diverses persones amb el mateix nom i cognom possibilitant una identificació errònia del suposat deutor. Incomplint també, per tant, el principi d'exactitud.

L'AEPD conclou el procediment:

• Imposar una sanció d'1 milió d'euros.
• Prohibint-li continuar amb aquest tractament.
• Obligant-lo a suprimir totes aquestes dades personals.