El Reglamento dedica todo el Capítulo II a los “Principios” del tratamiento de datos personales y en el Considerando 26 ya especifica que “Los principios de la protección de datos deben aplicarse a toda la información relativa a una persona física identificada o identificable”, por lo que el Reglamento se basa en la aplicación de estos principios a todas las disposiciones específicas que lo componen, especialmente en las medidas de protección de datos desde el diseño y por defecto (considerando 78) y en las transferencias internacionales de datos (considerando 108).
Los principios de protección de datos se aplican al tratamiento de datos, o sea, a cualquier operación realizada sobre datos personales: recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
En tratamientos realizados con fines periodísticos o con fines de expresión académica, artística o literaria, los Estados de la UE podrán establecer exenciones o excepciones de lo dispuesto en relación con los principios del tratamiento, si son necesarias para conciliar el derecho a la protección de los datos personales con la libertad de expresión e información (artículo 85, apartado 2).
Cabe destacar que las infracciones de los principios básicos para el tratamiento son consideradas graves, y se podrán sancionar con multas administrativas de 20.000.000 € o del 4% de la facturación anual (artículo 83, apartado 5).
Los datos personales serán tratados con:
El tratamiento solo será lícito si existe alguna de las siguientes condiciones:
O cuando esté fundamentado en la legislación vigente por:
El tratamiento para otro fin distinto del inicial, podrá ser lícito si es compatible con el mismo y existe una relación entre:
La oferta directa de servicios de la sociedad de la información (e-commerce) a menores de 16 años (máximo 13 según establezca cada Estado de la UE) deberá obtenerse con el consentimiento de su representante legal.
La información del tratamiento dirigida a un menor deberá facilitarse con un lenguaje claro, sencillo y adecuado al receptor.
Está prohibido tratar datos relativos al origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos o biométricos que permitan la identificación unívoca de una persona, datos relativos a la salud o a la vida y orientación sexuales.
Más información sobre excepciones y tratamientos específicos en: Tratamiento de categorías especiales de datos en el GDPR
El tratamiento de datos relativos a condenas y delitos penales o medidas de seguridad afines sólo podrá realizarse si está fundamentado en la legislación vigente con garantías adecuadas para los derechos y libertades de los interesados o bajo la supervisión de poderes públicos.
Cuando los fines del tratamiento no requieran la identificación del interesado (seudonimización), el Responsable o Encargado del tratamiento no deberán obtener información adicional para identificarle, excepto si es necesario para cumplir el Reglamento.
Cuando el Responsable del tratamiento sea capaz de demostrar que no puede identificar al interesado, se lo comunicará y dejaran de aplicarse los derechos del interesado.
Considerando 26
Los principios de la protección de datos deben aplicarse a toda la información relativa a una persona física identificada o identificable. Los datos personales seudonimizados, que cabría atribuir a una persona física mediante la utilización de información adicional, deben considerarse información sobre una persona física identificable. Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física. Para determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos. Por lo tanto los principios de protección de datos no deben aplicarse a la información anónima, es decir información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo. En consecuencia, el presente Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines estadísticos o de investigación.
Considerando 78
La protección de los derechos y libertades de las personas físicas con respecto al tratamiento de datos personales exige la adopción de medidas técnicas y organizativas apropiadas con el fin de garantizar el cumplimiento de los requisitos del presente Reglamento. A fin de poder demostrar la conformidad con el presente Reglamento, el responsable del tratamiento debe adoptar políticas internas y aplicar medidas que cumplan en particular los principios de protección de datos desde el diseño y por defecto. Dichas medidas podrían consistir, entre otras, en reducir al máximo el tratamiento de datos personales, seudonimizar lo antes posible los datos personales, dar transparencia a las funciones y el tratamiento de datos personales, permitiendo a los interesados supervisar el tratamiento de datos y al responsable del tratamiento crear y mejorar elementos de seguridad. Al desarrollar, diseñar, seleccionar y usar aplicaciones, servicios y productos que están basados en el tratamiento de datos personales o que tratan datos personales para cumplir su función, ha de alentarse a los productores de los productos, servicios y aplicaciones a que tengan en cuenta el derecho a la protección de datos cuando desarrollan y diseñen estos productos, servicios y aplicaciones, y que se aseguren, con la debida atención al estado de la técnica, de que los responsables y los encargados del tratamiento están en condiciones de cumplir sus obligaciones en materia de protección de datos. Los principios de la protección de datos desde el diseño y por defecto también deben tenerse en cuenta en el contexto de los contratos públicos.
Considerando 108
En ausencia de una decisión por la que se constate la adecuación de la protección de los datos, el responsable o el encargado del tratamiento deben tomar medidas para compensar la falta de protección de datos en un tercer país mediante garantías adecuadas para el interesado. Tales garantías adecuadas pueden consistir en el recurso a normas corporativas vinculantes, a cláusulas tipo de protección de datos adoptadas por la Comisión o por una autoridad de control, o a cláusulas contractuales autorizadas por una autoridad de control. Esas garantías deben asegurar la observancia de requisitos de protección de datos y derechos de los interesados adecuados al tratamiento dentro de la Unión, incluida la disponibilidad por parte de los interesados de derechos exigibles y de acciones legales efectivas, lo que incluye el derecho a obtener una reparación administrativa o judicial efectiva y a reclamar una indemnización, en la Unión o en un tercer país. En particular, deben referirse al cumplimiento de los principios generales relativos al tratamiento de los datos personales y los principios de la protección de datos desde el diseño y por defecto. Las transferencias también pueden realizarlas autoridades o entidades públicas con entidades o autoridades públicas de terceros países o con organizaciones internacionales con competencias o funciones correspondientes, igualmente sobre la base de disposiciones incorporadas a acuerdos administrativos, como un memorando de entendimiento, que reconozcan derechos exigibles y efectivos a los interesados. Si las garantías figuran en acuerdos administrativos que no sean jurídicamente vinculantes se debe recabar la autorización de la autoridad de control competente.
Artículo 83. Condiciones generales para la imposición de multas administrativas
... 5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía: a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9; ...
Artículo 85 Tratamiento y libertad de expresión y de información
... 2. Para el tratamiento realizado con fines periodísticos o con fines de expresión académica, artística o literaria, los Estados miembros establecerán exenciones o excepciones de lo dispuesto en los capítulos II (principios), III (derechos del interesado), IV (responsable y encargado del tratamiento), V (transferencia de datos personales a terceros países u organizaciones internacionales), VI (autoridades de control independientes), VII (cooperación y coherencia) y IX (disposiciones relativas a situaciones específicas de tratamiento de datos), si son necesarias para conciliar el derecho a la protección de los datos personales con la libertad de expresión e información.
Tema anterior: 1. Conceptos generales de la protección de datos Tema siguiente: 3. El consentimiento explícito