GDPR 2. Los principios del tratamiento


Josep Aragonés Salvat     22/07/2016

Aplicación de los principios del tratamiento


El Reglamento dedica todo el Capítulo II a los “Principios” del tratamiento de datos personales y en el Considerando 26 ya especifica que “Los principios de la protección de datos deben aplicarse a toda la información relativa a una persona física identificada o identificable”, por lo que el Reglamento se basa en la aplicación de estos principios a todas las disposiciones específicas que lo componen, especialmente en las medidas de protección de datos desde el diseño y por defecto (considerando 78) y en las transferencias internacionales de datos (considerando 108).

Los principios de protección de datos se aplican al tratamiento de datos, o sea, a cualquier operación realizada sobre datos personales: recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

En tratamientos realizados con fines periodísticos o con fines de expresión académica, artística o literaria, los Estados de la UE podrán establecer exenciones o excepciones de lo dispuesto en relación con los principios del tratamiento, si son necesarias para conciliar el derecho a la protección de los datos personales con la libertad de expresión e información (artículo 85, apartado 2).

Cabe destacar que las infracciones de los principios básicos para el tratamiento son consideradas graves, y se podrán sancionar con multas administrativas de 20.000.000 € o del 4% de la facturación anual (artículo 83, apartado 5).

Principios del tratamiento (artículo 5)


Los datos personales serán tratados con:

  • Licitud: lealtad y transparencia con el interesado.
  • Limitación de los fines: recogidos con fines determinados, explícitos y legítimos y no tratados posteriormente de manera incompatible con dichos fines.
  • Minimización de los datos: adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
  • Exactitud: actualizados sin demora con respecto a los fines para los que se tratan.
  • Limitación del plazo de conservación: mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines por los que se tratan. Excepto si el tratamiento se realiza exclusivamente para fines de archivo en interés público o para investigación histórica, estadística o científica.
  • Integridad y confidencialidad: implementando medidas técnicas y organizativas adecuadas para proteger los datos contra tratamientos no autorizados o ilícitos y su pérdida, destrucción o daño accidentales.
  • Responsabilidad proactiva: siendo responsable y capaz de demostrar el cumplimiento de todos los principios del tratamiento.


Licitud del tratamiento (artículo 6)


El tratamiento solo será lícito si existe alguna de las siguientes condiciones:

  • Consentimiento explícito para fines específicos.
  • Contrato o precontrato con el interesado.
  • Protección de los intereses vitales del interesado u otra persona física.
  • Interés legítimo del Responsable del tratamiento o terceros, siempre que no prevalezcan los intereses o los derechos y libertades del interesado, especialmente si es un niño.
  • Procedencia legítima de archivos de acceso público:
    • Obtenidos de una fuente pública.
    • El interesado ha hecho manifiestamente públicos los datos.


O cuando esté fundamentado en la legislación vigente por:

  • Obligación jurídica a la que esté sujeto el Responsable del tratamiento.
  • Cumplimiento de un cometido de interés público.
  • Fines de investigación histórica, estadística o científica.
  • Interés legítimo de las Autoridades públicas en el ejercicio de sus funciones.



El tratamiento para otro fin distinto del inicial, podrá ser lícito si es compatible con el mismo y existe una relación entre:

  • Las finalidades del tratamiento.
  • El entorno del Responsable del tratamiento y los interesados.
  • La categoría de datos.
  • Las posibles consecuencias para el interesado.
  • La protección de datos (cifrado, seudonimización, etc.).


Condiciones para el consentimiento (artículo 7)

  • El Responsable del tratamiento asumirá la prueba del consentimiento. Si se realiza por escrito, deberá distinguirse claramente de otros asuntos.
  • El consentimiento no será lícito si se condiciona a una prestación de servicios sin ser necesario para su realización.
  • El Responsable del tratamiento informará al interesado, antes de dar su consentimiento, que tiene derecho a retirarlo en cualquier momento sin que afecte al tratamiento efectuado hasta entonces.
  • Será tan fácil retirar como dar el consentimiento.
  • Los consentimientos que infrinjan parcialmente el Reglamento serán considerados nulos.


Tratamiento de datos de niños (artículo 8)


La oferta directa de servicios de la sociedad de la información (e-commerce) a menores de 16 años (máximo 13 según establezca cada Estado de la UE) deberá obtenerse con el consentimiento de su representante legal.

La información del tratamiento dirigida a un menor deberá facilitarse con un lenguaje claro, sencillo y adecuado al receptor.

Tratamientos de categorías especiales de datos (artículo 9)


Está prohibido tratar datos relativos al origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos o biométricos que permitan la identificación unívoca de una persona, datos relativos a la salud o a la vida y orientación sexuales.

Más información sobre excepciones y tratamientos específicos en: Tratamiento de categorías especiales de datos en el GDPR

Tratamientos relativos a condenas e infracciones penales (artículo 10)


El tratamiento de datos relativos a condenas y delitos penales o medidas de seguridad afines sólo podrá realizarse si está fundamentado en la legislación vigente con garantías adecuadas para los derechos y libertades de los interesados o bajo la supervisión de poderes públicos.

Tratamiento de datos sin identificación del interesado (artículo 11)


Cuando los fines del tratamiento no requieran la identificación del interesado (seudonimización), el Responsable o Encargado del tratamiento no deberán obtener información adicional para identificarle, excepto si es necesario para cumplir el Reglamento.

Cuando el Responsable del tratamiento sea capaz de demostrar que no puede identificar al interesado, se lo comunicará y dejaran de aplicarse los derechos del interesado.


Que dice el GDPR


Considerando 26
Los principios de la protección de datos deben aplicarse a toda la información relativa a una persona física identificada o identificable. Los datos personales seudonimizados, que cabría atribuir a una persona física mediante la utilización de información adicional, deben considerarse información sobre una persona física identificable. Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física. Para determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos. Por lo tanto los principios de protección de datos no deben aplicarse a la información anónima, es decir información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo. En consecuencia, el presente Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines estadísticos o de investigación.



Considerando 78
La protección de los derechos y libertades de las personas físicas con respecto al tratamiento de datos personales exige la adopción de medidas técnicas y organizativas apropiadas con el fin de garantizar el cumplimiento de los requisitos del presente Reglamento. A fin de poder demostrar la conformidad con el presente Reglamento, el responsable del tratamiento debe adoptar políticas internas y aplicar medidas que cumplan en particular los principios de protección de datos desde el diseño y por defecto. Dichas medidas podrían consistir, entre otras, en reducir al máximo el tratamiento de datos personales, seudonimizar lo antes posible los datos personales, dar transparencia a las funciones y el tratamiento de datos personales, permitiendo a los interesados supervisar el tratamiento de datos y al responsable del tratamiento crear y mejorar elementos de seguridad. Al desarrollar, diseñar, seleccionar y usar aplicaciones, servicios y productos que están basados en el tratamiento de datos personales o que tratan datos personales para cumplir su función, ha de alentarse a los productores de los productos, servicios y aplicaciones a que tengan en cuenta el derecho a la protección de datos cuando desarrollan y diseñen estos productos, servicios y aplicaciones, y que se aseguren, con la debida atención al estado de la técnica, de que los responsables y los encargados del tratamiento están en condiciones de cumplir sus obligaciones en materia de protección de datos. Los principios de la protección de datos desde el diseño y por defecto también deben tenerse en cuenta en el contexto de los contratos públicos.


Considerando 108
En ausencia de una decisión por la que se constate la adecuación de la protección de los datos, el responsable o el encargado del tratamiento deben tomar medidas para compensar la falta de protección de datos en un tercer país mediante garantías adecuadas para el interesado. Tales garantías adecuadas pueden consistir en el recurso a normas corporativas vinculantes, a cláusulas tipo de protección de datos adoptadas por la Comisión o por una autoridad de control, o a cláusulas contractuales autorizadas por una autoridad de control. Esas garantías deben asegurar la observancia de requisitos de protección de datos y derechos de los interesados adecuados al tratamiento dentro de la Unión, incluida la disponibilidad por parte de los interesados de derechos exigibles y de acciones legales efectivas, lo que incluye el derecho a obtener una reparación administrativa o judicial efectiva y a reclamar una indemnización, en la Unión o en un tercer país. En particular, deben referirse al cumplimiento de los principios generales relativos al tratamiento de los datos personales y los principios de la protección de datos desde el diseño y por defecto. Las transferencias también pueden realizarlas autoridades o entidades públicas con entidades o autoridades públicas de terceros países o con organizaciones internacionales con competencias o funciones correspondientes, igualmente sobre la base de disposiciones incorporadas a acuerdos administrativos, como un memorando de entendimiento, que reconozcan derechos exigibles y efectivos a los interesados. Si las garantías figuran en acuerdos administrativos que no sean jurídicamente vinculantes se debe recabar la autorización de la autoridad de control competente.


Artículo 83. Condiciones generales para la imposición de multas administrativas
... 5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía: a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9; ...


Artículo 85 Tratamiento y libertad de expresión y de información
... 2. Para el tratamiento realizado con fines periodísticos o con fines de expresión académica, artística o literaria, los Estados miembros establecerán exenciones o excepciones de lo dispuesto en los capítulos II (principios), III (derechos del interesado), IV (responsable y encargado del tratamiento), V (transferencia de datos personales a terceros países u organizaciones internacionales), VI (autoridades de control independientes), VII (cooperación y coherencia) y IX (disposiciones relativas a situaciones específicas de tratamiento de datos), si son necesarias para conciliar el derecho a la protección de los datos personales con la libertad de expresión e información.

Seguimiento del curso Experto en el GDPR


Tema anterior: 1. Conceptos generales de la protección de datos Tema siguiente: 3. El consentimiento explícito



Información relacionada