Artículo 5

Principios relativos al tratamiento

1. Los datos personales serán:

(a)

tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»);

(b)

recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finalidad»);

(c)

adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);

(d)

exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan («exactitud»);

(e)

mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado («limitación del plazo de conservación»);

(f)

tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).

2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»).

¿Qué significa?

El RGPD regula el uso de los datos personales, que es un tema complicado. Estos principios son una medida blanda y una forma de garantizar que todo el tratamiento datos se realiza de acuerdo con las intenciones de la ley. Debe tener siempre presentes estos principios cuando tratamiento datos personales.

El artículo 5 es una excelente directriz para evaluar sus actividades de tratamiento en relación con el RGPD.

Si hay algo que hay que recordar sobre el RGPD, deberían ser estos siete principios.

El principio de la responsabilidad proactiva le obliga a documentar el cumplimiento de los principios establecidos en el artículo 5. Este es un requisito esencial y puede parecer algo arbitrario.

Para todas las actividades de tratamiento que ya tiene o que tiene previsto iniciar, debe diseñar su tratamiento de forma que cumpla con estos principios.

Una forma de hacerlo es incluir una descripción del cumplimiento de estos principios en sus registros de actividades de tratamiento (artículo 30). En muchos sentidos, seguir los requisitos del artículo 30 le permite cumplir con el principio de responsabilidad del artículo 5.

Los empleados deben seguir estos principios dentro de su organización. Por lo tanto, la formación de sus empleados en estos principios se convierte en una herramienta para el cumplimiento de la normativa y una excelente manera de mejorar la seguridad de los datos en la práctica. Demostrar que ha formado a sus empleados en estos principios es uno de los varios pasos que puede dar para demostrar el cumplimiento del principio de la responsabilidad proactiva.

Siempre hay que seguir la ley y sus intenciones. Debe tratar los datos personales de forma transparente para que el sujeto pueda consentir o comprometerse con su empresa con conocimiento de causa. Debe tratar los datos personales de los clientes y empleados de forma justa y esperada.

Debe respetarse la finalidad original de su recogida y tratamiento datos. Por ejemplo, si recoge direcciones de correo electrónico para el boletín informativo de su empresa, debe respetar la finalidad original de esta recogida de datos, es decir, el envío de un boletín informativo en nombre de su empresa. No debe compartir estos correos electrónicos con empresas ni utilizarlos para fines distintos a los ya informados a los sujetos de datos.

El tratamiento sus datos personales debe limitarse a lo necesario para cumplir con el propósito de su tratamiento. En general, el tratamiento los datos personales debe ser “necesario” y no “agradable”.

El tratamiento de los datos debe ser preciso. La exactitud implica disponer de procedimientos organizativos, sistemas e implementaciones técnicas que garanticen que los datos sean correctos y estén actualizados.

No se pueden almacenar los datos personales más tiempo del necesario. Usted define su necesidad basándose en la finalidad de la actividad de tratamiento y en los requisitos legales de las limitaciones del plazo de conservación. Muchas actividades de tratamiento tienen vínculos legales con, por ejemplo, la legislación laboral, y estos deben ser respetados.

Su empresa debe garantizar la integridad de los datos personales y, por tanto, la fiabilidad y exactitud de los datos a lo largo del tiempo.

Su empresa debe tratar los datos personales con confidencialidad, y las personas no autorizadas no deben tener acceso a los datos de sus clientes o empleados.

Las personas no autorizadas pueden ser ordinarios que no tienen ninguna razón para acceder a datos personales específicos.

Puede garantizar la integridad y confidencialidad de los datos personales aplicando las medidas organizativas técnicas y medidas organizativas adecuadas.

El nivel de seguridad adecuado puede variar internamente dentro de la empresa entre los diferentes fines que tenga el tratamiento datos. También puede variar entre las empresas, ya que todas tienen diversas actividades de tratamiento.

Puede evaluar si tiene un nivel de seguridad adecuado realizando una evaluación de riesgos de sus actividades deæ tratamiento de los datos personales.

Con el resultado de una evaluación de riesgos en la mano, puede evaluar qué áreas de su negocio pueden requerir seguridad adicional.

Sensibilización

Asegúrese de que toda su empresa cuenta con la formación de concienciación necesaria sobre los aspectos básicos del RGPD y la seguridad informática.

Discover

About