El principio de limitación de la finalidad (véase la sección “Limitación de la finalidad” dentro de los “Principios”, en la Parte II de estas Directrices) exige que los datos personales recogidos y tratados en el contexto de la IdCse traten únicamente con la finalidad para la que fueron recogidos.
El responsable del tratamiento sólo puede utilizar los datos para aquellos fines u objetivos que hayan sido clara y explícitamente notificados a los usuarios en la política de privacidad. Las finalidades no informadas de los datos no serán legítimas, e incluso las mal informadas. Por ejemplo, cuando la información proporcionada no es transparente o completa, se puede argumentar que los fines no se hicieron explícitos.
Además, es necesario especificar los fines. Es decir, una redacción amplia y abierta que no permita a una persona media entender todas y cada una de las finalidades de los datos, quedará fuera de la ley.
El principal problema es que los sistemas de la IdCsuelen recoger grandes cantidades de datos con fines vagos o ampliamente definidos. Como afirma Watcher, “la fusión de sensores o la vinculación de conjuntos de datos existentes pero previamente desconectados, puede ofrecer nuevas oportunidades para el análisis de datos que no se habían previsto cuando se recogieron los datos. Los servicios de identificación que vinculan los dispositivos y los datos que recogen permiten elaborar perfiles inferenciales invasivos e imprevisibles”. [1] Como consecuencia, los responsables del tratamiento podrían producir datos inferidos sobre el sujeto de los datos que no están relacionados con los fines para los que se recogieron originalmente los datos y a los que el sujeto de los datos nunca dio su consentimiento. Además, los interesados podrían incluso no ser conscientes de dicho tratamiento. Y lo que es peor, puede ocurrir que los datos sean tratados por terceros para otros fines para los que el interesado nunca dio su consentimiento.
Para evitar este tipo de situaciones, los responsables del tratamiento deben aplicar herramientas capaces de garantizar que el tratamiento sólo se realiza si se aplica una base jurídica. La utilidad de los datos almacenados para la finalidad prevista de un determinado producto o servicio deberá reevaluarse periódicamente para evitar el tratamiento ilegal de los datos.
- Wachter, Sandra (2018). El RGPD y el Internet de las cosas: un modelo de transparencia en tres pasos. Derecho, innovación y tecnología, 1-29. doi:10.1080/17579961.2018.1527479 . ↑