Determinación de los objetivos
Home » RGPD » Conceptos principales » Protección de datos por diseño y por defecto » Aplicación de los principios de protección de datos en las distintas fases del tratamiento » Determinación de los objetivos

Una actividad de tratamiento se concibe determinando sus fines. Esto establece el objetivo de lo que la actividad de procesamiento debe lograr. Esta especificación del “qué” debe hacerse sigue siendo relativamente abstracta y carece de detalles sobre el “cómo” se alcanza este objetivo. El “cómo” está sujeto a la determinación de los medios.

Los propósitos suelen ser determinados por la alta dirección que representa y es responsable de una organización (o unidad organizativa). Los propósitos suelen expresarse en el mismo lenguaje en el que se expresa la misión o el mandato de la organización. Es decir, proceden del “dominio de la aplicación” y carecen de contenido técnico. Una especificación de propósito no llega a determinar decisiones técnicas como qué recursos (es decir, medios) se necesitan para alcanzar los objetivos, qué datos hay que recoger, etc. Más bien, una especificación de propósito puede aplicarse de muchas maneras diferentes. El objetivo de la determinación de los medios es entonces encontrar la mejor implementación desde el punto de vista de la protección de datos.

Según el art. 5(1)(a) del RGPD, los fines deben ser “específicos [y] explícitos”. Esto significa que deben plasmarse de forma precisa y por escrito.

La determinación de los fines del tratamiento suele ser un proceso iterativo. Empezando por la finalidad o finalidades principales, la especificación se va completando y perfeccionando continuamente hasta llegar a una versión final. Cada versión debe evaluarse teniendo en cuenta los principios de protección de datos, las expectativas razonables de los interesados y el riesgo general que puede suponer el tratamiento. Sobre la base de esta evaluación, se introducen mejoras en la especificación de la finalidad que mejoran la observancia de los principios, están más equilibradas con las expectativas de los interesados y mantienen el equilibrio entre la necesidad/beneficio del tratamiento y el riesgo que supone para los interesados. Las iteraciones pueden verse como un proceso para encontrar el mínimo impacto en los derechos y libertades de los sujetos de los datos sin dejar de alcanzar los objetivos esenciales de la organización. Normalmente, en cada integración, la especificación de la finalidad se vuelve más centrada, más estrecha y específica e impone un menor impacto en los sujetos de los datos.

Este proceso se visualiza en Figura 6.

Figura 2: El proceso de especificación de la finalidad

La protección de datos desde el punto de vista del diseño aplica los principios de la protección de datos a cada paso de la determinación. Aunque algunos de los principios de protección de datos son más aplicables a los medios de tratamiento, la legitimidad, la legalidad y la equidad son directamente aplicables a los fines. Indirectamente, también es aplicable la minimización de los datos en el sentido de que debe minimizarse el impacto del tratamiento sobre los interesados. Esto suele traducirse en una minimización de los datos que se recogen sobre los interesados. Obsérvese también que la limitación de la finalidad durante la determinación de los medios sólo tiene sentido si los fines se especifican de forma estricta; sólo entonces puede determinarse con precisión si los datos o los pasos del tratamiento son realmente necesarios para los fines. Los principios fundamentales se analizan con más detalle a continuación.

Legalidad (véase “Legalidad, equidad y transparencia” en la sección “Principios” de la Parte II de estas Directrices):

De acuerdo con el Art. 6 del RGPD, el tratamiento es lícito si se aplica una de las bases jurídicas descritas en su apartado 1. El art. 9 del RGPD añade requisitos adicionales para las categorías especiales de datos. Para cumplir con el principio de legalidad, el controlador debe elegir una base legal del Art. 6 y posiblemente 9 del RGPD para cada uno de los fines que se persiguen con la actividad de tratamiento.

Obsérvese que es habitual que una actividad de tratamiento persiga una multitud de fines que utilizan diferentes bases jurídicas.Bruegger et ál[1]. describieron una ilustración de esto utilizando el ejemplo de las compras en línea.

Legitimidad (véase “Legalidad, equidad y transparencia” en la sección “Principios” de la Parte II de estas Directrices):

Mientras que la legalidad se refiere a los artículos 6 y 9 del RGPD. 6 y 9 del RGPD, la legitimidad exige cumplir la ley en el sentido más amplio. Por tanto, no se limita al RGPD, sino que se extiende a cualquier otra ley aplicable. Podría decirse que las leyes no solo deben seguirse al pie de la letra, sino también en espíritu. En muchas situaciones, la legitimidad también puede interpretarse de manera que incluya el derecho no vinculante, como los requisitos éticos y las normas profesionales de uso común. Incluso puede extenderse a la protección de los valores de la sociedad en general.

La evaluación de la legitimidad de los fines depende en gran medida de la naturaleza, el alcance y el contexto del tratamiento. En algunos casos, el cumplimiento de la legitimidad puede requerir pasos formales. Esto es típico, por ejemplo, en las organizaciones de investigación en las que una actividad de tratamiento debe ser aprobada preventivamente por un comité de ética de la investigación.

Imparcialidad (véase “Legalidad, imparcialidad y transparencia” en la sección “Principios” de la Parte II de estas Directrices):

Un elemento clave de la equidad es tener en cuenta las expectativas y situaciones razonables de los interesados.Los intereses del responsable del tratamiento, expresados en la especificación de la finalidad, se equilibran con los de los interesados. La repercusión en los derechos y libertades de los interesados debe justificarse con un nivel acorde de necesidad y beneficios potenciales para el responsable del tratamiento.

La evaluación de la equidad de los fines suele requerir la evaluación de las expectativas de los interesados. Hay varias formas de hacerlo, desde “ponerse en el lugar de los interesados” hasta implicar a las organizaciones de consumidores o realizar encuestas.

Para evaluar las expectativas de los interesados, a menudo resulta útil distinguir diferentes personas que representan distintos tipos y situaciones de interesados. También deben incluirse sujetos de datos especialmente vulnerables (como menores o pacientes), o grupos de sujetos de datos que pueden verse afectados por el tratamiento de forma mucho más significativa que la media.

La ponderación debe considerar los riesgos que la actividad de tratamiento representa para los derechos y libertades de los interesados.Los 9 criterios del Grupo de Trabajo de Protección de Datos del Artículo 29 proporcionan una rápida evaluación general del riesgo para [2]determinar si una actividad de tratamiento conlleva un alto riesgo (y, por tanto, requiere una evaluación de impacto sobre la protección de datos). Esto debería complementarse con un análisis de cómo las categorías especiales de interesados y los interesados vulnerables se ven afectados por la actividad de tratamiento prevista.

Tenga en cuenta que se requiere formalmente una prueba de equilibrio cuando la base jurídica del interés legítimo (véase el art. 6(1)(f) del RGPD) para un fin determinado. El Grupo de Trabajo sobre Protección de Datos del Artículo 29 proporcionó orientaciones sobre cómo realizar una prueba de sopesamiento en este contexto [3](véase “Interés legítimo y prueba de sopesamiento”, sección de la Parte II “Principales herramientas y acciones”). En un contexto más general, el SEPD ha proporcionado directrices sobre la proporcionalidad[4].

 

 

  1. Bud P. Bruegger, Eva Schlehahn y Harald Zwingelberg, Data Protection Aspects of Online Shopping – A Use Case, W3C Data Privacy Vocabularies and Controls Community Group, 12 de diciembre de 2019, https://www.w3.org/community/dpvcg/2019/12/12/data-protection-aspects-of-online-shopping-a-use-case/ (Última visita: el 15/7/2021).
  2. Véanse las páginas 9 – 11 del Grupo de Trabajo de Protección de Datos del artículo 29, WP 248rev.01, Directrices sobre la evaluación de impacto de la protección de datos (EIPD) y la determinación de si el tratamiento es “probable que dé lugar a un alto riesgo” a los efectos del Reglamento 2016/679, Adoptado el 4 de abril de 2017. Como último revisado y adoptado el 4 de octubre2017, https://ec.europa.eu/newsroom/article29/items/611236 (última visita 15/7/2021).
  3. en Artículo 29 Grupo de Trabajo de Protección de Datos, WP217, Dictamen 06/2014 sobre la noción de intereses legítimos del responsable del tratamiento en virtud del artículo 7 de la Directiva 95/46/CE, Adoptado el 9 de abril de 2014, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf (última visita 15/7/2021).
  4. Supervisor Europeo de Protección de Datos, Directrices del SEPD sobre la evaluación de la proporcionalidad de las medidas que limitan los derechos fundamentales a la intimidad y a la protección de los datos personales, 19 de diciembre de 2019, https://edps.europa.eu/data-protection/our-work/publications/guidelines/assessing-proportionality-measures-limit_en (última visita el 15/7/2021).

 

Ir al contenido