Descripción
Home » RGPD » Principios » Legalidad, equidad y transparencia » Descripción

En el apartado Comprender la protección de datos: el reglamento de la UE en pocas palabras, se analizaron la mayoría de las propiedades requeridas en este principio en términos de equilibrio de poder entre el responsable del tratamiento y los interesados. Esto se resume en lo siguiente: Tanto la licitud como la legitimidad de los fines se presentan como un requisito previo para que el tratamiento sea admisible. Para más detalles, véase el apartado 1.5. Para qué fines se permite el tratamiento. La equidad no se discutió en la introducción. Podría decirse que, al equilibrar el poder entre el responsable del tratamiento y los interesados, todo el RGPD trata de la equidad. La transparencia se presentó como un requisito previo para la responsabilidad. Véase 1.6.1 Los responsables del tratamiento son plenamente responsables de los detalles.

El RGPD define el principio de la siguiente manera:

Definición en el Art. 5(1)(a) del RGPD:

Los datos personales se tratarán de forma legal, justa y transparente en relación con el interesado (“legalidad, justicia y transparencia”);

La legalidad, la equidad y la transparencia se analizan con más detalle a continuación.

Requisito de legalidad: fines específicos y explícitos

La legalidad es un requisito para los fines del tratamiento[1]. Por lo tanto, es imposible razonar sobre ella sin conocer previamente los fines precisos que se persiguen con el tratamiento. Por esta razón, la exigencia del art. 5(1)(b) de que los fines deben ser específicos y explícitos se discute aquí como requisito previo:

Los datos personales se recogerán con fines determinados, explícitos y legítimos

Fines específicos:

El Grupo de Trabajo de Protección de Datos del Artículo 29 escribe[2]:

“La especificación de la finalidad constituye el núcleo del marco jurídico establecido para la protección de los datos personales. Para determinar si el tratamiento de datos se ajusta a la ley, y para establecer qué garantías de protección de datos deben aplicarse, es una condición previa necesaria identificar la finalidad o finalidades específicas para las que se requiere la recogida de datos personales.”

La especificación puede verse como la primera tarea de la conceptualización de una actividad de procesamiento que guía todas las decisiones posteriores, incluyendo:

  • si el tratamiento es admisible, es decir, legal y legítimo,
  • qué implica la aplicación del tratamiento necesario para alcanzar los fines, y
  • qué garantías de protección de datos deben aplicarse.

El Grupo de Trabajo afirma, además: [3]

“La finalidad de la recogida debe estar clara y específicamente identificada: debe ser lo suficientemente detallada como para determinar qué tipo de tratamiento está y no está incluido dentro de la finalidad especificada, y para permitir que se pueda evaluar el cumplimiento de la ley y aplicar las garantías de protección de datos.”

y

“Por estas razones, un propósito que es vago o general, como por ejemplo “mejorar la experiencia de los usuarios”, “fines de marketing”, “fines de seguridad informática” o “investigación futura” no cumplirá -sin más detalles- los criterios de ser específico

Propósitos explícitos:

El Grupo de Trabajo afirma, además: [4]

“Los datos personales deben recogerse con fines explícitos. Los fines de la recogida no sólo deben estar especificados en la mente de los responsables de la recogida de datos. También deben ser explícitos. En otras palabras, deben revelarse, explicarse o expresarse claramente de alguna forma inteligible“.

Obsérvese que el requisito de explicitar los fines está estrechamente relacionado con la información a los interesados sobre los fines del tratamiento (véase el art. 13(1)(c) y 14(1)(c) del RGPD).

Basándose en el requisito previo de los fines explícitos especificados, se puede discutir la legitimidad y la legalidad.

Legitimidad y legalidad

Mientras que el art. 5(1)(a) del RGPD sólo habla de legalidad, el requisito de legitimidad, estrechamente relacionado, se establece en el art. 5(1)(b) del RGPD. 5(1)(b) del RGPD. Dado que ambos expresan requisitos relativos a los fines del tratamiento, se examinan aquí conjuntamente.

El art. 5(1)(b) del RGPD establece:

Los datos personales se recogerán con fines determinados, explícitos y legítimos y […]

El RGPD no ofrece una definición de legitimidad, pero el Grupo de Trabajo de Protección de Datos del Artículo 29 establece lo siguiente: [5]

El requisito de legitimidad significa que los fines deben ser “conformes a la leyen el sentido más amplio. Esto incluye todas las formas de derecho escrito y común, la legislación primaria y secundaria, los decretos municipales, los precedentes judiciales, los principios constitucionales, los derechos fundamentales, otros principios legales, así como la jurisprudencia, ya que dicha “ley” sería interpretada y tenida en cuenta por los tribunales competentes.

La legitimidad es, pues, un requisito muy amplio. Esto adquiere aún más importancia si se tiene en cuenta que ciertas legislaciones, como el Reglamento[6] de Ensayos Clínicos, incluyen también requisitos éticos. Pero incluso cuando la ética no está prescrita por la ley, existe el peligro de que los fines que son claramente antiéticos se consideren también ilegítimos. Por ejemplo, este puede ser el caso cuando el tratamiento se realiza sin tener en cuenta la desaprobación de un comité de ética de la investigación.

A diferencia de la legitimidad, la legalidad sí está definida en el RGPD. En concreto, el art. 6(1) del RGPD dice:

El tratamiento sólo será lícito si y en la medida en que se aplique al menos una de las siguientes condiciones: […]

En la omisión representada por […], se enumeran seis posibles bases jurídicas. Pueden considerarse categorías de fines. Se describen con más detalle en la sección siguiente.

Equidad

Podría decirse que toda la protección de datos y, por tanto, el RGPD, tiene que ver con la equidad hacia los interesados. El RGPD puede ser visto como una explicación de lo que significa concretamente la equidad.

Así pues, su mención explícita como principio puede considerarse una “cláusula de repliegue” para el caso de que no se haya establecido explícitamente un requisito concreto de equidad en el RGPD. Incluso en este caso, el principio de equidad evitaría cualquier “laguna” en el RGPD.

Aunque se puede considerar que todo el RGPD trata de la equidad, la sección siguiente ofrece algunos ejemplos en los que la equidad es especialmente evidente.

Transparencia

La transparencia es un concepto bien entendido y es un requisito previo clave para la responsabilidad en el RGPD. El objetivo principal de la transparencia es informar por adelantado[7] a los interesados de la existencia del tratamiento y de sus principales características. El resto de la información (como los datos del interesado) está disponible si se solicita. Los interesados también tienen que ser informados de determinados acontecimientos, sobre todo de las violaciones de datos (en el caso de que el interesado esté expuesto a un alto riesgo). La transparencia también se ve respaldada por la designación por parte de los responsables del tratamiento de un responsable de la protección de datos que actúe como único punto de contacto para las preocupaciones de los interesados. En el RGPD se faculta a los interesados a ser los principales guardianes de sus propios derechos y libertades. Evidentemente, la transparencia es un requisito previo para detectar e intervenir en caso de incumplimiento.

Las autoridades de control, como es obvio por su nombre, también son guardianes del cumplimiento del RGPD, aunque su participación suele ser provocada por las quejas presentadas por los interesados[8]. Existen requisitos de transparencia para los responsables del tratamiento que se dirigen específicamente a los responsables del control, incluidos los registros de tratamiento (véase la documentación del tratamiento en la sección Principales herramientas y acciones de la Parte II) y las evaluaciones de impacto de la protección de datos (véase la sección del mismo nombre en Principales herramientas y acciones, Parte II de estas Directrices). El hecho de que los responsables del tratamiento sean responsables[9] ante las autoridades de supervisión y de que tengan que permitir las investigaciones y auditorías[10] in[11] situ, implementa aún más la transparencia.

 

  1. Queda fuera del alcance de este documento proporcionar un análisis jurídico exhaustivo del concepto de finalidad más allá de su significado en el lenguaje común. Únicamente se señalará que los fines del tratamiento suelen estar relacionados con un objetivo que persigue el responsable del tratamiento. Dichos objetivos deben ser concretos (más que teóricos) y a menudo es posible determinar si se ha alcanzado el objetivo o medir en qué grado se ha alcanzado.
  2. Resaltado añadido por el autor, para la cita, véase la página 15 de: Grupo de Trabajo de Protección de Datos del Artículo 29, 00569/13/ES, WP203, Dictamen 03/2013 sobre la limitación de la finalidad, Adoptado el 2 de abril2013, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf(última visita 27/05/2020).
  3. WP203, página 15, subrayado añadido por el autor.
  4. WP203, página 17, subrayado añadido por el autor.
  5. WP203, página 20, subrayado añadido por el autor.
  6. REGLAMENTO (UE) Nº 536/2014 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de 16 de abril de 2014, sobre ensayos clínicos de medicamentos de uso humano, y por el que se deroga la Directiva 2001/20/CE, https://ec.europa.eu/health/sites/health/files/files/eudralex/vol-1/reg_2014_536/reg_2014_536_en.pdf(última visita 27/05/2020).
  7. Por adelantado significa que los interesados deben ser conscientes del tratamiento antes de que éste tenga lugar. No implica un método determinado de proporcionar información ni excluye formas dinámicas de proporcionar la información necesaria.
  8. Véase el art. 57(1)(f) RGPD.
  9. Véase el art. 58(1)(a) RGPD.
  10. Véase el art. 58(1)(f) del RGPD.
  11. Véase el art. 58(1)(b) del RGPD.
Ir al contenido