Descripción
Home » RGPD » Principios » Limitación de la finalidad » Descripción

En Comprender la protección de datos: el Reglamento de la UE en pocas palabras, la limitación de la finalidad estaba motivada por la limitación del uso de la facultad adquirida exclusivamente para alcanzar los fines declarados y legítimos. (Para más detalles, véase el apartado 1.6.4, “Restricción de los responsables del tratamiento a utilizar la facultad exclusivamente para alcanzar los fines legítimos declarados”).

El RGPD define el principio de la siguiente manera:

Definición en el Art. 5(1)(b) del RGPD:

Los datos personales se recogerán con fines determinados, explícitos y legítimos, y no se tratarán posteriormente de forma incompatible con dichos fines; […] (“limitación de la finalidad“);

Obsérvese que la primera mitad de esta frase ya se ha tratado en el principio anterior. En particular, el requisito de que los fines sean específicos y explícitos es un requisito previo para poder hablar de legalidad; el requisito de legitimidad se refiere a los fines y, por lo tanto, se discute junto con la legalidad.

Lo que se discute aquí con más detalle es la esencia de este principio, a saber, la limitación del tratamiento compatible con los fines. Se trata de un requisito relativo a la ejecución de la actividad de tratamiento, no a los fines.

No se procesa de manera incompatible con esos fines

Así pues, la parte esencial de este principio está contenida en la media frase “no se procesará de forma incompatible con dichos fines”. A continuación, se analiza esta frase con más detalle.

La sentencia habla de la compatibilidad con los fines. De la primera mitad de la frase se desprende que son los fines que se han especificado explícitamente [1](véase la sección anterior). La parte del art. 5(1)(b) que ha sido representada por […] y que se discutirá más adelante también utiliza el concepto de “compatibilidad con los fines iniciales. Por lo tanto, los fines iniciales parecen ser los mismos que los especificados (durante la concepción de la actividad de tratamiento).

El art. 5(1)(b) expresa, por tanto, que el tratamiento deberá ser compatible con:

  • los propios propósitos iniciales, o
  • otros fines que sean compatibles con estos fines iniciales.

La primera se desprende del razonamiento de que los fines son siempre compatibles consigo mismos.

La redacción del Art. 5(1)(b) habla de “procesado posterior”. Aunque esto podría entenderse temporalmente, es decir, en el sentido de “una vez alcanzados los fines iniciales”, el aspecto temporal parece ser irrelevante para este principio. En su lugar, “más allá” tiene el significado de “más allá” sin significado temporal y se refiere puramente a los fines.

La situación se visualiza en :

Figura 1: Se permite el procesamiento para los fines iniciales y compatibles

Es importante saber que no es necesario ningún fundamento jurídico adicional para seguir procesando con fines compatibles. Esto se indica explícitamente en el considerando 50 del RGPD (segunda frase). Refiriéndose al tratamiento posterior con fines compatibles, dice:

En tal caso, no se requiere ninguna base jurídica distinta de la que permitió la recogida de los datos personales.

Uso para fines incompatibles

Esto plantea la cuestión de cómo puede ocurrir el tratamiento de datos personales para fines incompatibles y cuáles son sus consecuencias.

Entender cómo puede ocurrir el procesamiento es importante para poder evitarlo. Los tres ejemplos siguientes ilustran la cuestión sin pretender ser exhaustivos:

  • Desplazamiento de funciones: es común que las actividades de procesamiento evolucionen con el tiempo. También es habitual que adquieran nuevas funcionalidades o “características” que corresponden a un tratamiento adicional o modificado. En los casos en que el responsable del tratamiento no ejerce un control suficiente sobre dicha evolución, el tratamiento puede pasar desapercibido más allá de los fines iniciales o compatibles.
  • Falta de separación: Supongamos que un responsable del tratamiento realiza múltiples actividades de tratamiento independientes que persiguen fines distintos. Si el responsable del tratamiento no aplica las medidas adecuadas para separar las distintas actividades de tratamiento, es fácil que los datos recogidos para una serie de fines se utilicen para otros fines. Esto se ilustra en .

Figura 2: La falta de separación conduce a la utilización de los datos para fines incompatibles.

  • Destinatarios que persiguen sus propios fines: Los destinatarios son personas u organizaciones a las que se revelan los datos personales (véase la definición en el art. 4(9) delRGPD). Los destinatarios pueden ser, por ejemplo:
    • los empleados que acceden a los datos legítimamente por instrucción del responsable del tratamiento para cumplir fines compatibles con el tratamiento, o
    • hackers externos que acceden ilegítimamente a los datos a través de una brecha[2].

En este último caso, es evidente que el destinatario utiliza los datos personales para otros fines. Son estos mismos fines los que probablemente motivaron el ataque en primer lugar. Pero incluso los empleados pueden tener otros intereses en los datos además de perseguir los fines declarados por su empleador. Un ejemplo de ello es cuando el empleado ya conoce al sujeto de los datos y se entera de información que de otro modo no sería accesible.

Con la comprensión obtenida de estos ejemplos que ilustran cómo se pueden utilizar los datos para otros fines, hay que plantearse la cuestión de las posibles consecuencias.

En todos los casos, es probable que se violen los principios básicos de legalidad y legitimidad. Según estos principios, el tratamiento está prohibido a menos que esté justificado por la legalidad y legitimidad demostradas de los fines. Obviamente, esto no es así cuando el tratamiento se realiza con fines incompatibles y, por tanto, injustificados.

El uso de datos fuera y más allá de los fines justificados también permite a los responsables del tratamiento deshonestos acumular poder. Esto puede ocurrir, por ejemplo, cuando los responsables del tratamiento combinan los conjuntos de datos de las personas a través de distintas actividades de tratamiento, conservan y acumulan datos cuando ya no son necesarios para los fines, y posiblemente incluso adquieren datos de otras fuentes con el fin de obtener más poder sobre sus interesados. Este poder acumulado supera evidentemente la ganancia de poder que estaba justificada por la legalidad y legitimidad demostradas de los fines iniciales.

Es evidente que más allá de la mera violación de los principios de protección de datos, dependiendo de los fines para los que se (ab)utilicen los datos, los interesados también pueden experimentar daños materiales o inmateriales. Por ejemplo, el conocimiento de ciertos datos de salud puede afectar significativamente a las relaciones cuando son accesibles a los conocidos o impedir las oportunidades de empleo cuando son accesibles a los posibles empleadores. Cuando se utilizan con fines delictivos, algunos tipos de datos pueden ser la base de un chantaje.

¿Cuándo son compatibles los propósitos?

A continuación, se analiza cómo determinar si los posibles fines adicionales se consideran compatibles. Se basa principalmente en el art. 6(4) delRGPD.

En el caso de que se haya elegido como base legal el consentimiento (véase el art. 6(1)(a) del RGPD) para el tratamiento, el tratamiento posterior para fines adicionales distintos de los compatibles preaprobados (véase más adelante) se considera incompatible[3]. Esto se debe a que el consentimiento es siempre específico para los fines especificados[4]. Ampliar los fines del tratamiento más allá de los fines especificados a los que el interesado ha dado su consentimiento sería claramente injusto e intransparente.

El art. El apartado 4 del artículo 6 establece los siguientes criterios que deben utilizar los responsables del tratamiento para determinar si una finalidad adicional es compatible (con una ligera modificación de la redacción en comparación con el RGPD):

  1. Cualquier relación entre los propósitos iniciales y los propósitos adicionales considerados;
  2. el contexto en el que se han recogido los datos personales, en particular en lo que respecta a la relación entre los interesados y el responsable del tratamiento;
  3. la naturaleza de los datos personales, en particular si incluyen categorías especiales de datos personales (es decir, sensibles) o se tratan datos personales relacionados con condenas e infracciones penales;
  4. las posibles consecuencias del tratamiento posterior previsto para los interesados;
  5. la existencia de garantías adecuadas, que pueden incluir la seudonimización.

El Grupo de Trabajo de Protección de Datos del Artículo 29 ofrece más orientación, incluyendo ejemplos de aplicación de estos criterios[5]. Aunque este dictamen se refiere a la Directiva de protección de datos (es decir, la predecesora o el RGPD), muchos aspectos siguen siendo igualmente aplicables hoy en día.

Para simplificar la determinación de si los fines adicionales son compatibles, el RGPD aprueba previamente algunos de los fines adicionales más comunes que se persiguen en el tratamiento posterior. En concreto, el art. 5(1)(b) incluye los siguientes:

[El tratamiento posterior con fines de archivo en interés público, de investigación científica o histórica o con fines estadísticos no se considerará incompatible con los fines iniciales, de conformidad con el apartado 1 del artículo 89.

El mencionado Art. 89(1) exige la presencia de garantías adicionales.

En este caso, el mencionado art. 89 del RGPD ordena que el tratamiento posterior para estos fines preaprobados solo es admisible si se aplican las garantías adecuadas.

 

 

  1. Éstas son también las finalidades que se comunican a los interesados, como exige el art. 13 y 14 del RGPD).
  2. Los controladores no son responsables de las acciones de los hackers, sino que se limitan a prevenir los ataques mediante medidas de seguridad adecuadas.
  3. Tenga en cuenta que el Art. 6(4) del RGPD sobre los fines compatibles excluye explícitamente que sea aplicable cuando la base legal es el consentimiento.
  4. En particular, estos fines se especifican en el diálogo en el que se pide el consentimiento y la especificación es un aspecto importante del carácter informado del consentimiento.
  5. Grupo de Trabajo de Protección de Datos del Artículo 29, 00569/13/ES, WP203, Dictamen 03/2013 sobre la limitación de la finalidad, Adoptado el 2 de abril de 2013, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf (última visita: el 28/05/2020).

 

Ir al contenido