La normativa sobre protecció de dades (principalment, l’article 5 i seg. RGPD) estableix uns principis generals aplicables al seu tractament, dins del principi general que es coneix com a qualitat de les dades, i que són d’obligada observança:
Principi de proporcionalitat/minimització de les dades
Només podem tractar aquelles dades que siguin adequades, pertinents i no excessives, això és, les estrictament necessàries per a la finalitat del tractament per al qual ens han estat cedides. També implica que, d’entre totes les dades cedides, només tractem les que siguin imprescindibles per assolir l’esmentada finalitat. El principi de minimització va estretament lligat al de limitació de conservació de les dades, que després analitzarem.
Principi de limitació de la finalitat de les dades
Les dades personals s’han de recollir per a una finalitat determinada, explícita i legítima, sense que es puguin tractar posteriorment amb altres finalitats incompatibles amb aquella per a la qual les hem recollit.
Principi d’exactitud
Les dades han de ser exactes i actualitzades, de manera que reflecteixin la situació real del seu/seva titular. Si les hem recollit directament de l’interessat/da, en principi es consideren exactes.
Principi de lleialtat, licitud i transparència
Quan tractem dades personals de terceres persones, ho hem de fer de manera lleial, lícita i sense emprar mai mitjans fraudulents en la seva recollida. Pel que fa la transparència, abasta qualsevol fase del procés de tractament i és un principi comú lligat a l’exercici dels drets que la norma reserva a la persona interessada, especialment el dret d’informació. La vulneració d’aquests principi està tipificada com una infracció molt greu.
Principi de limitació del termini de conservació de les dades
Les dades s’han de cancel·lar/eliminar quan deixin de ser necessàries o pertinents per a la finalitat que ha motivat la seva cessió. Un cop complert aquest període o finalitat de tractament, només les podem conservar si les dissociem/anonimitzem o quan el tractament de les dades atengui a valors històrics, estadístics o científics, sol·licitant autorització a l’Autoritat Catalana de Protecció de Dades. Així mateix, les dades les podem conservar bloquejades, si escau, durant el temps en què el/la titular ens pugui exigir algun tipus de responsabilitat derivada d’una relació o obligació jurídica, l’execució d’un contracte o l’aplicació de mesures precontractuals.
Principi de responsabilitat proactiva
El RGPD ha incorporat en el responsable del tractament l’obligació d’adoptar mesures tècniques i organitzatives apropiades per garantir i demostrar que el tractament de dades que du a terme s’adequa al que disposa l’esmentat Reglament. Per tant, no només hem de garantir que complim el que estableix el RGPD, sinó que hem d’estar en condicions de poder-ho demostrar, tant davant de les persones interessades com de les autoritats. El compliment d’aquest principi ens obliga a mantenir una actitud proactiva davant dels tractaments de dades que duem a terme i les mesures que hi apliquem d’acord amb la naturalesa, l’àmbit, el context, les finalitats i els possibles riscos per als drets i llibertats de les persones.