La normativa sobre protección de datos (principalmente, el artículo 5 y seg. RGPD) establece unos principios generales aplicables en su tratamiento, dentro del principio general que se conoce como calidad de los datos, y que son de obligada observancia:
Principio de proporcionalidad/minimización de los datos
Solo podemos tratar aquellos datos que sean adecuados, pertinentes y no excesivos, esto es, los estrictamente necesarios para la finalidad del tratamiento para el cual nos han sido cedidos. También implica que, de entre todos los datos cedidos, solo tratamos las que sean imprescindibles para lograr la mencionada finalidad. El principio de minimización va estrechamente ligado al de limitación de conservación de los datos, que después analizaremos.
Principio de limitación de la finalidad de los datos
Los datos personales se tienen que recoger para una finalidad determinada, explícita y legítima, sin que se puedan tratar posteriormente con otras finalidades incompatibles con aquella para la cual las hemos recogido.
Principio de exactitud
Los datos tienen que ser exactos y actualizados, de forma que reflejen la situación real de su titular. Si los hemos recogido directamente del interesado/da, en principio se consideran exactos.
Principio de lealtad, licitud y transparencia
Cuando tratamos datos personales de terceras personas, lo tenemos que hacer de manera leal, lícita y sin emplear nunca medios fraudulentos en su recogida. Por el que se refiere a la transparencia, alcanza cualquier fase del proceso de tratamiento y es un principio común ligado al ejercicio de los derechos que la norma reserva a la persona interesada, especialmente el derecho de información. La vulneración de estos principios está tipificada como una infracción muy grave.
Principio de limitación del plazo de conservación de los datos
Los datos se tienen que cancelar/eliminar cuando dejen de ser necesarios o pertinentes al fin que ha motivado su cesión. Una vez cumplido este periodo o finalidad de tratamiento, solo los podemos conservar si las disociamos/anonimizamos o cuando el tratamiento de los datos atienda a valores históricos, estadísticos o científicos, solicitando autorización a la Autoridad Catalana de Protección de Datos. Así mismo, los datos los podemos conservar bloqueados, si procede, durante el tiempo en que el/la titular nos pueda exigir algún tipo de responsabilidad derivada de una relación u obligación jurídica, la ejecución de un contrato o la aplicación de medidas precontractuales.
Principio de responsabilidad proactiva
Lo RGPD ha incorporado en el responsable del tratamiento la obligación de adoptar medidas técnicas y organizativas apropiadas para garantizar y demostrar que el tratamiento de datos que lleva a cabo se adecua a lo que dispone el mencionado Reglamento. Por lo tanto, no solo tenemos que garantizar que cumplimos lo que establece el RGPD, sino que tenemos que estar en condiciones de poderlo demostrar, tanto ante las personas interesadas como de las autoridades. El cumplimiento de este principio nos obliga a mantener una actitud proactiva ante los tratamientos de datos que llevamos a cabo y las medidas que aplicamos de acuerdo con la naturaleza, el ámbito, el contexto, las finalidades y los posibles riesgos para los derechos y libertades de las personas.