Lección 4Los principios del GDPR en la protección de datos
- Noción 26 - La importancia de los principios del tratamiento de datos personales
- Noción 27 - Primer principio del RGPD: legaledad, equidad y transparencia
- Noción 28 - Segundo principio del RGPD: limitación de la finalidad
- Noción 29 - Tercer principio del GDPR: minimización de datos
- Noción 30 - Cuarto principio del GDPR: exactitud
- Noción 31 - Quinto principio del GDPR: limitación del almacenamiento
- Noción 32 - Sexto principio del GDPR: integridad y confidencialidad.
- Noción 33 - Séptimo principio del RGPD: responsabilidad
- Noción 34 - Revisión de los principales conceptos.
Noción 27
Primer principio del RGPD: legaledad, equidad y transparencia
Competencias objetivo
El núcleo del Reglamento General de Protección de Datos está formado por 7 principios, que ya se han presentado brevemente en la lección anterior, Noción 18. En esta lección explicaremos con más detalle los principios. Aquí te presentaremos el principio Nº 1 (legalidad, transparencia e imparcialidad) del GDPR
¿Qué es la legalidad?
Cuando una organización procesa datos personales, debe hacerlo siempre de conformidad con la ley (RGPD). En otras palabras, debe existir una base jurídica legítima para el tratamiento de los datos personales.
Deben identificarse los motivos específicos para el tratamiento de los datos y debe aplicarse al menos uno de los siguientes:
- a) El interesado ha consentido el tratamiento de sus datos personales para uno o varios fines específicos.
- b) La recogida de los datos es necesaria para la futura tramitación de un contrato en el que el interesado esté interesado.
- c) La persona de la organización responsable del tratamiento de los datos está legalmente obligada a hacerlo.
- d) Los datos deben tratarse para proteger los intereses vitales del interesado.
- e) El tratamiento es necesario para el cumplimiento de una misión realizada por el "responsable del tratamiento" ( Ver Noción 26) en interés público o en el ejercicio del poder público (el responsable del tratamiento).
- f) La organización (u otra parte) tiene un interés legítimo en el tratamiento de los datos. A menos que los intereses o derechos fundamentales del interesado prevalezcan sobre este interés.
En resumen, el tratamiento de datos es "lícito" o legítimo si se cumple al menos uno de los motivos anteriores. Una vez más, todo depende de la intención y la relación entre las partes implicadas.
¿Qué es la equidad?
Cuando se procesan datos, debe hacerse de la manera que la gente esperaría y no de una manera que tenga un impacto negativo injustificado sobre ellos. Por tanto, cuando se procesan datos, hay que preguntarse dos cosas:
1) ¿Tendrá el tratamiento un impacto negativo en un individuo o grupo?
2) ¿Está justificado el tratamiento de datos?
Si no es así, estará incumpliendo este principio. "Si algún aspecto de su tratamiento es injusto, estará infringiendo este principio, incluso si puede demostrar que tiene una base legal para el tratamiento". (ICO, s.a.).
¿Qué es la transparencia?
Transparencia significa ser claro, honesto y abierto. Cuando se trata de privacidad y protección de datos, esto significa que las personas deben saber desde el principio cómo y por qué se recogen y procesan sus datos personales. Por tanto, una organización debe comunicarlo en un lenguaje sencillo para que todo el mundo pueda entenderlo. Cuando las personas disponen de esta información, pueden ejercer sus derechos.
Para ayudarte a entender estos conceptos, aquí tienes un ejemplo de la vida real:
En marzo de 2018, dos de los periódicos más importantes del mundo (The Guardian y NY Times) publicaron historias sobre "cómo los datos personales de más de 50 millones de usuarios de Facebook acabaron en manos de Cambridge Analytica" (Privacy International, 2019). La empresa de consultoría y análisis de datos (Cambridge Analytica) obtuvo ilegalmente datos de Facebook a través de una app de terceros (un test de personalidad), sin el consentimiento de los usuarios y sin base legal. Este escándalo supuso un hecho catalizador en cuanto a leyes y normativas de protección de datos. De hecho, 2 meses después de este suceso, entró en vigor la GDRP.
Por lo tanto, es justo decir que hubo una infracción completa del Principio nº 1 de la GDRP y explicaremos por qué:
El test de personalidad mencionado anteriormente ("This Is Your Digital Life") fue desarrollado por un empleado de Cambridge Analytica. El test creó un perfil psicológico de la persona que respondía a las preguntas, que la empresa utilizó para dirigirse a votantes individuales con el objetivo de predecir e influir en las decisiones de voto de las personas y aumentar el apoyo a la campaña presidencial de Trump en 2016 (Privacy International, 2019). Para la prueba, hubo un proceso de consentimiento informado para la investigación, con miles de usuarios de Facebook que aceptaron completarla solo con fines académicos. Sin embargo, Facebook permitió que esta aplicación recopilara datos personales no solo de los encuestados, sino también de sus contactos de Facebook.
El hecho de que Facebook compartiera los datos y Cambridge Analytica los utilizara sin el consentimiento de las personas fue completamente ilegal (legalidad). Se violaron los derechos y libertades fundamentales de las personas, por no mencionar el posible impacto negativo en las personas a nivel colectivo (impotencia). Además, la forma cuestionable de pedir el consentimiento a la gente y luego utilizar sus datos personales como estrategia para dirigirse a ellos e influir en unas elecciones (transparencia).
Referencias: