RGPD: Comprenda todo sobre la limitación de propósito

Anteriormente, discutimos la noción de fines de procesamiento, a modo de recordatorio, la finalidad del tratamiento es el objetivo que persigue este último, su razón de ser. En otras palabras, lo identificamos al preguntarnos: ¿por qué estoy utilizando estos datos? ¿Qué son para mí?
En este artículo nos centraremos en el principio de limitación de la finalidad. En menos de 5 minutos entenderás todo sobre este concepto.?

La respuesta a la encuesta ¿Es posible reutilizar los datos para otro tratamiento cuya finalidad sea incompatible con el primero?? "

Para introducir el tema, te ofrecimos una encuesta el 15 de febrero en nuestra página de LinkedIn, preguntándole si era posible reutilizar datos para otro tratamiento cuya finalidad sea incompatible con el primero.
¡bien hecho! De 209 votantes, el 93% dijo: "No, está prohibido". De hecho, no es posible reutilizar los datos para otros tratamientos cuya finalidad sea incompatible.

Los 6 principios mantenidos en el artículo 5 del RGPD

El artículo 5.1 del RGPD enumera cinco principios que debe cumplir el tratamiento de datos personales:

• Legalidad, lealtad y transparencia
• Limitación de propósitos
• Minimización
• Precisión
• Limitación de la conservación
• Integridad y confidencialidad

Nuestros artículos anteriores introducen y explican algunos de estos conceptos. ¡Síguenos para no perderte a los que vendrán!

¿Cómo limitamos los propósitos?

Para comenzar, primero debes identificar el propósito del procesamiento. Para ello, el tratamiento debe cumplir un objetivo preciso, determinado, explícito, legítimo y bien supervisado. Asimismo, la finalidad deberá ser clara para el interesado y estar justificada por el responsable del tratamiento.
Esto permite, por un lado, responder al principio de minimización (que discutiremos la próxima semana).

Por otra parte, usted asegura a los interesados que sus datos no serán utilizados ni reutilizados fuera de esta finalidad prevista.
En efecto, el responsable del tratamiento no puede reutilizar los datos para otro tratamiento cuya finalidad sea incompatible con la primera.?

Este principio es primordial e inmutable. En caso de uso indebido de la finalidad, la empresa en cuestión será castigada con una multa y su representante con una pena de prisión.

• El artículo 226-21 del Código Penal castiga este delito con multas de 300.000€ y 5 años de prisión
• Mientras que el artículo 85-3 del RGPD promete una sanción administrativa que puede ascender a 20 millones de euros o el 4% del volumen de negocios anual.

Un principio a calificar

Al mismo tiempo, el RGPD matiza el principio de limitación de la finalidad con la noción de "finalidad compatible". Permite, bajo determinadas condiciones, reutilizar los datos recogidos para otro fin.
Esto depende en particular de la base jurídica inicial en la que se basa su tratamiento inicial.
Si se trata de un interés legítimo, un contrato o intereses vitales, los datos podrán utilizarse para otro fin siempre que se hayan comprobado los siguientes puntos para garantizar la compatibilidad.
Los siguientes puntos merecen especial atención (condiciones identificadas por el SEPD):

• “el vínculo entre el propósito inicial y el propósito nuevo o futuro;
• el contexto en el que se recogieron los datos (¿Cuál es la relación entre su empresa/organización y el interesado?);
• el tipo y naturaleza de los datos (¿Son sensibles?);
• las posibles consecuencias del tratamiento posterior previsto (¿Qué impacto tendrá en el interesado?);
• la existencia de garantías adecuadas (como el cifrado o la seudonimización)”.

Si utiliza los datos con fines estadísticos o de investigación científica, no es necesario realizar una prueba de compatibilidad.
Si el tratamiento inicial se basa en el consentimiento o en una obligación legal, no será posible ningún tratamiento posterior que vaya más allá del ámbito de las áreas cubiertas por la base inicial. Un procesamiento posterior requeriría obtener un nuevo consentimiento o una nueva base legal.

¿Un ejemplo de sanción por incumplimiento del principio de limitación de finalidades?‍?

La autoridad supervisora española, la AEPD, ha sancionado a Bankia Bank por violar el artículo 5.1 sobre limitación de finalidad. En este caso, el demandante cierra su cuenta bancaria y 16 años después se pone en contacto con el establecimiento bancario para obtener información relativa a una cuestión de herencia.
Resulta que, de acuerdo con sus procedimientos internos, el banco mantiene los datos de sus antiguos clientes en archivo intermedio mientras dure el plazo de prescripción legal (en caso de demanda).
Se trata de una finalidad posterior compatible con la finalidad inicial (gestionar la cuenta del cliente).

Sin embargo, como señala la autoridad supervisora, utilice estos datos
archivado para responder a una nueva solicitud, no relacionada con
Los fines iniciales previstos son contrarios al principio de limitación de
fines de procesamiento. Se trata, de hecho, de un nuevo tratamiento que inicialmente no fue previsto por el responsable del tratamiento y que resulta incompatible con el existente.
Por ello, la AEPD decidió imponer una multa de 50.000€ el 28 de agosto de 2020 por violación del principio de limitación de las finalidades del tratamiento de datos personales.

Data Comply One (anteriormente Mission RGPD) frente al principio de limitación de propósito

¿Tiene dificultades para identificar sus propósitos de procesamiento? ¿No tienes tiempo para pensar y configurar concretamente tu registro de tratamiento? ¿O te faltan los medios para cumplir?

✅ Con Data Comply One (anteriormente Mission RGPD), usted simplemente identifica los propósitos y subpropósitos de su procesamiento.
Gracias a nuestras plantillas precargadas encontrarás propuestas para escritura y subpropósitos listas para usar. Obviamente puedes modificarlos si es necesario e incluso crear tus propias plantillas.
¡No pierdas más tiempo, es muy sencillo!