CAPÍTULO II - Principios

Editado por

Corrección de errores del Reglamento (UE) 2016/679 DOUE L127 2 de 23/05/2018

---

Artículo 5 - Principios relativos al tratamiento de datos personales

1. Los datos personales deben ser:

a) tratados de manera lícita, leal y transparente respecto del interesado (licitud, lealtad, transparencia);

b) recopilados para fines específicos, explícitos y legítimos, y no procesados ​​posteriormente de manera incompatible con esos fines; el procesamiento posterior con fines de archivo en interés público, con fines de investigación científica o histórica o con fines estadísticos no se considera, de conformidad con el artículo 89, apartado 1, incompatible con los fines originales (fines de limitación);

c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (minimización de datos);

d) ser exactos y, cuando sea necesario, actualizados; se deben tomar todas las medidas razonables para garantizar que los datos personales que sean inexactos, teniendo en cuenta los fines para los que se procesan, se eliminen o rectifiquen sin demora (exactitud);

(e) conservados en una forma que permita la identificación de los interesados ​​durante un período que no exceda el necesario para los fines para los cuales se procesan; Los datos personales podrán conservarse durante períodos más largos en la medida en que se procesarán exclusivamente con fines de archivo de interés público, con fines de investigación científica o histórica o con fines estadísticos de conformidad con el artículo 89, párrafo 1, siempre que se cumplan los requisitos técnicos y se implementen las medidas organizativas requeridas por este Reglamento para garantizar los derechos y libertades del interesado (limitación de conservación);

(f) procesados ​​de una manera que garantice la seguridad adecuada de los datos personales, incluida la protección contra el procesamiento no autorizado o ilegal y contra la pérdida, destrucción o daño accidental, utilizando medidas técnicas u organizativas apropiadas (integridad y confidencialidad);

2. El responsable del tratamiento es responsable del cumplimiento del apartado 1 y puede demostrar que se cumple (responsabilidad) .

---

Artículo 6 - Legalidad del tratamiento

1. El procesamiento solo es lícito si y en la medida en que se cumpla al menos una de las siguientes condiciones:

(a) el interesado ha dado su consentimiento para el tratamiento de sus datos personales para uno o más fines específicos;

(b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la ejecución de medidas precontractuales adoptadas a petición del interesado;

c) el tratamiento es necesario para el cumplimiento de una obligación legal a la que está sujeto el responsable del tratamiento;

(d) el procesamiento es necesario para salvaguardar los intereses vitales del interesado o de otra persona física;

e) el tratamiento es necesario para el desempeño de una tarea de interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

f) el tratamiento es necesario para los fines de los intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, a menos que sean anulados por los intereses o derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado es un niño.

La letra f) del párrafo primero no se aplica a los tratamientos realizados por autoridades públicas en el cumplimiento de sus misiones.

2. Los Estados miembros podrán mantener o introducir disposiciones más específicas para adaptar la aplicación de las normas del presente Reglamento en lo que respecta al tratamiento con el fin de cumplir lo dispuesto en el apartado 1, letras c) y e), determinando con mayor precisión los requisitos específicos aplicables a la procesamiento, así como otras medidas destinadas a garantizar un procesamiento legal y justo, incluso en otras situaciones de procesamiento específicas según lo dispuesto en el Capítulo IX.
3. La base para el tratamiento a que se refiere el apartado 1, letras c) y e), se define como:

a) Derecho de la Unión; O

b) la ley del Estado miembro a la que esté sujeto el responsable del tratamiento.

Los fines del procesamiento se definen en esta base legal o, con respecto al procesamiento mencionado en el párrafo 1 (e), son necesarios para el desempeño de una tarea realizada en interés público o relacionada con el ejercicio de la autoridad pública. responsable del tratamiento. Esta base jurídica podrá contener disposiciones específicas para adaptar la aplicación de las normas de este Reglamento, entre otras: las condiciones generales que regulan la licitud del tratamiento por parte del responsable; los tipos de datos que son objeto de tratamiento; las personas interesadas; las entidades a las que se podrán comunicar datos personales y las finalidades para las que se podrán comunicar; limitación de finalidades; períodos de retención; y operaciones y procedimientos de procesamiento, incluidas medidas para garantizar un procesamiento legal y justo, como los previstos en otras situaciones particulares de procesamiento según lo previsto en el Capítulo IX. El Derecho de la Unión o el Derecho de los Estados miembros responde a un objetivo de interés público y es proporcionado al objetivo legítimo perseguido.

4. Cuando el tratamiento para una finalidad distinta de aquella para la que se recogieron los datos no se base en el consentimiento del interesado o en el Derecho de la Unión o de un Estado miembro que constituya una medida necesaria y proporcionada en una sociedad democrática para garantizar la objetivos a que se refiere el artículo 23, apartado 1, el responsable del tratamiento, para determinar si el tratamiento para otro fin es compatible con el fin para el que se recogieron inicialmente los datos personales, tendrá en cuenta, entre otras cosas:

a) la posible existencia de un vínculo entre los fines para los cuales se recogieron los datos personales y los fines del procesamiento posterior previsto;

b) el contexto en el que se recogieron los datos personales, en particular en lo que respecta a la relación entre los interesados ​​y el responsable del tratamiento;

(c) la naturaleza de los datos personales, en particular si el procesamiento se refiere a categorías especiales de datos personales, de conformidad con el artículo 9, o si se tratan datos personales relacionados con condenas e infracciones penales, de conformidad con el artículo 10;

d) las posibles consecuencias del tratamiento posterior previsto para los interesados;

e) la existencia de salvaguardias adecuadas, que pueden incluir cifrado o seudonimización.

---

Artículo 7 - Condiciones aplicables al consentimiento

1. En los casos en que el tratamiento se base en el consentimiento, el responsable del tratamiento podrá demostrar que el interesado ha dado su consentimiento para el tratamiento de los datos personales que le conciernen.
2. Si el consentimiento del interesado se presta en el marco de una declaración escrita que se refiere también a otras cuestiones, la solicitud de consentimiento deberá presentarse en una forma que la distinga claramente de esas otras cuestiones, de forma comprensible y fácilmente accesible, y formulado en términos claros y simples. Ninguna parte de esta declaración que constituya una violación de estas regulaciones es vinculante.
3. El interesado tiene derecho a retirar el consentimiento en cualquier momento. La retirada del consentimiento no compromete la licitud del tratamiento basado en el consentimiento otorgado antes de dicha retirada. Se informa de ello al interesado antes de dar su consentimiento. Es tan fácil retirarlo como dar el consentimiento.
4. Al determinar si el consentimiento se otorga libremente, se debe tener debidamente en cuenta, entre otras cosas, si la ejecución de un contrato, incluida la prestación de un servicio, está sujeta al consentimiento al procesamiento de datos personales que no son necesarios para la ejecución de dicho contrato.

---

Artículo 8 - Condiciones aplicables al consentimiento de los niños en relación con los servicios de la sociedad de la información

1. Cuando se aplique el artículo 6, apartado 1, letra a), en relación con la prestación directa de servicios de la sociedad de la información a niños, el tratamiento de datos personales relativos a un niño es lícito cuando el niño tenga al menos 16 años. Cuando el niño es menor de 16 años, este procesamiento sólo es lícito si, y en la medida en que, el consentimiento sea dado o autorizado por el titular de la responsabilidad parental sobre el niño.

Los Estados miembros podrán establecer por ley una edad inferior a estos efectos, siempre que dicha edad inferior no sea inferior a 13 años.

2. El responsable del tratamiento deberá realizar esfuerzos razonables para verificar, en tales casos, que el consentimiento sea prestado o autorizado por el titular de la patria potestad sobre el niño, teniendo en cuenta los medios tecnológicos disponibles.
3. El apartado 1 no afecta al Derecho contractual general de los Estados miembros, en particular a las normas relativas a la validez, la formación o los efectos de un contrato respecto de un niño.

---

Artículo 9 - Tratamiento de categorías especiales de datos personales

1. El tratamiento de datos personales que revelen el origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas o afiliación sindical, así como el tratamiento de datos genéticos, datos biométricos con el fin de identificar de forma única a una persona física, datos relativos a la salud o datos relativas a la vida sexual o la orientación sexual de una persona física están prohibidas.
2. El apartado 1 no se aplica si se cumple alguna de las siguientes condiciones:

a) el interesado haya dado su consentimiento explícito al tratamiento de esos datos personales para uno o más fines específicos, excepto cuando la legislación de la Unión o de los Estados miembros establezca que el interesado no puede renunciar a la prohibición mencionada en el apartado 1;

b) el procesamiento es necesario para el cumplimiento de las obligaciones y el ejercicio de los derechos propios del responsable o del interesado en materia de legislación laboral, seguridad social y protección social, en la medida en que dicho procesamiento sea autorizado por el Derecho de la Unión, por el Derecho de un Estado miembro o por un convenio colectivo celebrado con arreglo al Derecho de un Estado miembro que establezca garantías adecuadas para los derechos e intereses fundamentales del interesado;

(c) el procesamiento es necesario para salvaguardar los intereses vitales del interesado o de otra persona física, cuando el interesado sea física o legalmente incapaz de dar su consentimiento;

d) el tratamiento sea realizado, en el marco de sus actividades legítimas y sujeto a las garantías adecuadas, por una fundación, una asociación o cualquier otra organización sin fines de lucro y que persiga un fin político, filosófico, religioso o sindical, siempre que dicho tratamiento el tratamiento se refiere exclusivamente a miembros o antiguos miembros de dicho organismo o a personas que mantienen contacto regular con él en relación con sus fines y que los datos personales no se comunican fuera de este organismo sin el consentimiento de los interesados;

(e) el procesamiento se refiere a datos personales que el interesado hace claramente públicos;

f) el tratamiento sea necesario para el establecimiento, ejercicio o defensa de un derecho jurídico o cuando los tribunales actúen en el marco de su función judicial;

g) el tratamiento es necesario por razones de interés público importante, sobre la base del Derecho de la Unión o del Derecho de un Estado miembro, que debe ser proporcionado al objetivo perseguido, respetar la esencia del derecho a la protección de datos y prever medidas adecuadas y medidas específicas para salvaguardar los derechos e intereses fundamentales del interesado;

h) el tratamiento sea necesario para fines de medicina preventiva o medicina del trabajo, evaluación de la capacidad de trabajo del trabajador, diagnósticos médicos, asistencia sanitaria o social, o gestión de sistemas y servicios de atención sanitaria o protección social con arreglo al Derecho de la Unión, el la legislación de un Estado miembro o en virtud de un contrato celebrado con un profesional sanitario y sujeto a las condiciones y garantías mencionadas en el apartado 3;

(i) el procesamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección contra amenazas transfronterizas graves para la salud, o con el fin de garantizar altos estándares de calidad y seguridad de los productos sanitarios y medicinales, o productos sanitarios, sobre la base de la legislación de la Unión o de los Estados miembros que establezca medidas apropiadas y específicas para salvaguardar los derechos y libertades del interesado, en particular el secreto profesional;

j) el tratamiento es necesario para fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sobre la base del Derecho de la Unión o del Derecho de un Estado miembro, que debe ser proporcionado al objetivo perseguido, respetar la esencia del derecho a la protección de datos y prever medidas adecuadas y específicas para salvaguardar los derechos e intereses fundamentales del interesado.

3. Los datos personales a que se refiere el apartado 1 podrán ser tratados para los fines previstos en el apartado 2, letra h), si dichos datos son tratados por un profesional sanitario sujeto a una obligación de secreto profesional de conformidad con la legislación de la Unión, el la legislación de un Estado miembro o las normas adoptadas por los organismos nacionales competentes, o bajo su responsabilidad, o por otra persona también sujeta a una obligación de secreto de conformidad con el derecho de la Unión o la legislación de un Estado miembro o las normas adoptadas por las autoridades competentes. organismos nacionales.
4. Los Estados miembros podrán mantener o introducir condiciones adicionales, incluidas limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos sanitarios. .

---

Artículo 10 - Tratamiento de datos personales relacionados con condenas e infracciones penales

El tratamiento de datos personales relacionados con condenas penales y delitos conexos o medidas de seguridad basadas en el artículo 6, apartado 1, solo podrá llevarse a cabo bajo el control de una autoridad pública, o si el tratamiento está autorizado por el derecho de la Unión o por el derecho de un Estado miembro que proporcione garantías adecuadas para los derechos y libertades de los interesados. Todo registro completo de condenas penales sólo puede mantenerse bajo el control de la autoridad pública.

---

Artículo 11 - Tratamiento que no requiere identificación

1. Si los fines para los cuales se procesan los datos personales no requieren o ya no requieren que el controlador identifique a un interesado, el controlador no está obligado a almacenar, obtener o procesar información adicional para identificar al interesado con el único propósito de cumplir. con este Reglamento.
2. Cuando, en los casos a que se refiere el apartado 1 del presente artículo, el responsable del tratamiento pueda demostrar que no puede identificar al interesado, informará de ello a éste, si es posible. En tales casos, los artículos 15 a 20 no son aplicables, salvo que el interesado proporcione, a los efectos del ejercicio de los derechos que le confieren estos artículos, información adicional que permita su identificación.