Conoce Atico34 - Solicita presupuesto
GlosarioLOPDGDD & RGPD

Principio de proporcionalidad en LOPDGDD y RGPD

En muchas ocasiones, cuando hablamos de si un tratamiento de datos se puede o no llevar a cabo, aparte de la legitimidad y la licitud, hablamos de la proporcionalidad, ¿pero a qué nos referimos con ello?, ¿cómo se aplica el principio de proporcionalidad en protección de datos?

¿Qué es el principio de proporcionalidad en protección de datos?

El principio de proporcionalidad no se define directamente ni en la LOPDGDD ni el RGPD, pero sí que se menciona, puesto que se debe aplicar siempre que se lleven a cabo tratamientos de datos personales que puedan tener un impacto en los derechos y libertades de los interesados o suponga una intrusión en los mismos. Es decir, se debe aplicar el principio de proporcionalidad siempre que el tratamiento de datos pueda suponer una invasión en derechos fundamentales recogidos en la Constitución Española.

El principio de proporcionalidad también está implícito en varios de los principios de protección de datos recogidos en el artículo 5 del RGPD, en concreto en la limitación de la finalidad, la minimización de datos y en la limitación del plazo de conservación. También podemos entender que forma parte del principio de responsabilidad proactiva, puesto que antes de llevar a cabo un tratamiento de datos, el responsable del tratamiento deberá haber ponderado la necesidad y proporcionalidad del mismo.

Por lo tanto, el principio de proporcionalidad en protección de datos implica que los datos personales se tratarán con una finalidad concreta, de manera limitada tanto a esa finalidad como en el tiempo y que el tratamiento no supondrá una intromisión en la privacidad, intimidad y honor de las personas y otros derechos fundamentales, si existe otra forma para poder alcanzar dicha finalidad.

El principio de proporcionalidad en la LOPDGDD

Como decíamos, en la LOPDGDD se menciona el principio de proporcionalidad, en concreto en los artículos 69 y 89.

El artículo 69 hace referencia a las medidas provisionales que puede adoptar la AEPD durante un procedimiento sancionador para salvaguardar el derecho a la protección de datos (en referencia al bloqueo de datos). Estas medidas provisionales deben ser «necesarias y proporcionadas».

Por su parte, el artículo 89 se refiere al respeto del principio de proporcionalidad en el uso de videovigilancia y grabación de sonido en el lugar de trabajo.

El principio de proporcionalidad en el RGPD

En el RGPD, aparte de quedar implícita la proporcionalidad en los principios que mencionábamos más arriba, también menciona el principio de proporcionalidad en:

  • Considerando 4, en referencia a que el derecho a la protección de datos personales no es un derecho absoluto, sino que debe «mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad».
  • Considerando 156, en referencia al ejercicio de derechos de rectificación, supresión, olvido, limitación del tratamiento, portabilidad y oposición, cuando se traten datos personales con fines de archivo público, fines de investigación científica e histórica o fines estadísticos.
  • Considerando 170, en referencia a la capacidad de la UE para tomar medidas respecto a la protección de datos personales en todos los Estados miembros.

tarifas proteccion datos

¿Cómo se determina la proporcionalidad de un tratamiento de datos?

En realidad, cuando hablamos de determinar la proporcionalidad de un tratamiento de datos personales, estamos hablando de determinar la necesidad y la proporcionalidad del tratamiento, puesto que son dos conceptos que van de la mano en protección de datos. Un tratamiento será legítimo cuando sea necesario y proporcionado.

Así, el SEPD (Supervisor Europeo de Protección de Datos) publicó una guía para saber cómo determinar la necesidad y la proporcionalidad de un tratamiento de datos, algo que los responsables del tratamiento deberán llevar a cabo con carácter previo a realizar dicho tratamiento.

Para determinar la necesidad del tratamiento, se deben seguir estos pasos:

  • Realizar una descripción del tratamiento y las razones de por qué es necesario hacerlo. Se deben especificar los tipos de datos que se van a tratar.
  • Identificar los derechos fundamentales y libertades que se verán afectados por el tratamiento.
  • Definir los objetivos (finalidad) del tratamiento. Los objetivos deben ser lícitos y no afectar a otros derechos.
  • Escoger el tratamiento que sea más efectivo para lograr los objetivos y menos intrusivo en los derechos de los interesados.

Para determinar la proporcionalidad del tratamiento se seguirán estos pasos:

  • Evaluar la importancia del objetivo del tratamiento y si las medidas adoptadas para llevarlo a cabo son eficaces.
  • Evaluar el impacto en los derechos de los interesados, es decir, el alcance (a cuánta gente afecta), la extensión (qué datos serán procesados) y la intensidad de la intrusión en los derechos (¿se podrán sacar conclusiones sobre la vida privada de los interesados?).
  • Evaluar el equilibrio entre las razones para hacer el tratamiento y el impacto que tendrá en los derechos de los interesados (ponderar la necesidad y los objetivos con los derechos afectados).

Si el resultado de estas evaluaciones es que estamos ante un tratamiento desproporcionado, será necesario aplicar garantías que reduzcan el alcance y la extensión del tratamiento, así como el plazo de conservación de los datos, además de contar con un Delegado de Protección de Datos.

En definitiva, para aplicar el principio de proporcionalidad en los tratamientos de datos, hay que someter a estos a una evaluación de impacto.

principio de proporcionalidad

El juicio de proporcionalidad en los tratamientos de datos

Cabe señalar que cuando el tratamiento de datos ya está en marcha y se quiere determinar si respeta el principio de proporcionalidad, especialmente en procesos judiciales, lo que se hace es un juicio o test de proporcionalidad, que es una forma de determinar si una medida restrictiva de derechos es proporcional.

Para que un tratamiento de datos supere el juicio de proporcionalidad, debe cumplir estos requisitos:

  • El tratamiento es adecuado y efectivo para alcanzar la finalidad (objetivo) propuesto.
  • No existe otra forma menos intrusiva e igual o más eficaz para alcanzar esa finalidad.
  • El tratamiento proporciona más beneficios para el interés general que daños sobre los derechos en conflicto.

Ejemplos de aplicación del principio de proporcionalidad

Uno de los más claros ejemplos del principio de proporcionalidad aplicado en la protección de datos, lo tenemos en la videovigilancia, en especial en la colocación de cámaras de seguridad en el trabajo y si estas, aparte de la captación de imágenes, pueden grabar sonido en el ámbito laboral.

Mientras que la instalación de cámaras de seguridad en el trabajo está legitimado por la ley, en concreto por el derecho de control del empresario y para garantizar la seguridad de personas y bienes, la grabación de sonido se considera desproporcionada con el fin que se persigue, ya que es una intromisión innecesaria en la intimidad de las personas (no es necesario saber de qué hablan los empleados, para controlar que cumplen con sus tareas, por ejemplo).

El tratamiento de datos biométricos para el control de acceso a unas instalaciones, también es otro ejemplo de aplicación del principio de proporcionalidad. Al ser, además, datos especialmente protegidos, su tratamiento siempre debe someterse a una evaluación de impacto, que ya hemos visto que sirve para determinar la proporcionalidad del tratamiento.

En definitiva, siempre debemos aplicar el principio de proporcionalidad en el tratamiento de datos personales, y determinar siempre la necesidad y proporcionalidad de cualquier tratamiento de datos que queramos llevar a cabo, especialmente si puede afectar a los derechos fundamentales de los interesados.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.