Artículo 5 — Principios del Tratamiento
Son los 7 principios que deben regir todo tratamiento de datos personales. Son la columna vertebral del GDPR. Cualquier tratamiento de datos de salud debe cumplirlos todos simultáneamente.
Los 7 Principios
1. Licitud, lealtad y transparencia (Art. 5.1.a)
Los datos serán tratados de manera lícita, leal y transparente.
- Licitud: debe haber una base legal (Art. 6) y para datos de salud además una excepción del Art. 9.2
- Lealtad: no engañar al paciente sobre cómo se usarán sus datos
- Transparencia: información clara, accesible (Art. 12-14). Ej: el formulario de consentimiento informado debe incluir el tratamiento de datos
2. Limitación de la finalidad (Art. 5.1.b)
Los datos se recogerán con fines determinados, explícitos y legítimos.
Ejemplo: los datos de la historia clínica recogidos para asistencia no pueden usarse para investigación sin una base legal adicional (Art. 9.2.j + Art. 89). Este es el principio que más se viola en el ámbito sanitario con el “secondary use”.
3. Minimización de datos (Art. 5.1.c)
Los datos serán adecuados, pertinentes y limitados a lo necesario.
En salud: no recoger todo el historial si solo se necesita un análisis concreto. Aunque en la práctica clínica se tiende a recoger mucha información “por si acaso” — esto va contra el principio.
4. Exactitud (Art. 5.1.d)
Los datos deben ser exactos y estar actualizados.
En salud: crucial para diagnósticos y tratamientos. El paciente tiene derecho a rectificación (derechos-arsolip).
5. Limitación del plazo de conservación (Art. 5.1.e)
Los datos se conservarán durante no más tiempo del necesario.
En salud: los plazos varían por país. En España, la ley de autonomía del paciente establece mínimo 5 años desde el alta, pero las CCAA pueden tener plazos mayores (ej: Cataluña 15-20 años). El GDPR no establece plazos específicos — remite a la normativa sectorial.
6. Integridad y confidencialidad (Art. 5.1.f)
Los datos se tratarán de forma segura.
En salud: implica cifrado de HCE, control de accesos (quién ve cada historia), logs de auditoría, autenticación robusta. El secreto médico es ley penal además de GDPR.
7. Responsabilidad proactiva (Art. 5.2) — Accountability
El responsable es responsable del cumplimiento y debe poder demostrarlo.
Es el principio transversal. No basta con cumplir — hay que poder probarlo. Los dpo y las eipd son herramientas de accountability.
Aplicación práctica en salud
| Principio | Ejemplo concreto |
|---|---|
| Licitud | Un hospital no puede pedir consentimiento para tratar datos si la base es Art. 9.2(h) — engañaría al paciente |
| Finalidad | Datos de un TAC no pueden ir a una aseguradora sin nueva base legal |
| Minimización | No pedir el historial psiquiátrico completo para una operación de rodilla |
| Conservación | Destruir registros cuando venza el plazo legal |
| Seguridad | Control de accesos: el oftalmólogo no necesita ver el historial de cardiología |
| Accountability | Tener un registro de actividades de tratamiento (Art. 30) |
Referencias
- ^[raw/papers/reglamento-gdpr-ue-2016-679-es.pdf] Art. 5
- gdpr-vision-general
- articulo-9-datos-salud
- articulo-4-definiciones