Els principis del tractament constitueixen el fonament del sistema europeu de protecció de dades, tal com es formulen, i són el que el diferencia d'altres models de protecció de dades o privacitat.
Aquests pricipis són:
- Licitud, transparencia i lleialtat
- Limitació de finalitat
- Minimització de dades
- Exactitud
- Limitació del termini de conservació
- Integritat i confidencialitat
Un primer principi és el de licitud, transparència i lleialtat, que consisteix en el fet que les dades han de ser tractades de manera lícita, lleial i transparent per a l'interessat. La licitud en el tractament es relaciona amb la necessitat que estigui emparat en una de les bases jurídiques que estableix el Reglament.
Per exemple, el tractament de dades pot resultar necessari per executar un contracte, o perquè un organisme públic pugui exercir els seus poders o satisfer un interès públic.
Al mateix temps, el principi exclou el fet que les dades siguin tractades de manera deslleial envers l'interessat o sense proporcionar-li la informació necessària perquè entengui l'objecte i els fins del tractament, les seves conseqüències i possibles riscs, i pugui, si escau, decidir sobre el tractament.
El segon dels principis que formula l'RGPD és el de limitació de la finalitat. En realitat, aquest principi té dues dimensions.
D'una banda, obliga que les dades siguin tractades amb una o diverses finalitats determinades, explícites i legítimes. Aquest principi es relaciona estretament amb l'anterior. La finalitat del tractament ha d'estar clarament definida.
A vegades es troben finalitats del tipus «les vostres dades seran tractades per millorar la vostra experiència com a usuari». Aquestes definicions no s'ajusten al principi de finalitat. És possible que les finalitats siguin descrites d'una manera àmplia, però sempre una descripció d'aquest tipus ha de permetre a l'interessat o a les autoritats de control conèixer quin tipus d'activitats s'hi inclouen.
Dins aquesta primera part del principi es troba també el fet que les finalitats han de ser legítimes. S'entenen com a tals totes les que estan permeses per l'ordenament jurídic.
La segona part del principi és la que hi dona nom, ja que es prohibeix que les dades recollides amb unes fins determinades, explícits i legítims siguin tractades posteriorment d'una manera incompatible amb aquests fins. No impedeix que les dades siguin tractades amb finalitats diferents de la que va justificar el tractament originari, cosa que prohibeix els tractaments per a fins no compatibles.
L'RGPD, en l'article 6.4, ofereix una sèrie de criteris que cal tenir en compte per determinar la compatibilitat d'aquests fins ulteriors, per bé que no dona una definició precisa de quins són els trets que els caracteritzarien. Tanmateix, esmenta quatre casos de finalitats que es consideren sempre compatibles. Són els d'arxivística en interès públic, investigació científica i històrica i fins estadístics.
El principi de minimització de dades és també hereu de les previsions de la Directiva, encara que, mentre que s'hi establia que només poden ser tractades les dades «adequades, pertinents i no excessives en relació amb els fins per als quals són tractades», el Reglament substitueix l'expressió «no excessives» per la de «limitades al que és necessari». Es tracta d'un matís que precisa i reforça el contingut del principi. Segons aquest principi, no és possible recollir i tractar dades simplement per si poguessin resultar útils o «per tenir-les».
Segons el principi d'exactitud, les dades han de ser exactes i, si escau, actualitzades, i s'han d'adoptar totes les mesures raonables perquè es rectifiquin o suprimeixin les dades inexactes amb relació als fins que es persegueixen.
Aquest principi té importància pel fet que de molts tractaments de dades es deriven decisions que poden afectar, a vegades de manera significativa, els drets o els interessos dels titulars de les dades. Un exemple molt simple en seria el fet que la companyia subministradora d'electricitat o gas mantengui dades errònies sobre els seus clients. Les conseqüències podrien anar des de no proporcionar el servei que s'ha contractat fins a emetre factures als clients equivocats.
El principi de limitació del termini de conservació està relacionat amb el de minimització. En certa manera, podria descriure's com un principi de minimització temporal en el tractament de dades. Igual que només poden tractar-se les dades adequades, pertinents i necessàries per a una finalitat, la conservació d'aquestes dades ha de limitar-se en el temps a l'èxit dels fins que el tractament persegueix. Una vegada que aquestes finalitats s'han assolit, les dades han de ser esborrades o, almenys, desproveïdes de qualsevol element que permeti identificar els interessats.
No obstant això, hi ha casos en què és possible mantenir les dades per més temps del necessari per a la consecució de la finalitat originàriament perseguida. L'RGPD esmenta els casos de tractaments ulteriors amb fins d'arxivística en interès públic, investigació científica i històrica i fins estadístics. També és possible que les dades siguin conservades per al compliment d'una obligació legal del responsable, o perquè el responsable pugui exercir accions legals. Aquestes excepcions estan recollides en l'article 17.3 del Reglament.
Un darrer principi és el d'integritat i confidencialitat. Bàsicament, imposa a qui tracta dades l'obligació d'actuar proactivament amb l'objectiu de protegir les dades que manegen davant qualsevol risc que n'amenaci la seguretat.
En l'incís final de l'article 5 de l'RGPD es troba un principi denominat de responsabilitat proactiva, expressió que pretén traduir el terme anglès accountability.
Aquest principi es descriu no en el mateix article 5, sinó en l'article 24, segons el qual:
tenint en compte la naturalesa, l'àmbit, el context i els fins del tractament així com els riscs de diversa probabilitat i gravetat per als drets i les llibertats de les persones físiques, el responsable del tractament aplicarà mesures tècniques i organitzatives apropiades per tal de garantir i poder demostrar que el tractament és conforme amb aquest Reglament.
El principi té una doble lectura. D'una banda, confirma que la responsabilitat última per la manera com es tracten les dades en concerneix el responsable. És el responsable el que decideix que s'iniciï un tractament, la seva finalitat, les dades que seran tractades i les activitats de tractament que es faran. Per tant, el responsable, que pren les decisions que determinen l'existència del tractament, és el que ha d'ocupar-se que es dugui a terme adequadament i assumir les responsabilitats corresponents en cas que això no succeeixi.
La segona interpretació de l'article es refereix a la manera en què el responsable ha de dur a terme el seu paper. L'RGPD adopta un enfocament proactiu, en exigir que el responsable adopti mesures preventives adreçades a reduir els riscs d'incompliment i, a més, que estigui en condicions de demostrar que ha implantat aquestes mesures i que són les adequades per aconseguir la finalitat perseguida.