PD.3 Principio de Finalidad
Requisito PD.3 | Principio de Finalidad |
---|---|
Objetivo | Definir, comunicar y documentar claramente los propósitos del tratamiento de datos. |
Controles | Nivel 1
Nivel 2
Nivel 3
Nivel 4
|
Guía de implementación | Los datos personales solo deben emplearse para los fines específicos por los cuales se recopilaron. Una vez alcanzado el propósito inicial, estos datos deben ser eliminados. Por ejemplo, tras la realización de un sorteo, se deben suprimir los datos personales recabados para dicho evento. También se pueden mantener cuando puedan existir obligaciones legales, pero en ese caso los datos deben permanecer bloqueados. Por ej. casos de responsabilidad contractual o extracontractual. Vencidos esos plazos si corresponde o la eliminación o realizar el procedimiento de conservación. Sin embargo, este mismo principio contempla excepciones en las que, por motivos históricos, estadísticos o científicos y de acuerdo con la legislación aplicable, es posible conservar los datos personales incluso cuando no exista una necesidad o pertinencia directa. El artículo 37 del decreto N° 414/009 detalla el procedimiento para solicitar la autorización de esta conservación de datos, basándose en las finalidades mencionadas, y requiere que el responsable de los datos presente una petición fundamentada para obtener dicha autorización. En este caso la organización debe analizar la factibilidad y pertinencia de utilizar técnicas para proteger los datos, como por ej.: minimización de datos, seudonimización o anonimización. |
Instituciones de salud |
|
Instituciones Emisoras de Dinero Electrónico (IEDE) | No aplica |
Guía de evidencia para auditoría | Evidencia de procesos y procedimientos de eliminación de datos personales una vez que cumplieron su cometido. |
Normativa asociada |
|