Artículo 5 RGPD: los siete principios explicados con ejemplos prácticos
Mayo 2026 · Lectura: ~14 min
El artículo 5 del Reglamento General de Protección de Datos (UE) 2016/679 enumera los siete principios que rigen cualquier tratamiento de datos personales en la Unión Europea. No son directrices orientativas ni recomendaciones de buenas prácticas: son obligaciones jurídicas directamente aplicables cuyo incumplimiento puede acarrear multas de hasta 20 millones de euros o el 4% de la facturación mundial anual bajo el artículo 83.5 del propio Reglamento.
Entender el Art. 5 es la base de cualquier programa de compliance en protección de datos. Todos los demás artículos del RGPD —bases legales, derechos de los interesados, evaluaciones de impacto, medidas de seguridad— son, en buena medida, consecuencias operativas de estos siete principios. Si un tratamiento vulnera uno de ellos, ninguna medida técnica posterior podrá subsanar la infracción.
Esta guía explica cada principio con el texto exacto del Reglamento, su significado práctico y un ejemplo concreto en el contexto jurídico-administrativo español. Para comprender cómo la anonimización te permite salir del ámbito del RGPD, consulta primero qué es la anonimización de documentos.
Estructura del Art. 5: apartados 1 y 2
El Art. 5 se divide en dos apartados. El apartado 1 lista seis principios materiales que definen cómo deben tratarse los datos. El apartado 2 añade un séptimo principio de carácter procesal: la responsabilidad proactiva (accountability), que obliga al responsable a demostrar activamente el cumplimiento de los seis anteriores.
La Agencia Española de Protección de Datos (AEPD) ha publicado varias guías y resoluciones que desarrollan la aplicación práctica de estos principios en el contexto español, incluyendo la Guía de protección de datos por defecto (2020) y la Guía de análisis de riesgos en los tratamientos de datos personales (2023), ambas disponibles en su sede electrónica.
Los siete principios del Art. 5 RGPD
Licitud, lealtad y transparencia
Los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado.
Licitud exige una base legal válida de las seis que lista el Art. 6 (consentimiento, contrato, obligación legal, interés vital, misión de interés público, interés legítimo). Lealtad significa no tratar los datos de forma que sorprenda o perjudique al interesado de manera razonablemente inesperada. Transparencia obliga a informar al interesado en el momento de recogida —o antes del primer tratamiento si los datos proceden de terceros— sobre quién trata los datos, para qué, durante cuánto tiempo y qué derechos puede ejercer.
Ejemplo práctico
Un ayuntamiento que recopila el correo electrónico de los vecinos para gestionar un trámite de licencias incumple la transparencia si usa esas direcciones semanas después para enviar una newsletter de actividades culturales sin haberlo comunicado. Incluso si la newsletter pudiera ampararse en interés legítimo, el principio de lealtad exige que el ciudadano lo supiera de antemano.
Limitación de la finalidad
Los datos serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines.
Los datos no pueden reutilizarse para cualquier propósito distinto del que motivó su recogida. El RGPD permite el tratamiento ulterior con fines de archivo en interés público, de investigación científica o histórica, o estadísticos, siempre con las garantías del Art. 89. Para cualquier otro uso distinto, el responsable debe evaluar si el nuevo fin es compatible con el original atendiendo al vínculo entre fines, la naturaleza de los datos, las consecuencias para el interesado y las garantías aplicadas.
Ejemplo práctico
Un despacho de abogados recoge los datos de sus clientes para prestar el servicio de representación. Usar esos mismos datos para un estudio de mercado interno sobre perfiles de litigantes sin una base legal independiente y sin informar a los clientes viola el principio de limitación de la finalidad, aunque los datos nunca salgan del despacho.
Minimización de datos
Los datos serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
Solo deben recogerse los datos estrictamente necesarios para el fin declarado. La minimización opera en el momento del diseño del sistema (privacy by design, Art. 25) y en cada interacción posterior. Pedir más información de la necesaria no queda justificado por hipotéticos usos futuros: si no hay un fin concreto que lo respalde, el dato no debe recogerse.
Ejemplo práctico
Un formulario de solicitud de subvención pública que exige el número de cuenta bancaria completo, el DNI, la fecha de nacimiento y el estado civil del solicitante cuando el IBAN solo es necesario para el ingreso de la ayuda. El estado civil, en ese contexto, es un dato que no guarda relación con el fin y no debería solicitarse.
Exactitud
Los datos serán exactos y, si fuera necesario, actualizados. Se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.
El responsable no solo debe procurar que los datos sean correctos en el momento de recogida; debe mantener mecanismos para actualizarlos o suprimirlos cuando dejen de serlo. Este principio es la base del derecho de rectificación (Art. 16 RGPD) y obliga a establecer procedimientos internos de revisión periódica, especialmente en bases de datos de largo recorrido.
Ejemplo práctico
Una aseguradora que mantiene en su sistema el domicilio que el asegurado tenía hace diez años, y le envía documentación a esa dirección aunque el cliente haya comunicado el cambio en varias ocasiones, incumple el principio de exactitud. La inexactitud perjudica al interesado y puede tener consecuencias legales si el titular no recibe notificaciones relevantes.
Limitación del plazo de conservación
Los datos se mantendrán de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento.
Una vez cumplido el fin, los datos deben suprimirse o anonimizarse. El RGPD reconoce excepciones para fines de archivo en interés público, investigación científica o estadística (Art. 89), pero en cualquier caso exige que se apliquen medidas técnicas y organizativas apropiadas. En la práctica, cada categoría de datos debe tener un plazo de retención definido en el registro de actividades, y ese plazo ha de derivarse de un fin específico o de una obligación legal concreta.
Ejemplo práctico
Los currículos de candidatos que no superaron un proceso de selección. Sin un plazo documentado y comunicado, muchas organizaciones los acumulan indefinidamente. La práctica correcta es fijar un plazo razonable (p. ej., 12 meses desde la finalización del proceso) e informar de ello en la política de privacidad, suprimiendo o anonimizando los datos al vencimiento.
Integridad y confidencialidad
Los datos serán tratados de tal manera que se garantice una seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.
Este principio conecta directamente con el Art. 32, que obliga a implementar medidas de seguridad acordes al riesgo: cifrado, seudonimización, mecanismos para garantizar la confidencialidad, integridad, disponibilidad y resiliencia, y capacidad de restauración. «Adecuada» no significa máxima: el nivel de protección debe calibrarse al riesgo real, teniendo en cuenta el estado del arte, los costes de implementación y la naturaleza de los datos.
Ejemplo práctico
Un expediente clínico que se transmite por correo electrónico sin cifrar, o una base de datos de clientes con contraseñas en texto plano, viola el principio de integridad y confidencialidad aunque ningún tercero haya accedido a los datos. La infracción reside en la ausencia de medidas, no en el daño efectivo.
Responsabilidad proactiva (accountability)
«El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo.»
El Art. 5.2 invierte la carga de la prueba respecto al modelo anterior de la Directiva 95/46. Ya no basta con cumplir: el responsable debe poder demostrar activamente que cumple. Esto materializa la responsabilidad proactiva en tres obligaciones concretas: llevar un registro de actividades de tratamiento (Art. 30), implementar el principio de protección de datos desde el diseño y por defecto (Art. 25) y documentar cualquier evaluación de impacto realizada (Art. 35).
En la práctica, ante una inspección de la AEPD o una reclamación de un interesado, el responsable debe ser capaz de aportar evidencias documentales de que cada principio se cumple: contratos con encargados, registros de actividades, políticas de retención, evaluaciones de riesgo, registros de formación. La ausencia de esta documentación, aunque no se haya producido daño alguno, puede considerarse per se una infracción del Art. 5.2.
Ejemplo práctico
Una clínica privada trata historias clínicas con los accesos restringidos correctamente y los datos cifrados, pero no ha formalizado contratos de encargado del tratamiento con su proveedor de software médico ni tiene un registro de actividades actualizado. Si la AEPD inicia una actuación de investigación, puede sancionar la infracción del Art. 5.2 aunque la seguridad técnica fuera impecable: el problema no es qué se hace, sino no poder demostrarlo.
Resumen: principios, obligaciones y referencias al RGPD
| Principio | Obligación central | Art. conexo |
|---|---|---|
| Licitud, lealtad y transparencia | Base legal + información al interesado | Art. 6, 13, 14 |
| Limitación de la finalidad | No reutilizar para fines incompatibles | Art. 6.4, 89 |
| Minimización | Solo datos necesarios para el fin | Art. 25 (PbD) |
| Exactitud | Datos correctos y actualizados | Art. 16 (rectificación) |
| Limitación de conservación | Suprimir o anonimizar al vencer el fin | Art. 17 (supresión), 89 |
| Integridad y confidencialidad | Medidas de seguridad adecuadas al riesgo | Art. 32 |
| Responsabilidad proactiva | Demostrar el cumplimiento documentalmente | Art. 25, 30, 35 |
Cómo la anonimización resuelve varios principios a la vez
La anonimización correcta —aquella que cumple los criterios del Considerando 26 y el Dictamen 05/2014 del GT29— tiene un efecto jurídico singular: los datos dejan de ser datos personales y el RGPD ya no se aplica. Esto afecta directamente a varios principios del Art. 5:
Limitación del plazo de conservación
Una vez anonimizados, los datos pueden conservarse indefinidamente para fines estadísticos, de archivo o de investigación sin violar el principio de limitación temporal. La organización no necesita suprimir la información; basta con que deje de ser identificable. Este es el mecanismo más habitual en administraciones públicas que publican estadísticas de contratación o sanidad.
Minimización de datos
Cuando un documento debe compartirse pero contiene más datos personales de los estrictamente necesarios para el destinatario, la anonimización selectiva permite satisfacer el principio de minimización: el receptor recibe la información que necesita sin acceder a los identificadores que no le conciernen.
Integridad y confidencialidad
La anonimización estructural —que elimina el dato del código del archivo en lugar de cubrirlo visualmente— reduce drásticamente el riesgo de exposición en caso de brecha, ya que el dato simplemente no existe en el documento. Complementa las medidas de seguridad del Art. 32 desde el diseño.
Limitación de la finalidad
El Art. 89 permite el tratamiento ulterior con fines estadísticos o de investigación siempre que se apliquen «garantías adecuadas», que el propio artículo identifica como la seudonimización o la anonimización. En consecuencia, anonimizar datos antes de cederlos a un equipo de analítica interna o a una institución investigadora habilita ese uso secundario sin necesidad de nueva base legal.
Para profundizar en las diferencias técnicas y jurídicas entre seudonimización y anonimización —y saber cuándo cada una es la opción adecuada—, consulta seudonimización vs anonimización según el RGPD.
Marco sancionador: infracciones del Art. 5 en España
El incumplimiento del Art. 5 es una de las causas de infracción más frecuentes en las resoluciones de la AEPD. La calificación de la sanción depende de qué principio se vulnera y de la entidad del daño.
Infracción muy grave — Art. 83.5.a RGPD
Hasta 20 M€ o 4% facturación mundialVulnerar los principios del Art. 5.1 (cualquiera de los seis principios materiales). Esta calificación se aplica, por ejemplo, a tratar datos sin base legal (licitud), reutilizarlos con un fin incompatible (limitación de finalidad) o conservarlos indefinidamente sin justificación (limitación temporal). Es el tipo sancionador más grave del RGPD.
Infracción grave — Art. 83.4.a RGPD
Hasta 10 M€ o 2% facturación mundialVulnerar las obligaciones derivadas del Art. 5.2 (responsabilidad proactiva): no llevar el registro de actividades, no implementar medidas de protección desde el diseño, no poder demostrar el cumplimiento ante una inspección. Esta calificación, aunque de rango inferior, es la más frecuente en organizaciones que «hacen las cosas bien» pero no las documentan.
La AEPD aplica criterios de graduación contemplados en el Art. 83.2 del RGPD: naturaleza, gravedad y duración de la infracción, intencionalidad o negligencia, medidas adoptadas para paliar el daño, grado de cooperación con la autoridad de control, categorías de datos afectados, número de interesados afectados y beneficio obtenido. Las sanciones publicadas en España por infracciones del Art. 5 oscilan entre unos pocos miles de euros en microempresas hasta varios millones en el sector financiero y de telecomunicaciones.
Aplicación del Art. 5 por sectores
Los principios del Art. 5 son transversales, pero su concreción varía según el sector. Estos son los puntos de mayor tensión en los entornos legales y administrativos españoles:
Administración Pública
- Limitación de finalidad: los datos recabados para un trámite no pueden reutilizarse para otro sin base legal específica, salvo que la Ley habilite el intercambio entre administraciones (Ley 39/2015, Art. 28).
- Limitación de conservación: los expedientes administrativos tienen plazos de conservación regulados en el Esquema Nacional de Seguridad y en la normativa de archivos. Una vez vencidos, deben eliminarse o anonimizarse.
- Transparencia activa: la publicación de resoluciones, acuerdos y contratos en portales de transparencia bajo la Ley 19/2013 debe hacerse con datos anonimizados cuando incluyan información personal de ciudadanos particulares.
Despachos de abogados y procuradores
- Licitud: la base legal habitual es el contrato (Art. 6.1.b) y el cumplimiento de obligaciones legales (Art. 6.1.c). El consentimiento es excepcional en el ámbito de la representación procesal.
- Confidencialidad profesional y principio de integridad: la comunicación de expedientes por canales no seguros (correo sin cifrar, servicios de mensajería no certificados) viola el Art. 5.1.f aunque la información no se filtre.
- Minimización en la cesión a peritos: solo deben entregarse al perito los documentos que necesita para su dictamen, no el expediente completo. La anonimización previa de datos irrelevantes para la pericia reduce el riesgo sin afectar al procedimiento.
Sanidad
- Categorías especiales: los datos de salud son categoría especial (Art. 9 RGPD), lo que refuerza todos los principios del Art. 5 con un nivel de exigencia superior.
- Limitación de conservación: la Ley 41/2002 fija un mínimo de 5 años para historias clínicas; muchas CCAA amplían este plazo. Trascurrido el período mínimo, los datos no pueden conservarse indefinidamente sin justificación.
- Exactitud: los errores en historial clínico tienen consecuencias directas para la salud del paciente. El derecho de rectificación del Art. 16 tiene aquí una dimensión clínica además de jurídica.
Para una guía específica sobre el tratamiento de datos en la administración pública, consulta la sección de anonimización para administración pública.
Preguntas frecuentes sobre el Art. 5 RGPD
¿El Art. 5 RGPD se aplica a datos de personas jurídicas?
No directamente. El RGPD solo protege datos de personas físicas identificadas o identificables. Sin embargo, cuando los datos de una empresa contienen información que permite identificar a personas físicas (nombre del administrador, email personal del empleado, etc.), esos datos sí quedan sujetos al Reglamento. Las personas jurídicas como tales no son titulares de derechos bajo el RGPD.
¿Qué diferencia hay entre el principio de minimización y la limitación de finalidad?
La minimización opera sobre el volumen y tipo de datos recogidos para un fin concreto: si no son necesarios, no deben recogerse. La limitación de finalidad opera sobre el uso posterior: los datos legítimamente recogidos no pueden reutilizarse para fines incompatibles. Ambos principios son complementarios: la minimización evita acumular datos superfluos; la limitación de finalidad evita que los datos necesarios se usen de forma que el interesado no pudo prever.
¿El principio de exactitud obliga a verificar activamente los datos que los propios interesados han proporcionado?
No necesariamente, aunque sí exige establecer mecanismos razonables de actualización. Si el interesado comunica un cambio de datos y el responsable no lo registra, la infracción es clara. Si el dato simplemente envejece sin comunicación del interesado, el nivel de diligencia requerido depende del tipo de dato y las consecuencias de la inexactitud: a mayor impacto potencial sobre el interesado (p. ej., una dirección para notificaciones legales), mayor esfuerzo de verificación exigible.
¿Cuándo se entiende que la conservación de datos es «necesaria»?
Cuando existe un fin activo y legítimo que justifica mantener los datos identificables. Ese fin puede ser el contrato vigente, una obligación legal de conservación (p. ej., el Art. 30 del Código de Comercio obliga a conservar libros contables durante 6 años), o un interés legítimo documentado. En ausencia de cualquiera de estos supuestos, los datos deben suprimirse o anonimizarse. Las plazos legales de conservación en España varían por sectores: tributario (4 años), laboral (4-5 años), prevención de riesgos (5-10 años), clínico (5-15 años según la comunidad autónoma).
¿La anonimización cumple el principio de limitación del plazo de conservación?
Sí, siempre que la anonimización sea real e irreversible en los términos del Considerando 26. Si los datos se anonimizan correctamente, dejan de ser datos personales y el RGPD ya no se aplica. Por eso la anonimización es la alternativa preferida a la supresión cuando el responsable necesita conservar la información con fines estadísticos o de archivo sin mantener identificables a los interesados. El período de conservación como datos personales concluye cuando se aplica la anonimización.
¿Qué diferencia al Art. 5 del Art. 32 en materia de seguridad?
El Art. 5.1.f establece el principio general de integridad y confidencialidad como objetivo. El Art. 32 concreta las medidas técnicas y organizativas para alcanzarlo: cifrado, seudonimización, mecanismos de continuidad, procedimientos de prueba y evaluación. En términos de responsabilidad sancionadora, incumplir el Art. 5.1.f (principio) puede derivar en infracciones muy graves (Art. 83.5), mientras que el incumplimiento del Art. 32 (medidas concretas) suele clasificarse como infracción grave (Art. 83.4), aunque ambos pueden concurrir.
Conclusión
El Art. 5 RGPD no es un artículo más del Reglamento: es su columna vertebral. Los siete principios que establece —licitud, lealtad y transparencia; limitación de finalidad; minimización; exactitud; limitación de conservación; integridad y confidencialidad; y responsabilidad proactiva— condicionan cada decisión de tratamiento de datos que toma cualquier organización que opere con ciudadanos europeos.
Su cumplimiento no es negociable, pero sí puede gestionarse de forma sistemática. Registrar los tratamientos, definir plazos de retención, documentar las evaluaciones de riesgo, cifrar los datos en tránsito y en reposo, y aplicar anonimización cuando los datos ya no necesiten ser identificables son las medidas concretas que convierten los principios abstractos del Art. 5 en prácticas auditables.
Si tu organización trata documentos con datos personales, la anonimización estructural de esos documentos cuando dejen de ser necesarios es la forma más directa de cumplir simultáneamente los principios de minimización, limitación de conservación e integridad. Consulta la guía completa de anonimización de documentos para ver cómo aplicarlo en la práctica, o explora la sección dedicada a DPOs y compliance si buscas una visión orientada al rol de Delegado de Protección de Datos.