Área clientes Área clientes
PROTECCIÓN DATA

BLOG

El conocimiento es poder (Francis Bacon)

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Finalidades ulteriores a la finalidad original

Este artículo viene al hilo de una duda recurrente. Cuando hemos recabado los datos personales de una persona con legitimidad para una finalidad concreta, ¿podemos emplear los mismos datos para otras finalidades distintas?  

De acuerdo con el principio de limitación de la finalidad establecido en el artículo 5.1.b) del RGPD, los datos personales deben recogerse con fines determinados, explícitos y legítimos, y no tratarse ulteriormente de manera incompatible con dichos fines. Sin embargo, el RGPD permite el tratamiento ulterior de datos para finalidades compatibles, siempre que se cumplan ciertas condiciones.

El artículo 6, apartado 4, del RGPD, inspirado en el Dictamen 03/2013 del Grupo de Trabajo del Artículo 29 (actualmente, Comité Europeo de Protección de Datos) establece los factores clave para evaluar la compatibilidad de un tratamiento ulterior. Estos factores deben analizarse caso por caso para determinar si el nuevo fin es compatible con el original:

  • Debe existir una relación entre la finalidad original y las ulteriores. Cuanto más estrecha sea esta conexión, mayor probabilidad de compatibilidad.
  • El tratamiento ulterior debe encontrarse dentro de las expectativas razonables del interesado, para ello analizaremos el contexto en que se hayan recogido los datos personales.
  • Debe tenerse en cuenta la naturaleza de los datos objeto de tratamiento y la sensibilidad de los mismos.
  • Antes de proceder, el responsable debe evaluar las posibles consecuencias negativas para los interesados, realizando, si procede, una evaluación de impacto relativa a la protección de datos (EIPD) conforme al artículo 35 del RGPD.
  • El responsable debe adoptar salvaguardias adecuadas, como la encriptación, la seudonimización, la anonimización, la separación funcional de datos, mecanismos de transparencia y el derecho de oposición. Estas medidas ayudan a mitigar riesgos y favorecen la compatibilidad.

Ejemplos

De conformidad con el artículo 5.1.b) del RGPD, el tratamiento ulterior de datos para fines de archivo en interés público, investigación científica o histórica, o fines estadísticos se considera a priori compatible con los fines iniciales, siempre que no se utilicen para adoptar decisiones individuales. No obstante, deben implementarse salvaguardias adecuadas, como la anonimización, el cifrado, la seudonimización o la limitación estricta del acceso a los datos.

Otro ejemplo: aunque la regla general, establecida en la Directiva ePrivacy –incorporada en España por la Ley de Servicios de la Sociedad de la Información y confirmada por el TJUE en su sentencia de 13 de noviembre de 2025 (Inteligo Media SA vs. ANSPDCP, C-654/23)– es que está prohibido el envío de comunicaciones comerciales por correo electrónico u otros medios electrónicos equivalentes sin el consentimiento previo o autorización expresa del destinatario, existen excepciones cuando se cumplen las siguientes condiciones:

  1. Existe una relación contractual previa entre el responsable y el destinatario.
  2. Los datos de contacto se obtuvieron lícitamente en el contexto de esa relación.
  3. Las comunicaciones se refieren a productos o servicios similares a los contratados inicialmente.
  4. Se ofrece al destinatario un procedimiento sencillo y gratuito para oponerse al tratamiento, tanto en el momento de la recogida de datos como en cada comunicación posterior.

Si las condiciones anteriores se cumplen, podemos emplear los datos personales recabados originalmente para una finalidad ulterior.

Conclusión

El RGPD impone al responsable del tratamiento la realización de un test de compatibilidad de fines, es decir, debe analizar el tratamiento para concluir si la finalidad posterior no resulta incompatible con la originaria. Si el nuevo fin es incompatible, no podrá procederse, salvo que se obtenga un nuevo consentimiento del interesado o exista una base legal alternativa.

Existe una excepción notable: incluso si el tratamiento ulterior es incompatible, puede permitirse si es necesario y proporcionado para salvaguardar objetivos de interés público general, como fines humanitarios (control de epidemias, emergencias o catástrofes). En estos casos, se deben aplicar estrictamente los principios del tratamiento de datos, que les detallo aquí, informar al interesado sobre los nuevos fines y sus derechos, además de considerar los factores del artículo 6.4 del RGPD.

 

Índice de artículos
error: El contenido del blog está protegido por derechos de propiedad intelectual mediante su registro en Safe Creative. Queda prohibida la reproducción, distribución, transformación, transcripción, almacenamiento o recuperación total o parcial de este contenido, sin el permiso previa y expreso del titular de los derechos. La infracción de los derechos puede constituir un delito contra la propiedad intelectual (artículo 270 y ss. del CP). Para requerir la autorización pueden dirigirse al titular enviando un correo electrónico a info@protecciondata.es