En una frase. El principio de limitación de la finalidad del art. 5.1.b) RGPD obliga a recoger los datos con fines determinados, explícitos y legítimos, y a no tratarlos después de manera incompatible con esos fines; un uso ulterior solo es lícito si supera el test de compatibilidad del art. 6.4 o cuenta con una nueva base jurídica.
Puntos clave
- La limitación de la finalidad (art. 5.1.b) exige fines determinados, explícitos y legítimos fijados antes de recoger los datos.
- Tratar los datos para un fin nuevo e incompatible con el original es una infracción, aunque los datos ya se posean lícitamente.
- El test de compatibilidad del art. 6.4 determina si un uso ulterior encaja con el fin inicial; si no, hace falta una nueva base jurídica.
- Errores típicos en España: reutilizar datos de clientes para marketing sin base, ceder datos a otras empresas del grupo o cambiar de finalidad sin informar.
- El principio se documenta en el registro de actividades de tratamiento: cada tratamiento, su finalidad concreta.
Qué exige el principio de limitación de la finalidad
El principio de limitación de la finalidad es uno de los pilares del art. 5.1 RGPD. Impone dos obligaciones encadenadas. Primera, los datos deben recogerse con fines determinados, explícitos y legítimos. Segunda, no pueden tratarse posteriormente de manera incompatible con esos fines.
- Determinados: el fin debe estar concretado antes de recoger los datos, no definirse a posteriori. “Mejorar el servicio” o “fines comerciales” son demasiado vagos.
- Explícitos: el fin debe hacerse constar y comunicarse, típicamente en la información del art. 13 y en la política de privacidad.
- Legítimos: el fin debe apoyarse en una base jurídica válida del art. 6 y ser conforme al resto del ordenamiento.
La consecuencia práctica es contundente: poseer un dato lícitamente no autoriza a usarlo para cualquier cosa. La finalidad delimita el tratamiento tanto como la propia base jurídica.
Fines compatibles: el test del art. 6.4
El RGPD no congela los datos en su fin original: admite usos ulteriores compatibles. El art. 6.4 fija los criterios para valorar si un nuevo fin es compatible con el inicial —en cuyo caso no requiere una nueva base—, o incompatible —en cuyo caso sí. Hay que ponderar:
- La relación entre los fines originales y los nuevos.
- El contexto en que se recogieron los datos y las expectativas razonables del interesado.
- La naturaleza de los datos, en especial si son categorías especiales del art. 9.
- Las posibles consecuencias del uso ulterior para el interesado.
- La existencia de garantías adecuadas, como el cifrado o la seudonimización.
El Reglamento presume compatibles, con condiciones, el archivo en interés público, la investigación científica o histórica y los fines estadísticos (art. 5.1.b in fine). Fuera de esos supuestos, cada uso nuevo debe pasar el test o buscar una base propia —normalmente el consentimiento.
Errores frecuentes que sanciona la AEPD
En la práctica española, la AEPD detecta desviaciones de finalidad recurrentes:
| Error | Por qué infringe la limitación de la finalidad |
|---|---|
| Datos de un contrato usados para marketing sin base | Fin nuevo incompatible sin consentimiento ni interés legítimo válido |
| Cesión a otras empresas del grupo “por defecto” | Comunicación de datos para un fin distinto no informado |
| Formularios que recogen datos “por si acaso” | Fin no determinado; choca también con la minimización |
| Reutilizar datos de RRHH para fines comerciales | Contexto y expectativas del interesado incompatibles |
Las grandes sanciones españolas por defectos de información y legitimación —CaixaBank, 6 millones EUR; BBVA, 5 millones EUR— tienen como trasfondo, en buena medida, el uso de datos para fines que no se habían delimitado ni informado con claridad. Cuando la finalidad no está bien fijada, casi todo lo demás cojea. El impacto sancionador se detalla en la guía de sanciones RGPD.
Relación con otros principios
La limitación de la finalidad no opera sola. Se entrelaza con:
- La limitación del plazo de conservación (art. 5.1.e): cumplida la finalidad, el dato debe suprimirse o bloquearse, como explica la guía de limitación de la conservación.
- La minimización (art. 5.1.c): solo los datos adecuados y necesarios para el fin.
- La licitud (art. 6): sin finalidad legítima no hay base válida.
Documentar bien la finalidad de cada tratamiento en el registro es, por tanto, la palanca que ordena el resto del cumplimiento.
El caso especial de la investigación y la estadística
El RGPD introduce una válvula para no asfixiar usos socialmente valiosos. El art. 5.1.b) presume, con condiciones, que el tratamiento ulterior con fines de archivo en interés público, de investigación científica o histórica o estadísticos no se considera incompatible con los fines iniciales. Pero la presunción no es un cheque en blanco: exige aplicar las garantías del art. 89.1 —principalmente la minimización y, cuando sea posible, la seudonimización o la anonimización— y, en España, respetar las especialidades de la disposición adicional decimoséptima de la LOPDGDD para datos de salud en investigación.
La lección práctica es que “es para investigación” no exime de todo: exige documentar las salvaguardas. Una empresa que reutiliza datos de clientes para un estudio interno debe poder demostrar que aplicó esas garantías, no limitarse a invocar la etiqueta. La frontera entre un uso ulterior legítimo y una desviación encubierta de finalidad se dirime, una vez más, en la documentación.
Cómo aplicar la limitación de la finalidad en la práctica
- Define el fin antes de recoger. Concreto y verificable, no genérico.
- Regístralo. Cada actividad, con su finalidad y su base, en el registro de actividades de tratamiento.
- Informa. Traslada el fin al interesado en la información del art. 13.
- Antes de un uso nuevo, aplica el test. Si es incompatible, obtén una nueva base antes de tratar.
- Revisa periódicamente. Un fin que ya no existe deja el dato sin cobertura.
Mantener alineadas finalidades, bases e informaciones a lo largo de decenas de tratamientos es donde surgen las incoherencias; una plataforma como Legiscope ayuda a documentar cada finalidad y a detectar usos que se desvían del fin declarado. Contrasta tu inventario con el checklist de cumplimiento RGPD en España.
FAQ
¿Puedo usar los datos de mis clientes para enviarles publicidad?
Depende de si ese fin era compatible con el original y estaba informado. La AEPD admite en ciertos casos el interés legítimo para marketing a clientes propios de productos similares, pero debe estar documentado y ofrecerse la oposición; usar datos de un contrato para fines comerciales no informados infringe la limitación de la finalidad.
¿Qué es un fin compatible según el art. 6.4?
Es un uso ulterior que, tras ponderar la relación con el fin original, el contexto, la naturaleza de los datos, las consecuencias para el interesado y las garantías aplicadas, encaja con el propósito inicial y no requiere una nueva base jurídica.
¿Puedo ceder datos a otras empresas de mi grupo?
Solo si esa cesión responde a un fin determinado, informado y con base jurídica. La transmisión “por defecto” a empresas del grupo sin informar ni justificar la base es una desviación de finalidad que la AEPD sanciona.
¿Un fin demasiado genérico incumple el principio?
Sí. Fines como “mejorar el servicio” o “fines comerciales” no son determinados ni explícitos. El fin debe estar concretado antes de recoger los datos y ser lo bastante específico para que el interesado entienda para qué se usarán.
Fuentes oficiales: AEPD, Reglamento (UE) 2016/679 (RGPD) y Comité Europeo de Protección de Datos (CEPD).
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial