1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
(a) |
el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos; |
(b) |
el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales; |
(c) |
el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento; |
(d) |
el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física; |
(e) |
el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento; |
(f) |
el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño. |
Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.
2. Los Estados miembros podrán mantener o introducir disposiciones más específicas a fin de adaptar la aplicación de las normas del presente Reglamento con respecto al tratamiento en cumplimiento del apartado 1, letras c) y e), fijando de manera más precisa requisitos específicos de tratamiento y otras medidas que garanticen un tratamiento lícito y equitativo, con inclusión de otras situaciones específicas de tratamiento a tenor del capítulo IX.
3. La base del tratamiento indicado en el apartado 1, letras c) y e), deberá ser establecida por:
(a) |
el Derecho de la Unión, o |
(b) |
el Derecho de los Estados miembros que se aplique al responsable del tratamiento. |
La finalidad del tratamiento deberá quedar determinada en dicha base jurídica o, en lo relativo al tratamiento a que se refiere el apartado 1, letra e), será necesaria para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Dicha base jurídica podrá contener disposiciones específicas para adaptar la aplicación de normas del presente Reglamento, entre otras: las condiciones generales que rigen la licitud del tratamiento por parte del responsable; los tipos de datos objeto de tratamiento; los interesados afectados; las entidades a las que se pueden comunicar datos personales y los fines de tal comunicación; la limitación de la finalidad; los plazos de conservación de los datos, así como las operaciones y los procedimientos del tratamiento, incluidas las medidas para garantizar un tratamiento lícito y equitativo, como las relativas a otras situaciones específicas de tratamiento a tenor del capítulo IX. El Derecho de la Unión o de los Estados miembros cumplirá un objetivo de interés público y será proporcional al fin legítimo perseguido.
4. Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales no esté basado en el consentimiento del interesado o en el Derecho de la Unión o de los Estados miembros que constituya una medida necesaria y proporcional en una sociedad democrática para salvaguardar los objetivos indicados en el artículo 23, apartado 1, el responsable del tratamiento, con objeto de determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos personales, tendrá en cuenta, entre otras cosas:
(a) |
cualquier relación entre los fines para los cuales se hayan recogido los datos personales y los fines del tratamiento ulterior previsto; |
(b) |
el contexto en que se hayan recogido los datos personales, en particular por lo que respecta a la relación entre los interesados y el responsable del tratamiento; |
(c) |
la naturaleza de los datos personales, en concreto cuando se traten categorías especiales de datos personales, de conformidad con el artículo 9, o datos personales relativos a condenas e infracciones penales, de conformidad con el artículo 10; |
(d) |
las posibles consecuencias para los interesados del tratamiento ulterior previsto; |
(e) |
la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización. |
Los datos personales siempre pueden ser tratados si el interesado ha dado su consentimiento.
Sin embargo, para que el consentimiento sea válido, debe ser voluntario, específico, informado e inequívoco. Por lo tanto, el consentimiento no puede darse de forma implícita, y no debe haber consecuencias negativas por no darlo.
Siempre debe ser posible retirar el consentimiento. Por lo tanto, el consentimiento sólo es a veces la base jurídica más adecuada. Además, si ha iniciado tratamiento basado en el consentimiento, normalmente está obligado a respetar la finalidad para la que se informó al interesado cuando obtuvo el consentimiento.
El término “consentimiento” también se utiliza ampliamente, y el significado y los requisitos de validez pueden variar. Por ejemplo, el consentimiento no relacionado con la protección de datos se utiliza en el ámbito de la sanidad, cuando se ha permitido al interesado optar por no participar en el tratamiento por ley o por otros medios.
Sin embargo, si basa el tratamiento de datos personales en el consentimiento, debe cumplir los requisitos para el consentimiento según el RGPD.
El artículo 6, apartado 1, letra b), del RGPD establece que tratamiento es lícito si es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación de medidas adoptadas a petición del interesado antes de la celebración de un contrato.
En relación con el artículo 6.1.b) del Reglamento, considerando nº 44, el tratamiento debe considerarse lícito cuando sea necesario en el contexto de un contrato o de su celebración.
El tratamiento legal de los datos personales se realiza a menudo debido a una necesidad contractual.
Cuando vendas un servicio o producto a un cliente, tendrás que tratar sus datos de contacto para tratar su solicitud. En este caso, tu base legal para el tratamiento sus datos personales en relación con el RGPD sería el artículo 6, apartado 1, letra b).
El empleo será una relación contractual; por lo tanto, el artículo 6(1)(b) también podría ser relevante en este contexto.
En particular, en lo que respecta a la legislación laboral, el artículo 88.1 del RGPD establece que los Estados miembros podrán establecer por ley o por convenio colectivo disposiciones más específicas para garantizar la protección de los derechos y libertades relativos al tratamiento los datos de los trabajadores en el contexto del empleo.
La letra c) del apartado 1 del artículo 6 del Reglamento establece que tratamiento es lícito si es necesario para el cumplimiento de una obligación legal a la que esté sujeto el responsable del tratamiento.
Por lo que respecta al artículo 6, apartado 1, letra c), del RGPD, el considerando 45 establece que si el tratamiento se realiza en cumplimiento de una obligación legal a la que está sujeto el responsable del tratamiento o si el tratamiento es necesario para el cumplimiento de una misión de interés público o en el ejercicio del poder público, el tratamiento debe tener una base jurídica en el Derecho de la Unión o de los Estados miembros.
El RGPD no implica que se requiera una ley específica para cada operación de tratamiento.
Una ley puede ser suficiente como base para varias actividades de tratamiento datos establecidas en una obligación legal que incumbe al responsable del tratamiento, por ejemplo, las normas de contabilidad. O puede ser que el tratamiento sea necesario para realizar una tarea de interés público o para el ejercicio de la autoridad oficial.
La letra c) del apartado 1 del artículo 6 es directamente aplicable como base para tratamiento siempre que la obligación legal se derive, por ejemplo, de la legislación nacional.
Toda empresa u organización está obligada a llevar la contabilidad y a presentarla anualmente. Por lo tanto, tendrán que tratar datos personales, y el artículo 6(1)(c) sería el medio legal para tratamiento estos datos personales.
Definición de intereses vitales: Un interés vital es cuando el interés es de importancia sustancial y vital para el sujeto de los datos.
La letra d) del apartado 1 del artículo 6 del Reglamento establece que tratamiento es lícito si es necesario para proteger los intereses vitales del interesado o de otra persona.
En relación con el artículo 6.1.d) del Reglamento, el considerando nº 46 del preámbulo establece que el tratamiento de datos personales necesario para proteger un interés fundamental de la vida del interesado o de otra persona debe considerarse lícito. 46 establece que el tratamiento de datos personales necesario para proteger un interés fundamental para la vida del interesado o de otra persona debe considerarse lícito.
Tratamiento de datos personales basado en los datos de otra persona física
Los intereses vitales, en principio, sólo deberían tener lugar si el tratamiento no puede basarse claramente en ningún otro fundamento jurídico.
Algunos tipos de tratamiento pueden servir tanto a los intereses sociales fundamentales como a los intereses vitales del interesado, por ejemplo, el tratamiento necesario por razones humanitarias,
Un hospital estaría autorizado a contactar con la pareja del paciente para ponerse en contacto con él si fuera de vital interés para su salud. Un interés vital podría ser si el paciente está esperando un nuevo órgano.
El artículo 6, apartado 1, letra e), del RGPD establece que tratamiento es lícito cuando es necesario para el cumplimiento de una misión de interés público o cuando el ejercicio del poder público corresponde al responsable del tratamiento.
El artículo 6(1)(e) raramente constituiría el fundamento del tratamiento datos personales para una empresa típica, sino que sería más bien el medio de tratamiento legal para las autoridades públicas.
La letra e) del apartado 1 del artículo 6 es directamente aplicable como base para el tratamiento siempre que el responsable del tratamiento lleve a cabo una tarea de interés público o esté comprendida en el ejercicio del poder público conferido al responsable del tratamiento.
La letra e) del apartado 1 del artículo 6 no exige necesariamente que la tarea que requiere tratamiento datos personales esté explícitamente conferida a la autoridad por la ley.
Por ejemplo, es natural que el Ministerio de Educación pueda tratar datos personales, aunque no exista un mandato legal explícito que le encomiende esa tarea. Esto podría ser así, ya que el Ministerio sería la autoridad central en una tarea relacionada con la inscripción digital y la solicitud de admisión a los programas.
Puede tratar los datos personales si es necesario para que usted, como responsable del tratamiento, o un tercero, persiga un interés legítimo. Sólo puede hacerlo mientras no prevalezca el interés o los derechos del interesado, que exigiría la protección de sus datos personales, principalmente cuando el interesado es un niño.
Puede existir un interés legítimo cuando existe una relación pertinente y adecuada entre el interesado y el responsable del tratamiento del tratamiento, por ejemplo, si el interesado es un cliente o un empleado del responsable del tratamiento.
La existencia de un interés legítimo requiere una evaluación cuidadosa, en la que hay que tener en cuenta el momento y el contexto de la recogida de datos personales.
Un sujeto de datos debe esperar razonablemente que tratamiento para ese fin pueda tener lugar. En particular, los intereses y derechos fundamentales del interesado pueden prevalecer sobre los intereses del responsable del tratamiento si los datos personales se trataren circunstancias en las que el interesado no espera razonablemente un tratamiento posterior.
El tratamiento de datos personales que es estrictamente necesario para prevenir el fraude también constituye un interés legítimo del responsable del tratamiento en cuestión.
El tratamiento de datos personales con fines de marketing directo también podría considerarse un interés legítimo.
Los responsables del tratamiento que formen parte de un grupo o en instituciones afiliadas a un organismo central, pueden tener un interés legítimo en divulgar datos personales dentro del grupo para fines administrativos internos, incluido el tratamiento datos personales de clientes o empleados, según el considerando nº. 48.
Por último, el considerando núm. 49 del preámbulo establece que el tratamiento datos personales en la medida estrictamente necesaria y proporcionada para garantizar la seguridad de la red y de la información constituye un interés legítimo del responsable del tratamiento.
Asegúrese de que toda su empresa cuenta con la formación de concienciación necesaria sobre los aspectos básicos del RGPD y la seguridad informática.
Once you have submitted your details, you’ll be our top priority!