ARTÍCULO 6 DEL RGPD
Las seis (6) bases legales para el procesamiento legal en el artículo 6
Es importante que las empresas conozcan las seis bases legales para el procesamiento legal. El artículo 6 del RGPD establece las seis bases jurídicas. RGPD es una abreviatura del Reglamento General de Protección de Datos, que es un reglamento de la UE. Otra redacción comúnmente utilizada en lugar del fundamento jurídico es el fundamento jurídico.
Las Seis (6) Bases Legales para el Procesamiento Legal son Importantes de Conocer
Una empresa que procesa datos personales debe apoyar cada procesamiento en una de las bases legales. Si un procesamiento de datos personales tiene lugar sin el apoyo de una base legal, el procesamiento es ilegal. Eso constituye una violación y violación del RGPD, que puede resultar en sanciones. Además, las empresas deben cumplir los demás artículos del RGPD. Incluido el tratamiento de todos los datos personales de conformidad con los siete principios de protección de datos.
Consentimiento - Artículo 6, apartado 1, letra a)
El consentimiento es una base jurídica relativamente común para que las empresas apoyen el tratamiento de datos personales. Sin embargo, no siempre es apropiado o permitido utilizar esta base legal para el procesamiento de datos personales.
Por lo tanto, es bueno que las empresas comiencen analizando si cualquier otra base legal es más apropiada para nosotros. Por ejemplo, contrato con el interesado o interés legítimo. Consentimiento significa que una persona acepta que sus datos personales serán procesados para varios fines o un propósito específico.
Tenga en cuenta que una persona debe poder revocar el consentimiento. El interesado debe poder revocar el consentimiento tan fácilmente como lo hizo para proporcionarlo. Si el interesado revoca el consentimiento, la empresa cesará el tratamiento de los datos personales sobre la base del consentimiento. En caso de que sea demasiado difícil retirar el consentimiento, el consentimiento no es válido.
Si existe una relación de poder desigual entre el responsable del tratamiento y el interesado
Si existe una relación de poder desigual entre el responsable del tratamiento y el interesado, el responsable del tratamiento no podrá tratar datos personales sobre la base del consentimiento. Esto se aplica en la mayoría de los casos en que se trata de una relación de poder desigual entre el responsable del tratamiento y el interesado.
Esto se aplica cuando el interesado es la parte más débil en la relación de poder con el controlador, que desea llevar a cabo el procesamiento de los datos personales. Por ejemplo, entre un empleador y un empleado, o entre una autoridad y un ciudadano.
La razón de esto es que es difícil probar y garantizar que el consentimiento se haya otorgado libremente. En estas situaciones en las que existe una relación de poder desigual, el interesado no puede atreverse a rechazar el tratamiento de los datos personales. Por lo tanto, el consentimiento no es una base legal apropiada para usar en casos de relaciones de poder desiguales. En su lugar, la base jurídica del consentimiento con los interesados o el interés legítimo puede ser más adecuada para su uso.
Los consentimientos pasivos están prohibidos
Para que un consentimiento sea válido de acuerdo con el RGPD, debe proporcionarse activamente. Además, el consentimiento debe proporcionarse libremente. Por ejemplo, una empresa puede no tener una casilla de consentimiento marcada previamente en su sitio web. Esto no se considera un consentimiento activo prestado por el interesado.
Contratos con los interesados - Artículo 6, apartado 1, letra b)
Es común que las empresas utilicen el «contrato» como una de las seis bases jurídicas para el tratamiento lícito.
Digamos que una empresa ha firmado un contrato con un individuo. La empresa tiene derecho a tratar sus datos personales que sean necesarios para la ejecución del contrato. Por ejemplo, el proveedor de una solicitud puede procesar el nombre y la dirección de correo electrónico especificados por el usuario. Este procesamiento debe llevarse a cabo para crear una cuenta de usuario. También con el fin de entregar el servicio al usuario de acuerdo con los términos de uso. En este caso, la base legal para el procesamiento puede ser un contrato con el interesado.
En algunos casos, también puede ser posible procesar datos personales sobre esta base legal antes de que las partes celebren un contrato entre sí. Según el RGPD, una empresa puede llevar a cabo el procesamiento de datos personales del interesado antes de la celebración del contrato. Esto se aplica si es necesario tomar medidas a petición del interesado. Por ejemplo, un acreedor puede hacer una verificación de crédito antes de prestar dinero a un cliente.
Un requisito para utilizar esta base jurídica es que el interesado sea parte en el contrato celebrado con el responsable del tratamiento.
Ejemplos de contratos con interesados
Comercio electrónico
Una empresa que opera una plataforma de comercio electrónico necesita procesar los datos personales del cliente para llevar a cabo la entrega. Como nombre y dirección de entrega. En otras palabras, el procesamiento tiene lugar para que la empresa cumpla con sus obligaciones en virtud del contrato celebrado entre la empresa y el cliente.
Nombre del empleado y datos de la cuenta bancaria
Otro ejemplo es cuando un empleador procesa el nombre del empleado y los detalles de la cuenta bancaria para pagar el salario. Parte de las obligaciones del empleador en virtud del contrato de trabajo es pagar salarios por el trabajo realizado al empleado.
Tenga en cuenta que una empresa no puede procesar más datos personales de los necesarios para el propósito de la recopilación. Por ejemplo, si la empresa desea procesar los mismos y / o más datos personales para analizar también el comportamiento del cliente, es un proceso separado de datos personales. En tales casos, la empresa también debe tener una base legal para este procesamiento. El «contrato» como base jurídica para el análisis no será adecuado en ese caso. Esto se debe a que este procesamiento no es necesario para la ejecución o celebración de un contrato con el interesado. En su lugar, el «consentimiento» puede ser, en tales casos, una base jurídica adecuada.
Obligación legal - Artículo 6, apartado 1, letra c)
En algunos casos, puede haber otras leyes o regulaciones que requieran que una empresa procese datos personales. Si es necesario que la empresa procese datos personales para cumplir con una obligación legal a la que la empresa está sujeta, el procesamiento se basa en una obligación legal como base legal. La «obligación legal» es una de las seis bases jurídicas para el tratamiento lícito con arreglo al RGPD.
Ejemplos de obligaciones legales para las empresas
● Mantener registros de sus transacciones comerciales.
● Comunicar los impuestos y las cotizaciones a la seguridad social a las autoridades tributarias.
● Tramitar las reclamaciones y los casos de desistimiento de conformidad con las leyes de protección al consumidor obligatorias aplicables.
● Denunciar incidentes de privacidad y violaciones de datos personales de diversos tipos a las autoridades pertinentes.
Esto significa que la empresa puede procesar los datos personales necesarios para cumplir con los requisitos de la ley o la regulación. Por lo tanto, es importante que las empresas sepan qué leyes específicas se aplican a las operaciones de la empresa. Puede haber leyes y regulaciones específicas de la industria a tener en cuenta. Esto es, además de la legislación más general que se aplica a la mayoría de las empresas.
Protección de intereses vitales - Artículo 6, apartado 1, letra d)
Cuando el tratamiento sea necesario para proteger los intereses vitales del interesado o de otra persona física, será lícito. «Intereses vitales» es una de las seis bases jurídicas para el tratamiento lícito con arreglo al RGPD.
El considerando 46 del RGPD describe cuándo un tratamiento basado en esta base jurídica puede ser lícito. Por ejemplo, si el responsable del tratamiento necesita tratar datos personales para proteger los intereses vitales del interesado (o de otra persona física). En tales casos, también se permite el tratamiento de categorías especiales de datos personales (también conocidos como datos personales sensibles). Ejemplos de datos personales sensibles son los datos relativos a la salud y las creencias religiosas del interesado.
En los casos en que el tratamiento de datos personales sea necesario para salvar vidas, está permitido. Sin embargo, es importante señalar que también está claro que el tratamiento de datos personales basado en los intereses vitales de otra persona física solo debe llevarse a cabo si el tratamiento no puede llevarse a cabo claramente sobre la base de otra base jurídica.
Necesario para salvar vidas
Un ejemplo de cuándo puede ser necesario procesar datos personales para salvar vidas es si una persona sufre un accidente automovilístico grave y está inconsciente al llegar al hospital. En tales casos, el hospital puede necesitar averiguar, por ejemplo, qué grupo sanguíneo tiene la persona, que son datos personales. Esto es según el RGPD considerado como datos personales sensibles, ya que se relaciona con datos de salud. Tenga en cuenta que un responsable del tratamiento no puede utilizar esta base jurídica si el interesado tiene conocimiento de ello. Si una persona acude a un médico para una cita, el consentimiento de la base legal o una tarea de interés público es más apropiado de usar. Please note, a controller may not use this legal basis if the data subject is aware. If a person goes to a doctor for an appointment, the legal basis consent or a task of public interest is more appropriate to use.
El ejercicio del poder público y las funciones de interés público - Artículo 6, apartado 1, letra e)
El tratamiento de datos personales es lícito si es necesario para:
- Realizar una tarea realizada en interés público; o
- En el ejercicio del poder público conferido al responsable del tratamiento.
Son principalmente las autoridades, los municipios y el Estado los que tratan los datos personales sobre la base de esta base jurídica. Sin embargo, también es aplicable al tratamiento de datos personales llevado a cabo por determinados agentes privados. Por ejemplo, empresas que realizan actividades escolares o empresas del sector sanitario.
Ejercicio de la autoridad
El Estado puede confiar a una empresa la tarea de controlar a los ciudadanos del país. Esto puede implicar decidir sobre ciertos derechos u obligaciones. Cuando los maestros de una escuela municipal dan calificaciones a sus estudiantes, es un ejemplo del ejercicio de la autoridad pública. Lo mismo se aplica cuando una autoridad expide permisos de construcción.
Tareas de interés público
Tanto los agentes privados como las autoridades estatales pueden llevar a cabo tareas de interés público. Por ejemplo, la tarea de operar el transporte público, el tráfico aéreo, la atención médica o las actividades escolares privadas.
Una empresa que posea datos de interés público puede utilizar esta base jurídica. O una empresa que procesa datos personales con fines de archivo. Esto está sujeto a la obligación legal de conservar los datos, por ejemplo, para proporcionar acceso a datos de valor duradero para el interés público.
Si una empresa no está segura de si realmente realiza una tarea de interés público, debe considerar otra base jurídica.
Interés legítimo con arreglo al artículo 6, apartado 1, letra f), del RGPD
Si una empresa o un tercero tiene un interés legítimo, entonces los datos personales que son necesarios para lograr el propósito y el interés legítimo en cuestión pueden ser procesados. Sin embargo, esto solo se aplica siempre que las libertades fundamentales y los derechos e intereses del interesado no prevalezcan y requieran la protección de datos personales. El «interés legítimo» es una de las seis bases jurídicas para el tratamiento lícito que se encuentran en el RGPD.
Tenga en cuenta que las autoridades no pueden utilizar esta base jurídica al tratar datos personales.
Además, los interesados pueden oponerse al tratamiento de datos personales que tenga lugar después de una evaluación del interés legítimo. Pero esto no significa automáticamente que la empresa deba cesar el procesamiento. Sin embargo, en tales casos, la empresa debe realizar un nuevo análisis. Además, la empresa debe ser capaz de demostrar que sus necesidades e intereses aún superan a los del interesado.
Llevar a cabo una evaluación de interés legítimo y documentar la evaluación
Para que una empresa pueda determinar si tiene un interés legítimo o no, la empresa debe llevar a cabo una Evaluación de Interés Legítimo (LIA). Es importante que el responsable documente el análisis realizado por escrito.
Si la empresa intenta prevenir el fraude, o en el caso de marketing directo por correo electrónico a clientes anteriores, la empresa puede tener un interés legítimo para llevar a cabo el procesamiento de datos personales.
Sin embargo, si la empresa concluye en su evaluación de interés legítimo que las libertades y los derechos e intereses fundamentales del interesado prevalecen y requieren la protección de datos personales, la empresa no podrá tratar los datos personales para el fin previsto en cuestión sobre esta base jurídica.
Algo que es importante tener en cuenta es que la empresa debe realizar una evaluación de interés legítimo antes de que comience el procesamiento.
MÁS INFORMACIÓN SOBRE RGPD
Existen siete principios de protección de datos
Es importante que una empresa conozca tanto las seis bases legales del RGPD como los siete principios de protección de datos. El artículo 5 del RGPD establece los principios. En este sitio web, puede encontrar información sobre cada principio de protección de datos regulado por el RGPD. Son la base del RGPD y todas las empresas deben adherirse a los principios al procesar datos personales.