Hable con nosotros

GDPR EXPLICADO: Las 6 bases legales para el tratamiento de datos personales de forma lícita

24 de mayo de 2019

Los 99 artículos y 173 considerandos del RGPD coinciden básicamente con la antigua ley de protección de datos. Sin embargo, las principales diferencias son;

  1. El RGPD establece derechos legales claramente definidos en relación con la recogida y el tratamiento de los datos personales de los residentes de la UE, así como un proceso de reparación cuando se violan sus derechos de privacidad, y;
  2. Todas las organizaciones que recogen y procesan los datos personales de los residentes de la UE tienen la responsabilidad de garantizar que sus prácticas de recogida y tratamiento cumplen plenamente la ley, o se enfrentan a consecuencias potencialmente graves.

Adherirse al RGPD no es opcional, y no hay razones legítimas para no cumplirlo. Esta "nueva" ley tiene consecuencias de gran alcance para las empresas que operan en todo el mundo, y no solo para las ubicadas en los países de la UE. Pero a pesar de que el GDPR se convirtió en ley en mayo de 2018, innumerables miles de empresas afectadas en todo el mundo aún no cumplen con la normativa.

Lograr el cumplimiento del GDPR puede ser complejo y requiere una inversión significativa, así como cambios en los procesos y las tecnologías.

Pero aquí está el problema. En lugar de abordar la cuestión identificando qué datos personales se tienen y estableciendo después los fundamentos jurídicos para la recogida y el tratamiento de dichos datos, muchas empresas han concentrado sus esfuerzos en evitar las sanciones por incumplimiento, mientras que otras simplemente han enterrado la cabeza en la arena, en la creencia de que el RGPD no se aplica a ellos.

Preparación del cumplimiento y establecimiento de los fundamentos jurídicos

El Grupo de Privacidad de Datos aconseja a las empresas que comiencen el proceso de cumplimiento identificando primero;

  1. qué datos se conservan;
  2. dónde se almacena, tanto dentro de la organización como a distancia (empleados y dispositivos de terceros);
  3. qué datos se tratan (actividad) y por qué (finalidad).

Una vez documentado todo lo anterior, el siguiente paso es establecer una base legal para el tratamiento de estos datos personales. Debe haber al menos uno de los fundamentos jurídicos del RGPD. Esto puede variar en función de la actividad de tratamiento de datos personales y la finalidad.

Para quienes estén algo confusos sobre el RGPD y su impacto en las operaciones empresariales, el mejor punto de referencia, al considerar los fundamentos jurídicos del tratamiento, son los dos componentes principales del RGPD: los considerandos y los artículos.

Los 99 artículos del RGPD constituyen los requisitos reales que deben cumplir las empresas para ser consideradas conformes, mientras que los considerandos aportan contexto y mayor profundidad de significado a los artículos.

En cuanto a la legalidad, equidad, transparencia y finalidad del tratamiento de los datos personales, el considerando 39 del documento del RGPD dice lo siguiente

  1. Todo tratamiento de datos personales debe ser lícito y justo.
  2. Debe ser transparente para las personas físicas que los datos personales que les conciernen son recogidos, utilizados, consultados o tratados de otro modo y en qué medida los datos personales son o serán tratados.
  3. Tl principio de transparencia exige que toda información y comunicación relativa al tratamiento de esos datos personales sea fácilmente accesible y comprensible, y que se utilice un lenguaje claro y sencillo.
  4. Este principio se refiere, en particular, a la información a los interesados sobre la identidad del responsable del tratamiento y los fines del mismo, así como a la información complementaria que garantice un tratamiento leal y transparente con respecto a las personas físicas afectadas y a su derecho a obtener la confirmación y comunicación de los datos personales que les conciernen y que están siendo tratados.
  5. Las personas físicas deben conocer los riesgos, las normas, las garantías y los derechos en relación con el tratamiento de datos personales y cómo ejercer sus derechos en relación con dicho tratamiento.
  6. En particular, los fines específicos para los que se tratan los datos personales deben ser explícitos y legítimos y estar determinados en el momento de la recogida de los datos personales.
  7. Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario para los fines para los que se tratan.
  8. Esto requiere, en particular, garantizar que el período de almacenamiento de los datos personales se limite a un mínimo estricto.
  9. Los datos personales sólo deben tratarse si la finalidad del tratamiento no puede cumplirse razonablemente por otros medios.
  10. Para garantizar que los datos personales no se conserven más tiempo del necesario, el responsable del tratamiento debe establecer plazos para la supresión o para una revisión periódica.
  11. Deben tomarse todas las medidas razonables para garantizar la rectificación o supresión de los datos personales que sean inexactos.
  12. Los datos personales deben tratarse de forma que se garantice la seguridad y confidencialidad adecuadas de los mismos, incluso para evitar el acceso o uso no autorizado de los datos personales y del equipo utilizado para el tratamiento.

Los seis motivos legales para el tratamiento de datos personales de forma lícita

El RGPD exige que, para que el tratamiento sea lícito, los datos personales se traten sobre la base del consentimiento del interesado o de algún otro fundamento legítimo.

Esa "base legítima" debe estar establecida en la ley, siendo la ley el GDPR, u otras leyes de la Unión Europea o de los Estados miembros, dependiendo del Estado miembro de la UE al que esté sujeto el controlador de datos afectado.

Todo tratamiento de datos personales debe ser lícito y justo, y debe ser transparente para los interesados cuyos datos personales se tratan. El principio de transparencia exige que toda la información y las comunicaciones relativas al tratamiento de datos personales sean fáciles de entender y de acceder.

El artículo 6.1 del RGPD establece las condiciones que deben cumplirse para que el tratamiento de datos personales sea lícito. Las seis condiciones son las siguientes:

  1. El interesado ha dado su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
  2. El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para tomar medidas a petición del interesado antes de celebrar un contrato;
  3. El tratamiento es necesario para el cumplimiento de una obligación legal a la que está sujeto el responsable del tratamiento;
  4. El tratamiento es necesario para proteger los intereses vitales del interesado o de otra persona física;
  5. El tratamiento es necesario para el cumplimiento de una misión de interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
  6. El tratamiento es necesario para los fines de los intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, salvo que sobre dichos intereses prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de los datos personales, en particular cuando el interesado sea un niño.

Es importante establecer la base jurídica más adecuada para cada actividad de tratamiento legal ANTES de que comience el tratamiento real. Esto requiere, por sí mismo, que se haya realizado un registro obligatorio de todas las actividades de tratamiento de datos personales.

La Oficina del Comisario de Información (ICO) advierte que "no se debe cambiar a una base legal diferente en una fecha posterior sin una buena razón. En particular, normalmente no se puede pasar del consentimiento a una base diferente".

Otro punto importante es garantizar que los avisos de privacidad indiquen claramente la propósito del tratamiento. Si la finalidad declarada cambia, puede ser posible continuar el tratamiento con la base legal original, siempre que la nueva finalidad sea compatible con la finalidad original (a menos que su base legal original fuera el consentimiento).

Aunque actualmente la mayoría de las empresas lo prefieren como fundamento jurídico para el tratamiento, el consentimiento no es más que uno de los seis fundamentos jurídicos que hacen legítimo el tratamiento de datos personales. Cuando un responsable del tratamiento inicie actividades de tratamiento de datos personales, debe considerar si el consentimiento es en realidad el fundamento jurídico más adecuado para el tratamiento legítimo. En algunas situaciones, otro podría resultar más adecuado. Sin embargo, cuando el consentimiento es elegida para una actividad de tratamiento concreta, deben cumplirse estrictamente todas las normas y derechos relativos al consentimiento, como informar al interesado sobre los motivos legales que invoca para el tratamiento de los datos personales.

Uso del consentimiento como fundamento jurídico para el tratamiento legal

El consentimiento es la primera base jurídica para el tratamiento de datos personales documentada en el RGPD. Se ha establecido un nivel elevado para los casos en los que el consentimiento se considera el motivo más adecuado para el tratamiento.

El ICO ha destacado los siguientes principios importantes cuando Consentimiento se utiliza como base jurídica para el tratamiento de los datos personales:

- El consentimiento debe ser nominativo, es decir, se debe nombrar específicamente a los terceros con los que se pueden compartir los datos. El consentimiento debe ser granular, es decir, debe obtenerse un consentimiento independiente para cada actividad de tratamiento;

- El consentimiento no puede ser una condición previa y no debe ir unido a los Términos y Condiciones;

- El consentimiento sólo debe ser invocado si no existe otra base legal para el tratamiento.

En términos sencillos, el consentimiento significa que se ofrece a los individuos opciones y, en última instancia, un mayor control sobre su información personal. El consentimiento genuino pone a la persona (sujeto de los datos) a cargo de sus datos y debe generar confianza en una organización (controlador de datos). Las casillas marcadas previamente u otros métodos de consentimiento por defecto no son aceptables según la ley del GDPR. Las solicitudes de consentimiento deben ser claras y concisas, y estar totalmente separadas de otros términos y condiciones. El RGPD exige a las empresas que faciliten a las personas la posibilidad de dar y retirar su consentimiento. Además, el consentimiento debe ser "granular", es decir, debe darse por separado para cada actividad de tratamiento individual. El consentimiento general no es aceptable.


El artículo 4(11) del GDPR define el consentimiento como 'consentimiento" del interesado: toda indicación libre, específica, informada e inequívoca de la voluntad del interesado por la que éste, mediante una declaración o una acción afirmativa clara, manifieste su acuerdo con el tratamiento de los datos personales que le conciernen;

Para mayor claridad, el considerando 32 del RGPD establece:

El consentimiento debe darse mediante un acto afirmativo claro que establezca una indicación libre, específica, informada e inequívoca del acuerdo del interesado con el tratamiento de los datos personales que le conciernen, como una declaración escrita, incluso por medios electrónicos, o una declaración oral. Puede tratarse de marcar una casilla al visitar un sitio de Internet, de elegir la configuración técnica de los servicios de la sociedad de la información o de cualquier otra declaración o conducta que indique claramente en este contexto la aceptación por parte del interesado del tratamiento propuesto de sus datos personales. Por tanto, el silencio, las casillas marcadas previamente o la inactividad no deben constituir un consentimiento. El consentimiento debe abarcar todas las actividades de tratamiento realizadas con la misma finalidad o finalidades. Cuando el tratamiento tiene múltiples fines, el consentimiento debe darse para todos ellos. Si el consentimiento del interesado debe darse a raíz de una solicitud por medios electrónicos, ésta debe ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.

Utilización de la necesidad contractual como fundamento jurídico para el tratamiento legal

Como se indica en el artículo 6 del RGPD, el segundo fundamento jurídico se refiere a la necesidad del tratamiento de datos personales para la ejecución de un contrato. Para celebrar o ejecutar un contrato, se requiere y se acuerda que el tratamiento de datos personales se produzca en el ámbito del contrato.

El considerando 40 dice que "la ejecución de un contrato en el que el interesado es parte o para tomar medidas a petición del interesado antes de celebrar un contrato" como base legítima del tratamiento.

El considerando 44 establece que "el tratamiento debe ser lícito cuando sea necesario en el contexto de un contrato o de la intención de celebrar un contrato":

  • el objeto del tratamiento;

  • la duración del tratamiento;

  • la naturaleza y la finalidad del tratamiento;

  • el tipo de datos personales de que se trate;

  • las categorías de interesados;

  • y las obligaciones y derechos del controlador.

Un contrato escrito (u otro acto jurídico) siempre que un responsable del tratamiento de datos recurra a un encargado del mismo. El contrato es importante para que ambas partes entiendan sus responsabilidades y obligaciones. Si un encargado del tratamiento utiliza una organización externa (subencargado del tratamiento) para que le ayude a tratar los datos personales de un responsable del tratamiento, debe tener un contrato escrito con ese subencargado. Cada contrato significa básicamente que se están tratando datos personales relativos a una persona viva. Por lo tanto, el establecimiento de una relación contractual se basa en el suministro de datos personales y, dependiendo de la naturaleza del contrato, esto implicará, como mínimo, la información de contacto de los interesados. Por ejemplo, en el caso de un contrato de seguro. Por lo tanto, es de vital importancia evitar estirar la definición de contrato simplemente para evitar tener que utilizar el consentimiento. Son muchas las situaciones que pueden considerarse como un contrato, y puede haber ocasiones en las que un responsable del tratamiento adopte un enfoque más amplio para utilizar un contrato como base del tratamiento legal.

Utilización de las obligaciones legales como fundamento jurídico para el tratamiento legal

Obligación legal es el tercer fundamento jurídico para el tratamiento legal documentado en el RGPD. El artículo 6, apartado 1, letra c), establece una base jurídica para el tratamiento cuando "el tratamiento sea necesario para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento", lo que significa, en términos sencillos, que en los casos en que un responsable del tratamiento esté obligado legalmente a tratar datos personales para cumplir la ley, el tratamiento se considerará lícito. Por ejemplo, una entidad financiera se ampara en la obligación legal impuesta por la Parte 7 de la Ley de Productos del Delito de 2002 para tratar datos personales con el fin de presentar un informe de actividades sospechosas a la Agencia Nacional de la Delincuencia cuando sabe o sospecha que una persona se dedica al blanqueo de capitales o lo intenta. Otro ejemplo podría ser cuando una orden judicial obliga a una empresa a procesar datos personales para un fin determinado. Esto también puede considerarse una obligación legal. Cuando el tratamiento de datos personales se basa en una obligación legal, la persona o personas afectadas no tienen derecho a la supresión, a la portabilidad de los datos ni al derecho de oposición. La obligación legal puede invocarse como base jurídica si es necesario tratar los datos personales para cumplir una obligación legal o de derecho común. Sin embargo, no se aplica a las obligaciones contractuales. El tratamiento debe ser necesario, y si no se puede invocar esta base en los casos en los que el cumplimiento puede lograrse razonablemente sin el tratamiento de los datos personales.En todos los casos de tratamiento en cumplimiento de obligaciones legales, deben llevarse a cabo los siguientes procedimientos:

  • Documentar su decisión de que el tratamiento es necesario para el cumplimiento de una obligación legal;

  • Identificar una fuente apropiada para la obligación en cuestión; y

  • Incluya información sobre sus fines y su base legal en su aviso de privacidad.

Utilización de los intereses vitales como fundamento jurídico para el tratamiento legal

El uso de Intereses vitales como fundamento jurídico para el tratamiento puede invocarse normalmente cuando es necesario tratar los datos personales para proteger la vida de una persona.

Sin embargo, este tratamiento debe considerarse absolutamente necesario. Si es posible proteger razonablemente los intereses vitales del individuo de otra manera menos intrusiva, esta base no se aplicará.

Los intereses vitales no pueden ser invocados para los datos sanitarios u otros datos de categoría especial si la persona es capaz de dar su consentimiento, incluso si lo rechaza. La divulgación al hospital del historial médico de la persona es necesaria para proteger sus intereses vitales.

Es menos probable que los intereses vitales sean un motivo apropiado en los casos en que la atención médica se planifica con antelación. El interés legítimo es probablemente más apropiado en este caso.

El considerando 46 del RGPD sugiere que los intereses vitales podrían aplicarse al tratamiento de datos personales por motivos humanitarios, como la vigilancia de epidemias o cuando se haya producido un incidente grave que haya provocado una emergencia humanitaria:

El tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o de otra persona física.El tratamiento de datos personales basado en el interés vital de otra persona física sólo debe tener lugar, en principio, cuando el tratamiento no pueda basarse manifiestamente en otra base jurídica.Algunos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el seguimiento de epidemias y su propagación o en situaciones de emergencia humanitaria, en particular en situaciones de catástrofes naturales o provocadas por el hombre.

Utilización del interés público como fundamento jurídico para el tratamiento legal

El artículo 6 del GDPR describe Interés público (tarea pública) como base para el tratamiento legal de la siguiente manera:"el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio del poder público conferido al responsable del tratamiento".Esta base jurídica puede aplicarse cuando los datos personales se tratan "en el ejercicio del poder público". Se trata de funciones y poderes públicos establecidos por la ley o de la realización de una tarea específica de interés público establecida por la ley, lo que es más pertinente para las autoridades públicas, pero también puede aplicarse a cualquier organización que ejerza autoridad oficial o realice tareas de interés público. No es necesario tener un poder legal específico para procesar datos personales. Sin embargo, la tarea, la función o el poder subyacentes deben tener una base legal clara y el tratamiento debe considerarse absolutamente necesario. Si la misma tarea puede realizarse razonablemente de forma menos intrusiva, esta base legal no se aplica. Las organizaciones afectadas deben poder especificar la tarea y la función o el poder pertinentes, así como identificar su base legal o de derecho común.El considerando 45 del RGPD establece:"También debe corresponder al Derecho de la Unión o de los Estados miembros determinar si el responsable del tratamiento que realiza una tarea en interés público o en el ejercicio del poder público debe ser una autoridad pública u otra persona física o jurídica de derecho público o, cuando sea de interés público, incluso para fines sanitarios como la salud pública y la protección social y la gestión de los servicios de asistencia sanitaria, de derecho privado, como un colegio profesional".

Utilización del interés legítimo como fundamento jurídico para el tratamiento legal

Interés legítimo es el último de los seis fundamentos jurídicos para el tratamiento legal de los datos personales y está documentado en la primera parte del artículo 6 del RGPD.

Aunque no hay que dar por sentado que el interés legítimo sea siempre la base legal más adecuada para el tratamiento, sí que es el fundamento jurídico más flexible para el tratamiento de datos personales, y es especialmente fiable en los casos en los que los datos personales se tratan de una forma que la gente espera razonablemente y que tiene un impacto mínimo en la privacidad personal. Las organizaciones deben:

  • identificar un interés legítimo;

  • demostrar que el tratamiento es necesario para conseguirlo; y

  • equilibrarlo con los intereses, derechos y libertades del individuo.

Para mayor claridad, los considerandos 47 y 48 del RGPD ofrecen ejemplos de interés legítimo. El artículo 48 establece:

Los responsables del tratamiento que forman parte de un grupo de empresas o instituciones afiliadas a un organismo central pueden tener un interés legítimo en transmitir datos personales dentro del grupo de empresas para fines administrativos internos, incluido el tratamiento de datos personales de clientes o empleados.

Los principios generales para la transferencia de datos personales, dentro de un grupo de empresas, a una empresa situada en un tercer país no se ven afectados.Al considerar el uso del interés legítimo como base jurídica para el tratamiento, las empresas deben sopesar sus propios intereses frente a los intereses de las personas afectadas. Si los interesados no esperan razonablemente el tratamiento, o si dicho tratamiento les causa un daño injustificado, es probable que sus intereses prevalezcan sobre los intereses legítimos de la empresa.El artículo 6, apartado 1, letra f), establece que el tratamiento es necesario para los fines de los intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, de la siguiente manera:"el tratamiento es necesario para la satisfacción de los intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, salvo que sobre dichos intereses prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de los datos personales, en particular cuando el interesado sea un niño."La ICO sugiere la siguiente "prueba de fuego" para justificar el uso del interés legítimo:

Objetivo: ¿Persigue un interés legítimo?

Prueba de necesidad: ¿es necesario el tratamiento para ese fin?

Prueba de equilibrio: ¿los intereses de la persona prevalecen sobre el interés legítimo? Como ya se ha dicho, el interés legítimo es la base jurídica más flexible para el tratamiento. Sin embargo, es importante que las empresas sopesen siempre sus propios intereses frente a los intereses del individuo, para evitar causar un daño injustificado.Pero la práctica de esta ética no significa necesariamente que los intereses de la empresa deban coincidir siempre con los intereses del individuo. En caso de conflicto, los intereses de la empresa pueden prevalecer, siempre que puedan justificarse claramente.

Y finalmente...

Asegúrese de documentar cuidadosamente sus operaciones de tratamiento de datos y de seleccionar los motivos legales más adecuados para el tratamiento. Este proceso no siempre es sencillo, ya que puede haber categorías especiales de datos personales en algunos sectores, como el jurídico, el sanitario y el religioso, en los que pueden aplicarse normas específicas.

Más información: Base legal para el tratamiento (ICO)

Este artículo se proporciona únicamente con fines informativos. El Grupo de Privacidad de Datos recomienda encarecidamente que se contraten los servicios de un profesional de la privacidad de datos con experiencia a la hora de preparar el cumplimiento del GDPR.

Contactar con el autor
Peter Borner
Presidente Ejecutivo y Director Fiduciario

Como cofundador, presidente ejecutivo y director de confianza de The Data Privacy Group, Peter Borner aprovecha sus más de 30 años de experiencia para impulsar los ingresos de las organizaciones dando prioridad a la confianza. Peter diseña estrategias a medida para ayudar a las empresas a cosechar los frutos de una mayor fidelidad de los clientes, una mejor reputación y, en última instancia, mayores ingresos. Su enfoque proporciona a los clientes una tranquilidad permanente, consolidando sus cimientos en el ámbito de la confianza digital.

Se especializa en: Privacidad y gobernanza de datos

Peter Borner
Presidente Ejecutivo y Director Fiduciario

Como cofundador, presidente ejecutivo y director de confianza de The Data Privacy Group, Peter Borner aprovecha sus más de 30 años de experiencia para impulsar los ingresos de las organizaciones dando prioridad a la confianza. Peter diseña estrategias a medida para ayudar a las empresas a cosechar los frutos de una mayor fidelidad de los clientes, una mejor reputación y, en última instancia, mayores ingresos. Su enfoque proporciona a los clientes una tranquilidad permanente, consolidando sus cimientos en el ámbito de la confianza digital.

Se especializa en: Privacidad y gobernanza de datos

Contacte con nuestro equipo hoy mismo
Le espera una conversación confidencial y sin compromiso.
Contacte con nosotros hoy mismo

Entradas relacionadas

11 de noviembre de 2024

La nueva guía australiana sobre privacidad de la IA establece una norma para el uso responsable de la IA

11 de noviembre de 2024

La multa de Corea del Sur a Meta marca una nueva era en la privacidad de datos y la gobernanza de la IA

8 de noviembre de 2024

El futuro de Meta impulsado por la inteligencia artificial pone en juego la privacidad de los usuarios

,