Hable con nosotros

¿Está tratando los datos personales de forma legal?

10 de febrero de 2018
,

El tratamiento de datos personales es un término que muchas empresas piensan que no se aplica a ellas. Sin embargo, simplemente que posee los datos personales consisten en procesamiento según la ICO. Hay seis fundamentos jurídicos para el tratamiento de datos personales legalmente bajo el GDPR. A partir del 25 de mayo de 2018, debe cumplir una de estas condiciones si procesa información de identificación personal (PII) o podría enfrentarse a multas administrativas de hasta 10 millones de euros, o 2% de su volumen de negocios de los 12 meses anteriores.

 

El apartado 1 del artículo 6 del RGPD define las condiciones que deben cumplirse para el tratamiento legal de los datos personales. Las condiciones son:

  1. El interesado ha dado su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos

  2. El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para tomar medidas a petición del interesado antes de celebrar un contrato

  3. El tratamiento es necesario para el cumplimiento de una obligación legal a la que está sujeto el responsable del tratamiento

  4. El tratamiento es necesario para proteger los intereses vitales del interesado

  5. El tratamiento es necesario para el cumplimiento de una misión de interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento

  6. El tratamiento es necesario para los fines de los intereses legítimos perseguidos por un responsable del tratamiento, excepto cuando sobre dichos intereses prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de los datos personales, en particular cuando el interesado sea un niño. Esto no se aplicará al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones

El artículo 5 del RGPD establece: Estas condiciones son todas igualmente válidas y las organizaciones deben evaluar cuáles de estos motivos son los más apropiados para las diferentes actividades de tratamiento y, a continuación, cumplir cualquier otro requisito que el RGPD establezca para estas condiciones. De la lista anterior, las actividades de tratamiento 2, 3, 4 y 5 (ejecución de un contrato, obligación legal, intereses vitales y función pública) deberían identificarse fácilmente. Para la mayoría de las personas, la dificultad consistirá en decidir entre el consentimiento y los intereses legítimos a la hora de evaluar cuál es el más apropiado para el tratamiento de información personal específica.

Consentimiento para el tratamiento de datos personales legalmente

La recomendación sobre el consentimiento es clara e inequívoca tanto en el propio reglamento como en las orientaciones de la Oficina del Comisario de Información (ICO). El artículo 4 (11) define el consentimiento como: Por "consentimiento" del interesado se entenderá toda indicación libre, específica, informada e inequívoca de la voluntad del interesado por la que éste, mediante una declaración o una acción afirmativa clara, manifieste su acuerdo con el tratamiento de los datos personales que le conciernen. Para mayor claridad, el considerando 32 continúa diciendo: El consentimiento debe darse mediante un acto afirmativo claro que establezca una indicación libre, específica, informada e inequívoca del acuerdo del interesado con el tratamiento de los datos personales que le conciernen, como una declaración escrita, incluso por medios electrónicos, o una declaración oral. Puede tratarse de marcar una casilla al visitar un sitio de Internet, de elegir la configuración técnica de los servicios de la sociedad de la información o de cualquier otra declaración o conducta que indique claramente en este contexto la aceptación por parte del interesado del tratamiento propuesto de sus datos personales. Por tanto, el silencio, las casillas marcadas previamente o la inactividad no deben constituir un consentimiento. El consentimiento debe abarcar todas las actividades de tratamiento realizadas con la misma finalidad o finalidades. Cuando el tratamiento tiene múltiples fines, el consentimiento debe darse para todos ellos. Si el consentimiento del interesado debe darse a raíz de una solicitud por medios electrónicos, ésta debe ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.

El ICO publicó un proyecto de documento de orientación sobre el concepto de consentimiento. El documento establece claramente:

El consentimiento requiere un opt-in positivo. No utilice casillas premarcadas ni ningún otro método de consentimiento por defecto:

  • El consentimiento debe ser nominativo, es decir, se debe nombrar específicamente a los terceros con los que se pueden compartir los datos. No es aceptable limitarse a indicar las categorías de terceros.

  • El consentimiento debe ser granular, es decir, debe obtenerse por separado para operaciones de tratamiento independientes

  • El consentimiento no debe ser una condición previa y no debe ir unido a las condiciones generales.

  • El consentimiento sólo debe ser invocado si:

  1. No existe ninguna otra base legal para el tratamiento

  2. Puede dar a los individuos una opción genuina

  3. Cuando se requiera el consentimiento, por ejemplo, para la comercialización electrónica

INTERESES LEGÍTIMOS para el tratamiento de Datos Personales legalmente

El considerando 47 del RGPD describe los ámbitos en los que puede invocarse el interés legítimo. Estos incluyen:

  • Cuando el tratamiento sea estrictamente necesario para prevenir el fraude o garantizar la seguridad de la red

  • Cuando existe una "expectativa razonable" o una "relación pertinente y adecuada

También hay una mención específica sobre el marketing directo: "El tratamiento de datos personales con fines de marketing directo puede considerarse realizado por un interés legítimo". Hay cuatro factores clave que hay que tener en cuenta:

  1. Debe poder demostrar un equilibrio entre sus intereses y los derechos e intereses de las personas afectadas

  2. Su evaluación debe estar documentada para que pueda ser impugnada por los particulares o por el Regulador

  3. Debe informar a las personas de que está tratando sus datos personales en virtud de esta condición, ya sea directamente o a través de su política de privacidad

  4. Debe ser capaz de defender el derecho de una persona a oponerse al tratamiento de su IIP

Si no está seguro de si su empresa está tratando datos personales legalmente, o si necesita ayuda para evaluar qué fundamento jurídico debe utilizar para sus requisitos específicos de tratamiento, contacto us hoy.

Contactar con el autor
Peter Borner
Presidente Ejecutivo y Director Fiduciario

Como cofundador, presidente ejecutivo y director de confianza de The Data Privacy Group, Peter Borner aprovecha sus más de 30 años de experiencia para impulsar los ingresos de las organizaciones dando prioridad a la confianza. Peter diseña estrategias a medida para ayudar a las empresas a cosechar los frutos de una mayor fidelidad de los clientes, una mejor reputación y, en última instancia, mayores ingresos. Su enfoque proporciona a los clientes una tranquilidad permanente, consolidando sus cimientos en el ámbito de la confianza digital.

Se especializa en: Privacidad y gobernanza de datos

Peter Borner
Presidente Ejecutivo y Director Fiduciario

Como cofundador, presidente ejecutivo y director de confianza de The Data Privacy Group, Peter Borner aprovecha sus más de 30 años de experiencia para impulsar los ingresos de las organizaciones dando prioridad a la confianza. Peter diseña estrategias a medida para ayudar a las empresas a cosechar los frutos de una mayor fidelidad de los clientes, una mejor reputación y, en última instancia, mayores ingresos. Su enfoque proporciona a los clientes una tranquilidad permanente, consolidando sus cimientos en el ámbito de la confianza digital.

Se especializa en: Privacidad y gobernanza de datos

Contacte con nuestro equipo hoy mismo
Le espera una conversación confidencial y sin compromiso.
Contacte con nosotros hoy mismo

Entradas relacionadas

1 de noviembre de 2024

Privacidad de datos en 2024: más allá del cumplimiento para obtener una ventaja competitiva

, ,
29 de octubre de 2024

IA Generativa en Arabia Saudí - Equilibrio entre innovación y responsabilidad

,
29 de octubre de 2024

El coste oculto de la normativa de Arabia Saudí sobre transferencia transfronteriza de datos: ¿obstáculo a la innovación o salvaguardia necesaria?

,