Los responsables del tratamiento deben basarse en una «base jurídica» para tratar los datos personales de forma lícita. Es esencial identificar la base jurídica adecuada, ya que puede venir acompañada de requisitos específicos (por ejemplo, el consentimiento debe ser libre, específico, informado e inequívoco) y tener consecuencias sobre los derechos de las personas (por ejemplo, el derecho a la portabilidad solo se aplica cuando la base jurídica es el consentimiento o un contrato).
En esta página, encontrarás más información sobre las diferentes bases legales bajo el RGPD. Obtén más información sobre los derechos que se aplican por base legal.
¿Cuáles son las posibles bases legales con arreglo al RGPD?
Los responsables del tratamiento solo pueden tratar datos personales en una de las siguientes circunstancias:
- con el consentimiento de las personas afectadas;
- cuando exista una obligación contractual (un contrato entre tu organización y un individuo);
- cumplir una obligación legal en virtud de la legislación de la UE o nacional;
- cuando el tratamiento sea necesario para la realización de una tarea realizada en interés público con arreglo a la legislación de la UE o nacional;
- proteger los intereses vitales de una persona;
- para los intereses legítimos de tu organización (excepto si están anulados por los intereses o derechos fundamentales de las personas).
Además, el RGPD establece condiciones adicionales para el tratamiento de datos sensibles.
Consentimiento
Tu organización puede decidir basarse en el consentimiento para el tratamiento de datos personales.
Si un responsable del tratamiento utiliza el consentimiento como base legal para el tratamiento de datos personales, debe asegurarse de que este consentimiento se presta libremente, esté informado, sea específico e inequívoco. Esto significa que las personas deben tener una verdadera libertad de elección en cuanto a si están de acuerdo o no con el tratamiento de sus datos personales; han de tener información suficiente para comprender qué datos se tratan, con qué finalidad y cómo se hace; y tienen que poder retirar libremente su consentimiento (sin consecuencias negativas) si cambian de opinión más adelante.
Si la organización tiene que tratar los datos y no puede realmente permitir que las personas retiren su consentimiento, esto es indicio de que el consentimiento no es la base legal adecuada para el tratamiento, y es necesario evaluar si pudiera aplicarse otra base legal.
Condiciones para el consentimiento
Libre
El consentimiento se da libremente cuando las personas pueden rechazar y retirar su consentimiento sin riesgo de presión externa o consecuencias negativas. Las personas también deben tener derecho a retirar su consentimiento en cualquier momento; este proceso debe facilitarse a los particulares (con la misma facilidad con la que se dio). La revocación del consentimiento no debe afectar al tratamiento de los datos personales de la persona que se realizó antes de esta retirada, cuando el consentimiento era válido.
Por ejemplo, en principio, los empleados no estarán en condiciones de dar libremente su consentimiento para el tratamiento llevado a cabo por su empleador, ya que los empleados pueden sentir que no pueden rechazar la solicitud de su empleador.
Específico
Para que el consentimiento sea válido, también debe ser específico para el propósito del tratamiento. Esta condición está estrechamente relacionada con la condición del consentimiento informado: las personas deben ser informadas de los fines específicos en un lenguaje sencillo y fácil de entender, de modo que tengan una idea clara de los fines para los que se tratan sus datos. Esto también significa que, si los fines de la operación de tratamiento cambian o si se añaden operaciones de tratamiento adicionales, se debe solicitar nuevamente a las personas su consentimiento. Del mismo modo, si una operación de tratamiento tiene múltiples fines, se debe dar el consentimiento para cada uno de ellos.
Por ejemplo, un servicio de streaming recopila los datos personales de sus clientes para ofrecerles sugerencias de visualización personalizadas. Después de algún tiempo, el servicio de streaming decide compartir los datos personales de sus clientes con terceros para que puedan enviar publicidad dirigida a los clientes en función de sus hábitos de visualización. Como este es un nuevo propósito, el servicio de streaming tendrá que pedir el consentimiento de su cliente.
Informado
Al solicitar el consentimiento de una persona, tu organización debe asegurarse de que esta solicitud se comunique a la persona en una forma inteligible y fácilmente accesible, utilizando un lenguaje claro y sencillo. Debe facilitarse información sobre los fines, la identidad del responsable del tratamiento, las categorías de datos, los destinatarios y el derecho a retirar el consentimiento.
Inequívoca
Para que el consentimiento sea inequívoco, debe haber una acción afirmativa clara (sin casillas premarcadas y hecha por separado de las condiciones generales aplicables).
Se recomienda actualizar el consentimiento a intervalos apropiados. Además, debes poder demostrar que la persona cuyos datos se tratan ha dado su consentimiento, por ejemplo, a través de una declaración escrita o firmada, o mediante una acción deliberada como marcar una casilla.
Condiciones aplicables al consentimiento de los niños
Como controlador de datos, debes realizar esfuerzos razonables para verificar la edad de la persona.
Se considera que los niños de 16 años o más pueden dar su propio consentimiento.
Para los niños menores de 16 años, tu organización debe solicitar el consentimiento del tutor legal o padre de ese niño. En este caso, tendrías que hacer esfuerzos razonables para verificar que la persona que consiente en nombre del niño tiene la responsabilidad parental. Ten en cuenta, sin embargo, que el RGPD ofrece a los países de la UE la posibilidad de, a través de la legislación nacional, establecer la edad de consentimiento entre los 13 y los 16 años, cuando los servicios se prestan a través de Internet. Por lo tanto, se recomienda comprobar las disposiciones nacionales sobre este asunto.
Cuando los niños puedan dar su consentimiento, el lenguaje utilizado para comunicar la información relativa al servicio debe adaptarse a su edad.
Ejecución de un contrato
El tratamiento de los datos personales de una persona para la ejecución de un contrato es una base jurídica válida, por ejemplo, en los siguientes casos:
- Tu organización necesita procesar los datos personales de una persona para proporcionar un servicio.
- Un cliente o cliente potencial te ha pedido que hagas algo antes de firmar un contrato con tu organización, por ejemplo, es posible que desee recibir una cotización por los servicios que prestas, para los que puedes necesitar tratar algunos de sus datos personales.
El tratamiento deberá ser necesario para la ejecución de un contrato. En la práctica, esto significa que tu organización no puede continuar con la ejecución del contrato o servicio sin los datos personales en cuestión. Se recomienda que tu organización documente las razones que explican por qué el procesamiento de los datos de una persona es necesario para la ejecución de un contrato.
Además, debes intentar recopilar la menor cantidad de datos personales posibles para realizar el servicio contractual o tomar las medidas precontractuales pertinentes. En particular, no puedes utilizar el contrato para ampliar artificialmente las categorías de datos personales o los tipos de operaciones de tratamiento. Más bien, debes asegurarte de que existe una comprensión mutua genuina del propósito contractual, basado en las expectativas de una persona promedio al celebrar el contrato.
Esta base legal también puede aplicarse a ciertas acciones relacionadas con la garantía contractual, y a determinadas acciones que pueden preverse razonablemente y son necesarias dentro de una relación contractual normal, como el envío de recordatorios formales sobre pagos pendientes o la corrección de errores o retrasos en la ejecución del contrato.
Sin embargo, esta base legal no se aplica si deseas tratar los datos personales de un individuo con fines de marketing, prevención del fraude, publicidad dirigida o cualquier otro propósito relacionado con el modelo de negocio de tu organización. En tales casos, pueden existir otras bases jurídicas, como el consentimiento o el interés legítimo, siempre que se cumplan los criterios pertinentes.
La legislación también puede imponer el tratamiento de datos personales, incluso después de la resolución del contrato (por ejemplo, para mantener registros con fines contables).
Naturalmente, el contrato también debe ser válido con arreglo a la legislación aplicable.
En la práctica
- Si tienes una empresa que vende ropa, tanto en línea como en una tienda, es posible que debas tratar algunos de los datos personales de tus clientes, como los datos de la tarjeta de crédito, para poder procesar las compras realizadas por tus clientes de tu ropa. En este caso, el tratamiento de los datos personales de los clientes puede ser necesario para la ejecución de un contrato.
- Si tienes una compañía que ofrece seguro de hogar. Un cliente potencial ha solicitado una cotización para su seguro de hogar. Como tal, algunos de sus datos personales pueden ser necesarios para que le proporciones un precio exacto para su seguro de hogar.
- Si tienes una empresa que vende libros, que algunos de tus clientes han comprado. Cuando estos clientes compraron estos libros, es posible que hayas recopilado algunos de sus datos personales, que fueron necesarios para procesar la transacción. Ahora deseas tratar los datos personales de estos clientes, incluidos los datos sobre sus compras anteriores, para recomendar otros libros que les puedan gustar. No puedes basarte en el tratamiento de datos personales para la ejecución de un contrato como base legal porque el tratamiento de datos de los clientes con el fin de publicitar otros libros no es necesario para la ejecución de un contrato.
Como tal, tu empresa tendrá que solicitar el consentimiento de los clientes para poder anunciarles otros libros o, dependiendo de las circunstancias, puede ampararse en su interés legítimo.
Cumplimiento de una obligación legal del responsable del tratamiento
El RGPD establece otra base jurídica, a saber: ser necesario para el cumplimiento de una obligación legal a la que está sujeto el responsable del tratamiento.
Esta base jurídica puede invocarse en el caso de que una operación de tratamiento de datos se imponga a una organización por la legislación nacional o de la UE. Más concretamente, deben cumplirse cuatro condiciones:
- la obligación jurídica debe estar definida por la legislación de la UE o nacional a la que esté sujeto el responsable del tratamiento;
- estas disposiciones legales deben establecer una obligación clara y específica de tratar esos datos personales;
- estas disposiciones deberán, como mínimo, definir los fines del tratamiento;
- esta obligación debe imponerse al responsable del tratamiento y no a los interesados.
Si no se cumplen estas condiciones, la operación de tratamiento no puede basarse en la obligación legal y debe buscarse otra base jurídica.
El RGPD prevé muchas circunstancias diferentes en las que los responsables del tratamiento están legalmente obligados a tratar los datos personales de sus clientes. Por ejemplo, los empleadores suelen tener que tratar los datos personales de sus empleados con fines de seguridad social, o una empresa a menudo necesita tratar los datos personales de sus clientes con fines fiscales.
Leer más
Intereses vitales de una persona
El tratamiento de datos para proteger los intereses vitales de una persona solo puede invocarse en casos raros y específicos. Este puede ser el caso, por ejemplo, si necesitas tratar datos personales para proteger la vida de alguien. Sin embargo, sobre la base del RGPD, esta base jurídica tiene un alcance muy limitado y solo puede invocarse en caso de emergencia.
En la práctica
Tu organización ofrece viajes de rafting. Durante uno de los viajes que organizaste, uno de los participantes se lesiona gravemente. Como resultado, el participante está inconsciente y debe recibir atención médica urgente en un hospital. Como organización, es posible que debas comunicar (= tratar) los datos personales de esa persona al hospital que necesita tratarlos para salvar la vida de esa persona. En este contexto, puedes tratar los datos de esta persona para proteger su interés vital.
Interés público
En algunos casos específicos, tu organización puede procesar los datos personales de las personas para una tarea de interés público. En este caso, el tratamiento debe tener una base en la legislación de la UE o nacional. Su finalidad debe determinarse en dicha base jurídica o ser necesaria para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Por lo tanto, esta base jurídica puede ser pertinente, en particular, para las operaciones de tratamiento realizadas por las autoridades para el cumplimiento de sus funciones.
En la práctica
Tu organización es un consultorio médico, que incluye un dentista y un médico general. Es posible que debas tratar los datos personales del dentista y del médico general para asegurarte de que sus calificaciones, conducta moral y ética cumplen con los estándares establecidos en el país donde se encuentra tu consulta médica.
Interés legítimo
Su organización puede tratar los datos de las personas por cuestiones de interés legítimo, siempre que estos intereses (comerciales, protección de su propiedad, etc.) no creen un desequilibrio en detrimento de los derechos e intereses de las personas.
Si bien el RGPD y la jurisprudencia pertinente del Tribunal de Justicia de la Unión Europea (TJUE) establecen ejemplos de intereses legítimos, no existe una lista exhaustiva.
Sin embargo, debes asegurarse de que este interés respeta un cierto número de requisitos:
- debe ser lícito, claro, real y presente;
- el tratamiento deberá ser necesario para perseguir este interés;
- el interés legítimo debe tener en cuenta los derechos de las personas a la protección de datos, que no pueden ser anulados. En el contexto de este requisito, el responsable del tratamiento debe sopesar su interés legítimo y los intereses o los derechos y libertades fundamentales de las personas y también debe considerar lo que éstas pueden esperar razonablemente. Este ejercicio de ponderación debe realizarse a la luz de las condiciones concretas en las que se llevan a cabo estas operaciones.
En la práctica
Diriges una empresa de reformas. Uno de tus clientes cuestiona la calidad de la reforma de una cocina y se niega a pagar la factura en su totalidad. Como primer paso, transfieres los datos del cliente a tu abogado para negociar un acuerdo con él. Como el cliente todavía se niega a pagar, contratas una agencia de cobro de deudas. Solo transfieres los datos personales necesarios para el procedimiento a la agencia de cobro de deudas y la agencia solo lleva a cabo comprobaciones limitadas para confirmar los datos de contacto del cliente y para iniciar un procedimiento judicial.
Si bien el primer paso aún puede estar comprendido en el tratamiento necesario para la ejecución de un contrato, otras medidas adoptadas, como la contratación de una agencia de cobro de deudas, podrían considerarse dentro del interés legítimo del responsable del tratamiento. Como las acciones tomadas por la agencia no son demasiado intrusivas y el impacto en el cliente es limitado, el interés legítimo podría ser una base legal adecuada.
Tratamiento de datos personales sensibles
Se aplican requisitos adicionales si tienes intención de tratar datos que revelen el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas o la afiliación sindical, así como el tratamiento de datos genéticos, datos biométricos con el fin de identificar de manera única a una persona física, datos relativos a la salud o datos relativos a la vida sexual u orientación sexual de una persona física. Estas categorías especiales de datos se denominan comúnmente «datos sensibles».
El tratamiento de datos sensibles está prohibido con carácter general, excepto en los siguientes casos específicos.
- La persona ha dado su consentimiento explícito para el tratamiento de sus datos sensibles.
- El tratamiento de datos sensibles es necesario para que el responsable del tratamiento cumpla sus obligaciones, en particular en el contexto del empleo, la seguridad social y la protección social. Por ejemplo, el responsable del tratamiento puede necesitar tratar los datos sensibles de una persona para poder determinar si tienen derecho a ciertas prestaciones de seguridad social o a subsidios de empleo.
- El tratamiento de datos sensibles es necesario para proteger los intereses vitales de una persona cuando está física o legalmente incapacitada para dar su consentimiento. Por ejemplo, si una persona queda inconsciente como resultado de un accidente y requiere atención médica inmediata, puede ser necesario que sus datos personales de categorías especiales deban ser tratados para una adecuada atención médica.
- El tratamiento de datos sensibles se lleva a cabo en el contexto de las actividades legítimas de una fundación, asociación u otra organización sin ánimo de lucro con fines políticos, filosóficos, religiosos o sindicales, y solo para el tratamiento de los datos personales de sus miembros, antiguos miembros o personas que tengan contacto regular con ellos.
- Los datos sensibles fueron hechos públicos por particulares.
- El tratamiento de datos sensibles es necesario en el contexto de procedimientos judiciales.
- El tratamiento de datos sensibles es necesario para cuestiones de gran interés público.
- El tratamiento de datos sensibles es necesario en el contexto de la medicina preventiva o laboral. Por ejemplo, la evaluación de los datos sensibles de una persona, como sus datos médicos, puede ser necesaria para determinar su capacidad de trabajo como empleado.
- El tratamiento de datos sensibles es necesario para cuestiones de salud pública sobre la base de la legislación de la UE o nacional. Por ejemplo, el tratamiento de datos sensibles de las personas físicas puede ser necesario para garantizar una alta calidad de la atención médica y una alta calidad de los productos médicos, o para combatir las amenazas graves para la salud, como los virus.
- El tratamiento de datos sensibles es necesario para fines de archivo de interés público, o para fines científicos, estadísticos, históricos o de investigación. Por ejemplo, el tratamiento de datos sensibles puede ser necesario para proporcionar estadísticas precisas sobre la situación de un país en un ámbito concreto.
Lista de control para el tratamiento de datos personales sensibles
- Pregúntate si necesitas tratar categorías especiales de datos personales de una persona para el tratamiento previsto.
- Identifica la base jurídica (= justificación legal) para el tratamiento de los datos personales de una persona. Consulta el artículo 6 del RGPD.
- Identifica si se respetan las condiciones adicionales para el tratamiento de datos sensibles. Consulta el artículo 9 del RGPD.
- Identifica los riesgos y las salvaguardias de protección de datos, como las medidas técnicas y organizativas, que tu organización puede necesitar implementar al tratar categorías especiales de datos personales.
- No olvide mantener un registro de sus razones para tratar las categorías especiales de datos personales de una persona, de los riesgos que esto puede entrañar y de las medidas que ha adoptado para mitigar esos riesgos.