Blog

Apr 30, 2023

Una guía sobre la base legal

Buscar artículo

Buscar artículo

Es posible que haya notado que hemos realizado algunos cambios en nuestro sitio web. Esto incluye cambios en la Guía del RGPD del Reino Unido, que se ha dividido en guías más pequeñas como esta.

07 octubre 2022 - Hemos actualizado nuestra posición sobre la necesidad de una nueva base legal cuando cambia su propósito de procesamiento. La actualización se puede encontrar en '¿Qué sucede si tenemos un nuevo propósito?' sección. Ahora debe considerar si necesita una nueva base legal si cambian sus propósitos para procesar datos personales.

☐ Hemos revisado los propósitos de nuestras actividades de procesamiento y seleccionado la base (o bases) legal más apropiada para cada actividad.

☐ Hemos verificado que el procesamiento es necesario para el propósito pertinente y estamos convencidos de que no existe otra forma razonable y menos intrusiva de lograr ese propósito.

☐ Hemos documentado nuestra decisión sobre qué base legal se aplica para ayudarnos a demostrar el cumplimiento.

☐ Hemos incluido información sobre los fines del procesamiento y la base legal para el procesamiento en nuestro aviso de privacidad.

☐ Cuando procesamos datos de categorías especiales, también hemos identificado una condición para procesar datos de categorías especiales y lo hemos documentado.

☐ Cuando procesamos datos de delitos penales, también hemos identificado una condición para procesar estos datos y lo hemos documentado.

Las bases legales para el procesamiento se establecen en el artículo 6 del RGPD del Reino Unido. Al menos uno de estos debe aplicarse siempre que procese datos personales:

(a) Consentimiento:la persona ha dado su consentimiento claro para que usted procese sus datos personales para un propósito específico.

(b) Contrato:el procesamiento es necesario para un contrato que tiene con el individuo, o porque le han pedido que tome medidas específicas antes de celebrar un contrato.

(c) Obligación legal:el procesamiento es necesario para que usted cumpla con la ley (sin incluir las obligaciones contractuales).

(d) Intereses vitales:el procesamiento es necesario para proteger la vida de alguien.

(e) Tarea pública:el procesamiento es necesario para que usted realice una tarea de interés público o para sus funciones oficiales, y la tarea o función tiene una base legal clara.

(f) Intereses legítimos: el procesamiento es necesario para sus intereses legítimos o los intereses legítimos de un tercero, a menos que exista una buena razón para proteger los datos personales del individuo que prevalezca sobre esos intereses legítimos. (Esto no puede aplicarse si usted es una autoridad pública que procesa datos para realizar sus tareas oficiales).

Para obtener más detalles sobre cada base legal, lea la página específica de esta guía.

Enlace externo

Enlace externo

Esto depende de sus fines específicos y del contexto del procesamiento. Debe pensar por qué desea procesar los datos y considerar qué base legal se adapta mejor a las circunstancias. Puede utilizar nuestra herramienta de orientación interactiva para ayudarle.

Puede considerar que se aplica más de una base, en cuyo caso debe identificarlas y documentarlas todas desde el principio.

No debe adoptar un enfoque único para todos. Ninguna base debe considerarse siempre mejor, más segura o más importante que las demás, y no existe una jerarquía en el orden de la lista en el RGPD del Reino Unido.

Varias de las bases legales se relacionan con un propósito específico específico: una obligación legal, realizar un contrato con el individuo, proteger los intereses vitales de alguien o realizar sus tareas públicas. Si está procesando para estos fines, entonces la base legal adecuada puede ser obvia, por lo que es útil considerarlos primero.

En otros casos, es probable que tenga la opción de usar intereses legítimos o consentimiento. Debe pensar un poco en el contexto más amplio, que incluye:

Es posible que prefiera considerar los intereses legítimos como su base legal si desea mantener el control sobre el procesamiento y asumir la responsabilidad de demostrar que está en línea con las expectativas razonables de las personas y que no tendría un impacto injustificado sobre ellas. Por otro lado, si prefiere dar a las personas el control total y la responsabilidad de sus datos (incluida la capacidad de cambiar de opinión sobre si se puede seguir procesando), puede considerar confiar en el consentimiento de las personas.

Con más detalle

Hemos producido la herramienta de orientación interactiva sobre la base legal, para brindar una guía más personalizada sobre qué base legal es probable que sea más apropiada para sus actividades de procesamiento.

El enfoque básico es el mismo. Debe pensar en sus propósitos y elegir la base que mejor se adapte. Todavía puede usar nuestra herramienta de base legal para ayudarlo.

Es más probable que la base de tareas públicas sea relevante para gran parte de lo que hace. Si usted es una autoridad pública y puede demostrar que el procesamiento es para realizar sus tareas según lo establecido en la ley del Reino Unido, entonces puede utilizar la base de tareas públicas. Pero si es para otro propósito, aún puede considerar otra base.

En particular, aún puede considerar el consentimiento o los intereses legítimos en algunos casos, según la naturaleza del procesamiento y su relación con la persona. No existe una prohibición absoluta de que las autoridades públicas utilicen el consentimiento o los intereses legítimos como base legal, aunque existen algunas limitaciones. Para obtener más información, consulte la página de orientación específica sobre cada base legal.

La Ley de Protección de Datos de 2018 dice que "autoridad pública" aquí significa una autoridad pública en virtud de la Ley de Libertad de Información o la Ley de Libertad de Información (Escocia), con la excepción de los consejos parroquiales y comunitarios.

Ejemplo

Una universidad que quiera procesar datos personales puede considerar una variedad de bases legales según lo que quiera hacer con los datos.

Las universidades están clasificadas como autoridades públicas, por lo que es probable que la base de la tarea pública se aplique a gran parte de su procesamiento, dependiendo del detalle de sus constituciones y facultades legales. Si el procesamiento está separado de sus tareas como autoridad pública, entonces la universidad puede desear considerar si el consentimiento o los intereses legítimos son apropiados en las circunstancias particulares. Por ejemplo, una universidad puede depender de una tarea pública para el procesamiento de datos personales con fines de enseñanza e investigación; sino una mezcla de intereses legítimos y consentimiento para las relaciones con ex alumnos y fines de recaudación de fondos.

Sin embargo, la universidad debe considerar su base cuidadosamente: es responsabilidad del controlador poder demostrar qué base legal se aplica al propósito de procesamiento en particular.

Enlace externo

Debe determinar su base legal antes de comenzar a procesar datos personales. Es importante hacerlo bien la primera vez. Si en una fecha posterior descubre que la base que eligió fue realmente inapropiada, será difícil simplemente cambiar a una diferente. Incluso si se hubiera podido aplicar una base diferente desde el principio, es probable que cambiar retrospectivamente la base legal sea intrínsecamente injusto para el individuo y conduzca a incumplimientos de los requisitos de responsabilidad y transparencia.

Ejemplo

Una empresa decidió procesar sobre la base del consentimiento y obtuvo el consentimiento de las personas. Posteriormente, una persona decidió retirar su consentimiento para el tratamiento de sus datos, como es su derecho. Sin embargo, la empresa quería seguir procesando los datos, por lo que decidió continuar con el procesamiento sobre la base de intereses legítimos.

Incluso si hubiera podido basarse originalmente en intereses legítimos, la empresa no puede hacerlo en una fecha posterior; no puede cambiar de base cuando se da cuenta de que la base elegida originalmente era inapropiada (en este caso, porque no quería ofrecer al individuo una base genuina). control continuo). Debería haber dejado claro al individuo desde el principio que estaba procesando sobre la base de intereses legítimos. Hacer creer a la persona que tiene una opción es intrínsecamente injusto si esa opción será irrelevante. Por lo tanto, la empresa debe dejar de procesar cuando el individuo retira el consentimiento.

Por lo tanto, es importante evaluar minuciosamente por adelantado qué base es la adecuada y documentarla. Es posible que se aplique más de una base al procesamiento porque tiene más de un propósito, y si este es el caso, debe dejarlo claro desde el principio.

Si hay un cambio genuino en las circunstancias o si tiene un propósito nuevo e inesperado, lo que significa que hay una buena razón para revisar su base legal y realizar un cambio, debe informar a la persona y documentar el cambio.

Enlace externo

Si sus propósitos cambian con el tiempo o tiene un nuevo propósito que originalmente no anticipó, debe cumplir con el principio de limitación del propósito. En resumen, solo puedes seguir adelante si:

Para obtener más información sobre la compatibilidad, consulte nuestra guía de limitación de propósitos.

Todo el procesamiento debe ser legal, por lo que también debe identificar una base legal. Es posible que la base original que usó para recopilar los datos no siempre sea adecuada para su nuevo uso de los datos.

En la mayoría de los casos, la base apropiada para su nuevo uso de los datos probablemente sea bastante obvia. Por ejemplo, si obtiene un consentimiento específico para el nuevo propósito, su base legal será el consentimiento. Si se basa en una disposición legal que requiere el nuevo procesamiento en el interés público, su base legal será la obligación legal. Si se basa en una disposición legal que permite el nuevo uso de datos en el interés público, su base legal será la tarea pública.

Cuando el propósito de su nueva actividad de procesamiento sea compatible con el propósito original del procesamiento, es probable que pueda confiar en los "intereses legítimos" como la base legal para el nuevo procesamiento, siempre que el uso de los datos personales sea necesario para ese propósito

Consideramos que es probable que una evaluación de compatibilidad considere factores similares a una evaluación de intereses legítimos (LIA). Aunque no hay ningún requisito para hacerlo, por lo tanto, puede usar nuestra plantilla LIA para ayudarlo a evaluar la compatibilidad. Esto también lo ayudará a demostrar su base legal al mismo tiempo.

Si su nuevo procesamiento tiene fines de investigación, no necesita realizar una evaluación de compatibilidad y, en la mayoría de las circunstancias, puede estar seguro de que su base legal probablemente sea una tarea pública o intereses legítimos. Consulte nuestra guía sobre las disposiciones de investigación para obtener más detalles al respecto.

Sin embargo, si originalmente recopiló los datos sobre la base del consentimiento, debe obtener un nuevo consentimiento que cubra específicamente el nuevo propósito (a menos que se base en una disposición legal clara que permita específicamente la reutilización de los datos). Esto se debe a que el consentimiento significa dar a las personas opciones y control reales sobre cómo se utilizan sus datos. Esto significa que el consentimiento debe ser siempre específico e informado. Las personas solo pueden dar un consentimiento válido cuando saben y entienden lo que vas a hacer con sus datos. Si obtiene un consentimiento específico para el nuevo propósito, no necesita demostrar que es compatible.

Si está procesando datos de categorías especiales, también deberá asegurarse de poder identificar una condición adecuada que se aplique a su nuevo procesamiento.

Enlace externo

El principio de responsabilidad requiere que pueda demostrar que cumple con el RGPD del Reino Unido y que cuenta con políticas y procesos adecuados. Esto significa que debe poder demostrar que ha considerado correctamente qué base legal se aplica a cada propósito de procesamiento y puede justificar su decisión.

Por lo tanto, debe mantener un registro de la base en la que confía para cada propósito de procesamiento y una justificación de por qué cree que se aplica. No existe un formulario estándar para esto, siempre que se asegure de que lo que registre sea suficiente para demostrar que se aplica una base legal. Esto lo ayudará a cumplir con las obligaciones de rendición de cuentas y también lo ayudará al redactar sus avisos de privacidad.

Es su responsabilidad asegurarse de que puede demostrar qué base legal se aplica al propósito de procesamiento en particular.

Lea la sección de rendición de cuentas de esta guía para obtener más información sobre este tema. También hay más orientación sobre la documentación del consentimiento o las evaluaciones de intereses legítimos en las páginas correspondientes de la guía.

Enlace externo

Debe incluir información sobre su base legal (o bases, si se aplica más de una) en su aviso de privacidad. Según las disposiciones de transparencia del RGPD del Reino Unido, la información que debe proporcionar a las personas incluye:

Esto se aplica tanto si recopila los datos personales directamente de la persona como si recopila sus datos de otra fuente.

Lea la sección "derecho a ser informado" de esta guía para obtener más información sobre los requisitos de transparencia del RGPD.

Enlace externo

Si está procesando datos de categoría especial, debe identificar una base legal para el procesamiento y una condición de categoría especial para el procesamiento de conformidad con el artículo 9. Debe documentar tanto su base legal para el procesamiento como su condición de categoría especial para poder demostrar cumplimiento y responsabilidad.

Se puede encontrar más orientación en la sección sobre datos de categorías especiales.

Si está procesando datos sobre condenas penales, delitos penales o medidas de seguridad relacionadas, necesita una base legal para el procesamiento y una "autoridad oficial" o una condición separada para procesar estos datos de conformidad con el Artículo 10. Debe documentar tanto su base legal para el procesamiento y la condición de sus datos de delitos penales para que pueda demostrar el cumplimiento y la responsabilidad.

Se puede encontrar más orientación en la sección sobre datos de delitos penales.

Lectura adicional: guía de ICO

El Accountability Framework analiza las expectativas del ICO en relación con la base legal.