DataSunrise Logra el Estado de Competencia en AWS DevOps en AWS DevSecOps y Monitoreo, Registro, Rendimiento

Procesamiento legal

Procesamiento legal

procesamiento legal

El Reglamento General de Protección de Datos, o RGPD, establece reglas estrictas sobre cómo las empresas pueden realizar el procesamiento legal de los DPI de individuos en la Unión Europea.

En el centro de estas reglas está el requisito de que todo procesamiento de datos personales debe tener una base legal. Hay seis bases legales para el procesamiento legal de datos bajo el RGPD.

Las empresas deben determinar la base legal apropiada antes de procesar datos personales.

¿Cuáles son las seis bases legales para procesar datos personales?

El RGPD enumera seis razones legales para procesar datos personales:

  1. El sujeto de los datos ha dado su consentimiento para procesar sus datos para un propósito específico.

El procesamiento es necesario para:

  1. Cumplir con un contrato con el sujeto de los datos.
  2. Cumplir con una obligación legal.
  3. Proteger los intereses vitales de alguien.
  4. Realizar una tarea en el interés público.
  5. Intereses legítimos de la empresa, excepto cuando esos intereses sean anulados por los derechos del sujeto de los datos.

Vamos a observar un par de estas bases legales en más detalle. El consentimiento es una de las bases legales más comúnmente utilizadas.

Al confiar en el consentimiento, es crucial que este sea específico, informado y sin ambigüedades. Las casillas pre-marcadas o el consentimiento implícito no son válidos bajo el RGPD.

Por ejemplo, si un sitio web desea usar cookies para rastrear el comportamiento del usuario con fines publicitarios, necesitaría obtener un consentimiento claro y afirmativo del usuario.

Un banner que diga “al usar este sitio, aceptas las cookies” no sería suficiente. En cambio, el usuario necesita hacer clic en un botón de “estoy de acuerdo”. Deben ser informados sobre qué información será recopilada y cómo se utilizará antes de que esto ocurra.

Otra base legal frecuentemente usada son los intereses legítimos. Las empresas pueden usar datos personales sin permiso si tienen una razón válida. Esto se permite siempre y cuando no perjudique los derechos e intereses del individuo.

Los intereses legítimos pueden incluir cosas como marketing, prevención de fraude o seguridad IT. Sin embargo, las empresas deben equilibrar sus intereses con los intereses de la persona.

Los intereses legítimos no pueden ser utilizados como base legal si hay una forma menos intrusiva de lograr el mismo resultado.

Por ejemplo, una empresa podría argumentar que tiene un interés legítimo en analizar los datos de los clientes para marketing directo.

Sin embargo, si un cliente ha objetado claramente a recibir comunicaciones de marketing, los intereses legítimos de la empresa probablemente serían anulados por el derecho del individuo a objetar.

La empresa necesitaría encontrar una base diferente para este procesamiento legal, como el consentimiento, o cesar el manejo por completo.

Elegir la base correcta para el procesamiento legal

Identificar la legalidad de cada actividad de procesamiento es crucial para el cumplimiento del RGPD.

La base legal apropiada dependerá de la situación específica y del propósito del mismo. En algunos casos, la base puede ser obvia.

Un ejemplo es cuando un empleador necesita procesar los detalles bancarios de un empleado para los pagos salariales. Esto se hace bajo la base legal de “necesario para el contrato”. 

Otras situaciones pueden ser menos claras. Considere una empresa que quiere procesar la información del cliente para marketing.

Pueden usar los intereses legítimos como su base legal, argumentando que los clientes razonablemente esperarían este procesamiento y que tiene un impacto mínimo en la privacidad.

Sin embargo, el consentimiento puede ser una opción más segura, especialmente si el marketing involucra temas sensibles o si los clientes no esperarían razonablemente que su información se utilice de esta manera.

Es importante que las empresas decidan la base antes de comenzar el procesamiento legal y documenten su decisión. No es aceptable buscar una legalidad después del hecho.

La legalidad del procesamiento también afecta los derechos de los individuos. Por ejemplo, si una empresa se basa en el consentimiento, los individuos tienen un derecho más fuerte a que sus datos sean eliminados.

Categorías especiales de datos personales

Vale la pena señalar que el RGPD tiene reglas especiales para ciertas categorías sensibles de recursos, conocidas como “datos de categoría especial”.

Esto incluye información que revela el origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, datos genéticos, biométricos o de salud.

El RGPD prohíbe el procesamiento de estos datos a menos que se cumpla una de las condiciones específicas en el Artículo 9 del RGPD.

Estas condiciones incluyen consentimiento explícito, necesario para la ley laboral, intereses vitales, interés público sustancial y más.

La barra para manejar datos especiales es mucho más alta, y las empresas deben ser extremadamente cuidadosas al manejar este tipo de información sensible.

Por ejemplo, una aplicación de salud que recopila datos sobre las condiciones médicas de los usuarios estaría analizando datos de categoría especial.

Deben obtener permiso de los usuarios y tener una razón legal fuerte para analizar datos sensibles.

Errores comunes al determinar la legalidad del procesamiento

Un error común es pensar que manejar datos para fines comerciales automáticamente lo hace legal bajo el RGPD. Sin embargo, la necesidad por sí sola no es suficiente legalidad.

El procesamiento legal debe encajar en una de las seis bases establecidas en el RGPD.

Otro problema es cuando las empresas intentan confiar en una legalidad que realmente no se aplica.

Una empresa puede decir que la refinación es necesaria para un contrato. Sin embargo, si la refinación no es crucial para proporcionar el servicio, la afirmación no es válida.

De manera similar, las empresas a veces intentan usar el consentimiento como una base legal “atrapalotodo”, incluso en casos donde el consentimiento no se da libremente o donde otra base legal sería más apropiada.

Un tercer problema es no ser lo suficientemente específico acerca de la legalidad. Las empresas deben vincular cada actividad específica de manejo con una legalidad.

Declaraciones amplias como “procesamos datos en base a intereses legítimos” no son suficientes. La empresa necesita explicar cuál es el interés legítimo y cómo se aplica a cada tipo de manejo.

Mejores prácticas para garantizar el procesamiento legal

Para cumplir con las reglas del RGPD sobre la legalidad, las empresas deben:

  • Mapear cada una de sus actividades e identificar la base legal para cada una de ellas. 
  • Cuando se confía en el consentimiento, asegurarse de que los procedimientos para obtener el consentimiento cumplan con los estándares del RGPD.
  • Cuando se confía en intereses legítimos, documentar cómo equilibraron sus intereses con los derechos de los individuos.
  • Evitar declaraciones amplias sobre la legalidad y ser específicos para cada actividad de procesamiento distinta.
  • Permitir a los individuos ejercer sus derechos en función de la base legal aplicable.
  • Revisar regularmente las actividades y las bases legales para garantizar el cumplimiento continuo.

Documentación de las bases legales

Documentar la legalidad para cada actividad es una parte clave del cumplimiento del RGPD. Esta documentación debe explicar:

  • Qué DPI se está procesando
  • El propósito del análisis
  • Qué base legal se aplica y por qué
  • Cómo la empresa defenderá los derechos de los individuos en función de la legalidad
  • La evaluación de los intereses legítimos de la empresa (si corresponde)

Mantener y actualizar esta documentación con el tiempo es necesario. Es una evidencia importante de cumplimiento que se puede proporcionar a las autoridades de supervisión si se solicita.

La importancia del procesamiento legal

Determinar la base para el procesamiento legal de la información es una piedra angular del cumplimiento del RGPD. Las empresas necesitan una base legal válida para evitar quejas, solicitudes de acceso y multas de los reguladores.

Lograr la legalidad correcta es esencial para construir confianza con los clientes y evitar daños a la reputación.

Además, establecer bases legales para el procesamiento simplemente es buena higiene de datos. Las empresas pueden mejorar la forma en que manejan la información al pensar críticamente sobre por qué la usan y seleccionar la mejor base legal. Este proceso implica considerar el propósito de la información y garantizar que cumpla con los requisitos legales.

Esto sienta las bases para derivar un mayor valor de los recursos mientras se respetan los derechos y expectativas de los individuos.

El impulso del RGPD hacia el procesamiento legal beneficia en última instancia tanto a los consumidores como a las empresas. Los consumidores ganan mayor transparencia y control sobre cómo se usa su información.

Y las empresas pueden operar con mayor certeza y construir confianza con los clientes. Las empresas que manejan datos de residentes de la UE deben priorizar el establecimiento de razones legales para procesar DPI. Esto requiere invertir tiempo y esfuerzo.

Siguiente

Procesador de Datos

Procesador de Datos

Más información

¿Necesita la ayuda de nuestro equipo de soporte?

Nuestros expertos estarán encantados de responder a sus preguntas.

Countryx
United States
United Kingdom
France
Germany
Australia
Afghanistan
Islands
Albania
Algeria
American Samoa
Andorra
Angola
Anguilla
Antarctica
Antigua and Barbuda
Argentina
Armenia
Aruba
Austria
Azerbaijan
Bahamas
Bahrain
Bangladesh
Barbados
Belarus
Belgium
Belize
Benin
Bermuda
Bhutan
Bolivia
Bosnia and Herzegovina
Botswana
Bouvet
Brazil
British Indian Ocean Territory
Brunei Darussalam
Bulgaria
Burkina Faso
Burundi
Cambodia
Cameroon
Canada
Cape Verde
Cayman Islands
Central African Republic
Chad
Chile
China
Christmas Island
Cocos (Keeling) Islands
Colombia
Comoros
Congo, Republic of the
Congo, The Democratic Republic of the
Cook Islands
Costa Rica
Cote D'Ivoire
Croatia
Cuba
Cyprus
Czech Republic
Denmark
Djibouti
Dominica
Dominican Republic
Ecuador
Egypt
El Salvador
Equatorial Guinea
Eritrea
Estonia
Ethiopia
Falkland Islands (Malvinas)
Faroe Islands
Fiji
Finland
French Guiana
French Polynesia
French Southern Territories
Gabon
Gambia
Georgia
Ghana
Gibraltar
Greece
Greenland
Grenada
Guadeloupe
Guam
Guatemala
Guernsey
Guinea
Guinea-Bissau
Guyana
Haiti
Heard Island and Mcdonald Islands
Holy See (Vatican City State)
Honduras
Hong Kong
Hungary
Iceland
India
Indonesia
Iran, Islamic Republic Of
Iraq
Ireland
Isle of Man
Israel
Italy
Jamaica
Japan
Jersey
Jordan
Kazakhstan
Kenya
Kiribati
Korea, Democratic People's Republic of
Korea, Republic of
Kuwait
Kyrgyzstan
Lao People's Democratic Republic
Latvia
Lebanon
Lesotho
Liberia
Libyan Arab Jamahiriya
Liechtenstein
Lithuania
Luxembourg
Macao
Madagascar
Malawi
Malaysia
Maldives
Mali
Malta
Marshall Islands
Martinique
Mauritania
Mauritius
Mayotte
Mexico
Micronesia, Federated States of
Moldova, Republic of
Monaco
Mongolia
Montserrat
Morocco
Mozambique
Myanmar
Namibia
Nauru
Nepal
Netherlands
Netherlands Antilles
New Caledonia
New Zealand
Nicaragua
Niger
Nigeria
Niue
Norfolk Island
North Macedonia, Republic of
Northern Mariana Islands
Norway
Oman
Pakistan
Palau
Palestinian Territory, Occupied
Panama
Papua New Guinea
Paraguay
Peru
Philippines
Pitcairn
Poland
Portugal
Puerto Rico
Qatar
Reunion
Romania
Russian Federation
Rwanda
Saint Helena
Saint Kitts and Nevis
Saint Lucia
Saint Pierre and Miquelon
Saint Vincent and the Grenadines
Samoa
San Marino
Sao Tome and Principe
Saudi Arabia
Senegal
Serbia and Montenegro
Seychelles
Sierra Leone
Singapore
Slovakia
Slovenia
Solomon Islands
Somalia
South Africa
South Georgia and the South Sandwich Islands
Spain
Sri Lanka
Sudan
Suriname
Svalbard and Jan Mayen
Swaziland
Sweden
Switzerland
Syrian Arab Republic
Taiwan, Province of China
Tajikistan
Tanzania, United Republic of
Thailand
Timor-Leste
Togo
Tokelau
Tonga
Trinidad and Tobago
Tunisia
Turkey
Turkmenistan
Turks and Caicos Islands
Tuvalu
Uganda
Ukraine
United Arab Emirates
United States Minor Outlying Islands
Uruguay
Uzbekistan
Vanuatu
Venezuela
Viet Nam
Virgin Islands, British
Virgin Islands, U.S.
Wallis and Futuna
Western Sahara
Yemen
Zambia
Zimbabwe
Choose a topicx
Información General
Ventas
Servicio al Cliente y Soporte Técnico
Consultas sobre Asociaciones y Alianzas
Información general:
info@datasunrise.com
Servicio al Cliente y Soporte Técnico:
support.datasunrise.com
Consultas sobre Asociaciones y Alianzas:
partner@datasunrise.com