
Procesamiento legal

El Reglamento General de Protección de Datos, o RGPD, establece reglas estrictas sobre cómo las empresas pueden realizar el procesamiento legal de los DPI de individuos en la Unión Europea.
En el centro de estas reglas está el requisito de que todo procesamiento de datos personales debe tener una base legal. Hay seis bases legales para el procesamiento legal de datos bajo el RGPD.
Las empresas deben determinar la base legal apropiada antes de procesar datos personales.
¿Cuáles son las seis bases legales para procesar datos personales?
El RGPD enumera seis razones legales para procesar datos personales:
- El sujeto de los datos ha dado su consentimiento para procesar sus datos para un propósito específico.
El procesamiento es necesario para:
- Cumplir con un contrato con el sujeto de los datos.
- Cumplir con una obligación legal.
- Proteger los intereses vitales de alguien.
- Realizar una tarea en el interés público.
- Intereses legítimos de la empresa, excepto cuando esos intereses sean anulados por los derechos del sujeto de los datos.
Vamos a observar un par de estas bases legales en más detalle. El consentimiento es una de las bases legales más comúnmente utilizadas.
Al confiar en el consentimiento, es crucial que este sea específico, informado y sin ambigüedades. Las casillas pre-marcadas o el consentimiento implícito no son válidos bajo el RGPD.
Por ejemplo, si un sitio web desea usar cookies para rastrear el comportamiento del usuario con fines publicitarios, necesitaría obtener un consentimiento claro y afirmativo del usuario.
Un banner que diga “al usar este sitio, aceptas las cookies” no sería suficiente. En cambio, el usuario necesita hacer clic en un botón de “estoy de acuerdo”. Deben ser informados sobre qué información será recopilada y cómo se utilizará antes de que esto ocurra.
Otra base legal frecuentemente usada son los intereses legítimos. Las empresas pueden usar datos personales sin permiso si tienen una razón válida. Esto se permite siempre y cuando no perjudique los derechos e intereses del individuo.
Los intereses legítimos pueden incluir cosas como marketing, prevención de fraude o seguridad IT. Sin embargo, las empresas deben equilibrar sus intereses con los intereses de la persona.
Los intereses legítimos no pueden ser utilizados como base legal si hay una forma menos intrusiva de lograr el mismo resultado.
Por ejemplo, una empresa podría argumentar que tiene un interés legítimo en analizar los datos de los clientes para marketing directo.
Sin embargo, si un cliente ha objetado claramente a recibir comunicaciones de marketing, los intereses legítimos de la empresa probablemente serían anulados por el derecho del individuo a objetar.
La empresa necesitaría encontrar una base diferente para este procesamiento legal, como el consentimiento, o cesar el manejo por completo.
Elegir la base correcta para el procesamiento legal
Identificar la legalidad de cada actividad de procesamiento es crucial para el cumplimiento del RGPD.
La base legal apropiada dependerá de la situación específica y del propósito del mismo. En algunos casos, la base puede ser obvia.
Un ejemplo es cuando un empleador necesita procesar los detalles bancarios de un empleado para los pagos salariales. Esto se hace bajo la base legal de “necesario para el contrato”.
Otras situaciones pueden ser menos claras. Considere una empresa que quiere procesar la información del cliente para marketing.
Pueden usar los intereses legítimos como su base legal, argumentando que los clientes razonablemente esperarían este procesamiento y que tiene un impacto mínimo en la privacidad.
Sin embargo, el consentimiento puede ser una opción más segura, especialmente si el marketing involucra temas sensibles o si los clientes no esperarían razonablemente que su información se utilice de esta manera.
Es importante que las empresas decidan la base antes de comenzar el procesamiento legal y documenten su decisión. No es aceptable buscar una legalidad después del hecho.
La legalidad del procesamiento también afecta los derechos de los individuos. Por ejemplo, si una empresa se basa en el consentimiento, los individuos tienen un derecho más fuerte a que sus datos sean eliminados.
Categorías especiales de datos personales
Vale la pena señalar que el RGPD tiene reglas especiales para ciertas categorías sensibles de recursos, conocidas como “datos de categoría especial”.
Esto incluye información que revela el origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, datos genéticos, biométricos o de salud.
El RGPD prohíbe el procesamiento de estos datos a menos que se cumpla una de las condiciones específicas en el Artículo 9 del RGPD.
Estas condiciones incluyen consentimiento explícito, necesario para la ley laboral, intereses vitales, interés público sustancial y más.
La barra para manejar datos especiales es mucho más alta, y las empresas deben ser extremadamente cuidadosas al manejar este tipo de información sensible.
Por ejemplo, una aplicación de salud que recopila datos sobre las condiciones médicas de los usuarios estaría analizando datos de categoría especial.
Deben obtener permiso de los usuarios y tener una razón legal fuerte para analizar datos sensibles.
Errores comunes al determinar la legalidad del procesamiento
Un error común es pensar que manejar datos para fines comerciales automáticamente lo hace legal bajo el RGPD. Sin embargo, la necesidad por sí sola no es suficiente legalidad.
El procesamiento legal debe encajar en una de las seis bases establecidas en el RGPD.
Otro problema es cuando las empresas intentan confiar en una legalidad que realmente no se aplica.
Una empresa puede decir que la refinación es necesaria para un contrato. Sin embargo, si la refinación no es crucial para proporcionar el servicio, la afirmación no es válida.
De manera similar, las empresas a veces intentan usar el consentimiento como una base legal “atrapalotodo”, incluso en casos donde el consentimiento no se da libremente o donde otra base legal sería más apropiada.
Un tercer problema es no ser lo suficientemente específico acerca de la legalidad. Las empresas deben vincular cada actividad específica de manejo con una legalidad.
Declaraciones amplias como “procesamos datos en base a intereses legítimos” no son suficientes. La empresa necesita explicar cuál es el interés legítimo y cómo se aplica a cada tipo de manejo.
Mejores prácticas para garantizar el procesamiento legal
Para cumplir con las reglas del RGPD sobre la legalidad, las empresas deben:
- Mapear cada una de sus actividades e identificar la base legal para cada una de ellas.
- Cuando se confía en el consentimiento, asegurarse de que los procedimientos para obtener el consentimiento cumplan con los estándares del RGPD.
- Cuando se confía en intereses legítimos, documentar cómo equilibraron sus intereses con los derechos de los individuos.
- Evitar declaraciones amplias sobre la legalidad y ser específicos para cada actividad de procesamiento distinta.
- Permitir a los individuos ejercer sus derechos en función de la base legal aplicable.
- Revisar regularmente las actividades y las bases legales para garantizar el cumplimiento continuo.
Documentación de las bases legales
Documentar la legalidad para cada actividad es una parte clave del cumplimiento del RGPD. Esta documentación debe explicar:
- Qué DPI se está procesando
- El propósito del análisis
- Qué base legal se aplica y por qué
- Cómo la empresa defenderá los derechos de los individuos en función de la legalidad
- La evaluación de los intereses legítimos de la empresa (si corresponde)
Mantener y actualizar esta documentación con el tiempo es necesario. Es una evidencia importante de cumplimiento que se puede proporcionar a las autoridades de supervisión si se solicita.
La importancia del procesamiento legal
Determinar la base para el procesamiento legal de la información es una piedra angular del cumplimiento del RGPD. Las empresas necesitan una base legal válida para evitar quejas, solicitudes de acceso y multas de los reguladores.
Lograr la legalidad correcta es esencial para construir confianza con los clientes y evitar daños a la reputación.
Además, establecer bases legales para el procesamiento simplemente es buena higiene de datos. Las empresas pueden mejorar la forma en que manejan la información al pensar críticamente sobre por qué la usan y seleccionar la mejor base legal. Este proceso implica considerar el propósito de la información y garantizar que cumpla con los requisitos legales.
Esto sienta las bases para derivar un mayor valor de los recursos mientras se respetan los derechos y expectativas de los individuos.
El impulso del RGPD hacia el procesamiento legal beneficia en última instancia tanto a los consumidores como a las empresas. Los consumidores ganan mayor transparencia y control sobre cómo se usa su información.
Y las empresas pueden operar con mayor certeza y construir confianza con los clientes. Las empresas que manejan datos de residentes de la UE deben priorizar el establecimiento de razones legales para procesar DPI. Esto requiere invertir tiempo y esfuerzo.