¿Cuándo podemos tratar datos personales?

Respuesta

Únicamente pueden tratarse datos en las circunstancias siguientes:

• cuando tengan el consentimiento de las personas en cuestión,
• cuando tengan una obligación contractual (un contrato entre ustedes y el cliente),
• para cumplir con una obligación legal (expuesta en la legislación de la Unión Europea o nacional),
• cuando el tratamiento sea necesario para el cumplimiento de una misión realizada en interés público (expuesto en la legislación de la Unión Europea o nacional),
• para proteger los intereses vitales del interesado,
• para satisfacer los intereses legítimos de su organización, pero solo tras haber comprobado que los derechos y libertades fundamentales de la persona cuyos datos estén tratando no se vean significativamente afectados; si los derechos de la persona prevalecen sobre sus intereses, no podrán tratar los datos basándose en el interés legítimo; la evaluación sobre si sus intereses legítimos para el tratamiento prevalecen sobre los de las personas afectadas depende de las circunstancias individuales del caso.

Ejemplos

Consentimiento
Usted ofrece una aplicación musical y pide el consentimiento de los ciudadanos para tratar sus preferencias musicales con el fin de proponerles canciones y conciertos específicos.

Obligación contractual
Usted vende productos por internet. Puede tratar los datos que sean necesarios para tomar medidas a instancia de la persona con anterioridad a la conclusión de un contrato y para la ejecución del mismo. De modo que puede tratar el nombre, la dirección de entrega, el número de tarjeta de crédito (si se paga con tarjeta), etc.

Obligación legal
Usted tiene una empresa con empleados. A fin de obtener cobertura de la seguridad social, la legislación le obliga a proporcionar datos personales (como los ingresos semanales de sus empleados) a la autoridad pertinente.

Interés público
Ejemplo: una asociación profesional, como un colegio de abogados o una cámara de profesionales médicos, investida de autoridad oficial para ello, puede tomar medidas disciplinarias contra alguno de sus miembros.

Intereses vitales de una persona
Usted es un hospital que trata a un paciente tras un grave accidente de tráfico; no necesita su consentimiento para buscar su identidad con el fin de saber si esta persona figura en su base de datos para encontrar su historial médico o para contactar con su familiar más cercano.

Intereses legítimos de su organización
Usted es una empresa y para garantizar la seguridad de la red supervisa el uso que hacen los empleados de los dispositivos informáticos. Puede tratar legítimamente datos personales para este fin, solo si elige el método menos intrusivo en cuanto a los derechos de intimidad y de protección de datos de sus empleados, por ejemplo, limitando la accesibilidad a determinados sitios web. (Cabe destacar que esto no puede hacerse en los países donde la legislación nacional establece normas más estrictas para el tratamiento en el contexto laboral).

Referencias

• Artículo 6 y considerandos 40-49 del RGPD
• Grupo de trabajo del artículo 29. Dictamen 06/2014 sobre el concepto de interés legítimo del responsable de tratamiento de los datos en virtud del artículo 7 de la Directiva 95/46/CE

Consent

Your company/organisation offers a music app and ask for citizens’ consent to process their musical preferences in order to suggest tailored songs and possible concerts to them. 

Contractual obligation
Your company/organisation sell goods online. It can process data that is necessary to take steps at the request of the individual prior to entering into the contract and for the performance of the contract. So you can process the name, delivery address, credit card number (if payment by card), etc.

Legal obligation
You own a company with employees. In order to obtain social security cover, the law obliges you to provide personal data (for example weekly income of your employees) to the relevant authority.

Public interest
Example: a professional association such as a bar association or a chamber of medical professionals vested with an official authority to do so may carry out disciplinary procedures against some of their members.

Vital interests of a person
A hospital is treating a patient after a serious road accident; the hospital doesn't need his consent to search for his ID to check whether that person exists in the hospital's database to find previous medical history or to contact his next of kin.

Your organisation’s legitimate interests
Your company/organisation ensures its network security by monitoring the use of its employees’ IT devices. Your company/organisation may legitimately process personal data for that purpose, only if the least intrusive method is chosen as regards the privacy and data protection rights of your employees, for example, by limiting the accessibility of certain websites. (Note that this can’t be done in EU Member States where national law sets out stricter rules for processing in the employment context).

• Article 6 and Recitals (40) to (49) of the GDPR
• Article 29 Working Party Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/E