Según el RGPD, solo puedes tratar datos personales si tienes una razón válida: una base de legitimación. La ley define exactamente seis. Para cada tratamiento debes saber de antemano cuál se aplica. Sin base, el tratamiento es ilícito, por buenas que sean tus intenciones.
Las seis bases de legitimación
El artículo 6 del RGPD enumera seis bases. Una debe aplicarse antes de empezar:
- Consentimiento: la persona dijo que sí de forma libre y clara, y puede retirarlo.
- Contrato: el tratamiento es necesario para ejecutar un contrato, como entregar un pedido.
- Obligación legal: una ley exige el tratamiento, como la contabilidad fiscal.
- Intereses vitales: es necesario para proteger la vida de alguien, como una urgencia médica.
- Misión de interés público: una función pública de interés general lo requiere.
- Interés legítimo: tienes un interés imperioso que prevalece sobre el impacto en la privacidad, tras una ponderación.
El consentimiento no siempre es la mejor opción
Muchos creen que hace falta consentimiento para todo. No es así. El consentimiento es incluso una base débil, porque puede retirarse en cualquier momento, tras lo cual debes parar.
Para un pedido de cliente, "contrato" es más lógico; para un boletín, a menudo "interés legítimo" o consentimiento; para la nómina, "obligación legal". Elige la base que realmente encaja, no el consentimiento por defecto.
Interés legítimo: cuidado con la ponderación
La base "interés legítimo" es flexible pero exige una ponderación consciente entre tu interés y la privacidad de la persona. La publicidad directa a clientes existentes puede ampararse; rastrear a personas sin que lo sepan, normalmente no.
Documenta esa valoración. Ante una inspección de la AEPD debes poder mostrar por qué prevaleció tu interés y qué medidas tomaste para limitar el impacto.
Cómo integrarlo en tu programa de concienciación
Las bases de legitimación son demasiado abstractas para la mayoría; orienta tu concienciación al reconocimiento, no al detalle jurídico.
- Entrena sobre todo el reflejo 'tratar exige una razón' en los roles que recogen datos, como marketing, RR. HH. y ventas.
- Usa una ayuda a la decisión o un ejemplo por base en lugar del texto legal.
- Vincúlalo a tu política y a tu registro de actividades, para que teoría y práctica coincidan.
- Ofrece profundización a responsables y propietarios de procesos en nuestro catálogo de cursos.
Artículos relacionados
FAQ
¿Qué es una base de legitimación en el RGPD?
Una razón jurídicamente admitida para tratar datos personales. El RGPD define seis (artículo 6). Al menos una debe aplicarse a cada tratamiento; de lo contrario es ilícito.
¿Necesito siempre consentimiento?
No. El consentimiento es solo una de las seis bases y a menudo no la más práctica, porque puede retirarse. Para muchos tratamientos encajan mejor el contrato, la obligación legal o el interés legítimo.
¿Qué es el interés legítimo?
Una base en la que tu interés imperioso justifica el tratamiento, siempre que prevalezca sobre el impacto en la privacidad. Debes realizar y documentar esa ponderación y limitar el impacto en lo posible.
¿Puedo cambiar de base durante el tratamiento?
Es arriesgado y por lo general no está permitido. Determinas la base de antemano y eres transparente al respecto. Cambiarla después mina la confianza y puede ser ilícito.
¿Quién comprueba si mi base es correcta?
En España la AEPD. Pueden pedir tu justificación, así que documenta qué base elegiste y por qué.