Navegaci贸n
RGPD > Art铆culo聽6. Licitud del tratamiento
Descargar PDF

Art铆culo聽6 RGPD. Licitud del tratamiento

Article 6 GDPR. Lawfulness of processing

1. El tratamiento solo ser谩 l铆cito si se cumple al menos una de las siguientes condiciones:

1. Processing shall be lawful only if and to the extent that at least one of the following applies:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines espec铆ficos;

(a)聽the data subject has given consent to the processing of his or her personal data for one or more specific purposes;

Ley de Directrices y caso Textos enlazados

b) el tratamiento es necesario para la ejecuci贸n de un contrato en el que el interesado es parte o para la aplicaci贸n a petici贸n de este de medidas precontractuales;

(b)聽processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract;

Ley de Directrices y caso Considerandos

(44) El tratamiento debe ser l铆cito cuando sea necesario en el contexto de un contrato o de la intenci贸n de concluir un contrato.

(44) Processing should be lawful where it is necessary in the context of a contract or the intention to enter into a contract.

Textos enlazados

c) el tratamiento es necesario para el cumplimiento de una obligaci贸n legal aplicable al responsable del tratamiento;

(c)聽processing is necessary for compliance with a legal obligation to which the controller is subject;

Considerandos

(45) Cuando se realice en cumplimiento de una obligaci贸n legal aplicable al responsable del tratamiento, o si es necesario para el cumplimiento de una misi贸n realizada en inter茅s p煤blico o en el ejercicio de poderes p煤blicos, el tratamiento debe tener una base en el Derecho de la Uni贸n o de los Estados miembros. El presente Reglamento no requiere que cada tratamiento individual se rija por una norma espec铆fica. Una norma puede ser suficiente como base para varias operaciones de tratamiento de datos basadas en una obligaci贸n legal aplicable al responsable del tratamiento, o si el tratamiento es necesario para el cumplimiento de una misi贸n realizada en inter茅s p煤blico o en el ejercicio de poderes p煤blicos. La finalidad del tratamiento tambi茅n debe determinase en virtud del Derecho de la Uni贸n o de los Estados miembros. Adem谩s, dicha norma podr铆a especificar las condiciones generales del presente Reglamento por las que se rige la licitud del tratamiento de datos personales, establecer especificaciones para la determinaci贸n del responsable del tratamiento, el tipo de datos personales objeto de tratamiento, los interesados afectados, las entidades a las que se pueden comunicar los datos personales, las limitaciones de la finalidad, el plazo de conservaci贸n de los datos y otras medidas para garantizar un tratamiento l铆cito y leal. Debe determinarse tambi茅n en virtud del Derecho de la Uni贸n o de los Estados miembros si el responsable del tratamiento que realiza una misi贸n en inter茅s p煤blico o en el ejercicio de poderes p煤blicos debe ser una autoridad p煤blica u otra persona f铆sica o jur铆dica de Derecho p煤blico, o, cuando se haga en inter茅s p煤blico, incluidos fines sanitarios como la salud p煤blica, la protecci贸n social y la gesti贸n de los servicios de sanidad, de Derecho privado, como una asociaci贸n profesional.

(45) Where processing is carried out in accordance with a legal obligation to which the controller is subject or where processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority, the processing should have a basis in Union or Member State law. This Regulation does not require a specific law for each individual processing. A law as a basis for several processing operations based on a legal obligation to which the controller is subject or where processing is necessary for the performance of a task carried out in the public interest or in the exercise of an official authority may be sufficient. It should also be for Union or Member State law to determine the purpose of processing. Furthermore, that law could specify the general conditions of this Regulation governing the lawfulness of personal data processing, establish specifications for determining the controller, the type of personal data which are subject to the processing, the data subjects concerned, the entities to which the personal data may be disclosed, the purpose limitations, the storage period and other measures to ensure lawful and fair processing. It should also be for Union or Member State law to determine whether the controller performing a task carried out in the public interest or in the exercise of official authority should be a public authority or another natural or legal person governed by public law, or, where it is in the public interest to do so, including for health purposes such as public health and social protection and the management of health care services, by private law, such as a professional association.

d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona f铆sica;

(d)聽processing is necessary in order to protect the vital interests of the data subject or of another natural person;

Considerandos

(46) El tratamiento de datos personales tambi茅n debe considerarse l铆cito cuando sea necesario para proteger un inter茅s esencial para la vida del interesado o la de otra persona f铆sica. En principio, los datos personales 煤nicamente deben tratarse sobre la base del inter茅s vital de otra persona f铆sica cuando el tratamiento no pueda basarse manifiestamente en una base jur铆dica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de inter茅s p煤blico como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagaci贸n, o en situaciones de emergencia humanitaria, sobre todo en caso de cat谩strofes naturales o de origen humano.

(46) The processing of personal data should also be regarded to be lawful where it is necessary to protect an interest which is essential for the life of the data subject or that of another natural person. Processing of personal data based on the vital interest of another natural person should in principle take place only where the processing cannot be manifestly based on another legal basis. Some types of processing may serve both important grounds of public interest and the vital interests of the data subject as for instance when processing is necessary for humanitarian purposes, including for monitoring epidemics and their spread or in situations of humanitarian emergencies, in particular in situations of natural and man-made disasters.

e) el tratamiento es necesario para el cumplimiento de una misi贸n realizada en inter茅s p煤blico o en el ejercicio de poderes p煤blicos conferidos al responsable del tratamiento;

(e)聽processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller;

Ley de Directrices y caso Considerandos

(115) Algunos pa铆ses terceros adoptan leyes, reglamentaciones y otros actos jur铆dicos con los que se pretende regular directamente las actividades de tratamiento de personas f铆sicas y jur铆dicas bajo jurisdicci贸n de los Estados miembros. Esto puede incluir sentencias de 贸rganos jurisdiccionales o decisiones de autoridades administrativas de terceros pa铆ses que obliguen a un responsable o un encargado del tratamiento a transferir o comunicar datos personales, y que no se basen en un acuerdo internacional, como un tratado de asistencia judicial mutua, en vigor entre el tercer pa铆s requirente y la Uni贸n o un Estado miembro. La aplicaci贸n extraterritorial de dichas leyes, reglamentaciones y otros actos jur铆dicos puede ser contraria al Derecho internacional e impedir la protecci贸n de las personas f铆sicas garantizada en la Uni贸n en virtud del presente Reglamento. Las transferencias solo deben autorizarse cuando se cumplan las condiciones del presente Reglamento relativas a las transferencias a terceros pa铆ses. Tal puede ser el caso, entre otros, cuando la comunicaci贸n sea necesaria por una raz贸n importante de inter茅s p煤blico reconocida por el Derecho de la Uni贸n o de los Estados miembros aplicable al responsable del tratamiento.

(115) Some third countries adopt laws, regulations and other legal acts which purport to directly regulate the processing activities of natural and legal persons under the jurisdiction of the Member聽States. This may include judgments of courts or tribunals or decisions of administrative authorities in third countries requiring a controller or processor to transfer or disclose personal data, and which are not based on an international agreement, such as a mutual legal assistance treaty, in force between the requesting third country and the Union or a Member State. The extraterritorial application of those laws, regulations and other legal acts may be in breach of international law and may impede the attainment of the protection of natural persons ensured in the Union by this Regulation. Transfers should only be allowed where the conditions of this Regulation for a transfer to third countries are met. This may be the case, inter alia, where disclosure is necessary for an important ground of public interest recognised in Union or Member State law to which the controller is subject.

f) el tratamiento es necesario para la satisfacci贸n de intereses leg铆timos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protecci贸n de datos personales, en particular cuando el interesado sea un ni帽o.

(f)聽processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child.

Ley de Directrices y caso Considerandos

(47) El inter茅s leg铆timo de un responsable del tratamiento, incluso el de un responsable al que se puedan comunicar datos personales, o de un tercero, puede constituir una base jur铆dica para el tratamiento, siempre que no prevalezcan los intereses o los derechos y libertades del interesado, teniendo en cuenta las expectativas razonables de los interesados basadas en su relaci贸n con el responsable. Tal inter茅s leg铆timo podr铆a darse, por ejemplo, cuando existe una relaci贸n pertinente y apropiada entre el interesado y el responsable, como en situaciones en las que el interesado es cliente o est谩 al servicio del responsable. En cualquier caso, la existencia de un inter茅s leg铆timo requerir铆a una evaluaci贸n meticulosa, inclusive si un interesado puede prever de forma razonable, en el momento y en el contexto de la recogida de datos personales, que pueda producirse el tratamiento con tal fin. En particular, los intereses y los derechos fundamentales del interesado podr铆an prevalecer sobre los intereses del responsable del tratamiento cuando se proceda al tratamiento de los datos personales en circunstancias en las que el interesado no espere razonablemente que se realice un tratamiento ulterior. Dado que corresponde al legislador establecer por ley la base jur铆dica para el tratamiento de datos personales por parte de las autoridades p煤blicas, esta base jur铆dica no debe aplicarse al tratamiento efectuado por las autoridades p煤blicas en el ejercicio de sus funciones. El tratamiento de datos de car谩cter personal estrictamente necesario para la prevenci贸n del fraude constituye tambi茅n un inter茅s leg铆timo del responsable del tratamiento de que se trate. El tratamiento de datos personales con fines de mercadotecnia directa puede considerarse realizado por inter茅s leg铆timo.

(47) The legitimate interests of a controller, including those of a controller to which the personal data may be disclosed, or of a third party, may provide a legal basis for processing, provided that the interests or the fundamental rights and freedoms of the data subject are not overriding, taking into consideration the reasonable expectations of data subjects based on their relationship with the controller. Such legitimate interest could exist for example where there is a relevant and appropriate relationship between the data subject and the controller in situations such as where the data subject is a client or in the service of the controller. At any rate the existence of a legitimate interest would need careful assessment including whether a data subject can reasonably expect at the time and in the context of the collection of the personal data that processing for that purpose may take place. The interests and fundamental rights of the data subject could in particular override the interest of the data controller where personal data are processed in circumstances where data subjects do not reasonably expect further processing. Given that it is for the legislator to provide by law for the legal basis for public authorities to process personal data, that legal basis should not apply to the processing by public authorities in the performance of their tasks. The processing of personal data strictly necessary for the purposes of preventing fraud also constitutes a legitimate interest of the data controller concerned. The processing of personal data for direct marketing purposes may be regarded as carried out for a legitimate interest.

(48) Los responsables que forman parte de un grupo empresarial o de entidades afiliadas a un organismo central pueden tener un inter茅s leg铆timo en transmitir datos personales dentro del grupo empresarial para fines administrativos internos, incluido el tratamiento de datos personales de clientes o empleados. Los principios generales aplicables a la transmisi贸n de datos personales, dentro de un grupo empresarial, a una empresa situada en un pa铆s tercero no se ven afectados.

(48) Controllers that are part of a group of undertakings or institutions affiliated to a central body may have a legitimate interest in transmitting personal data within the group of undertakings for internal administrative purposes, including the processing of clients' or employees' personal data. The general principles for the transfer of personal data, within a group of undertakings, to an undertaking located in a third country remain unaffected.

(49) Constituye un inter茅s leg铆timo del responsable del tratamiento interesado el tratamiento de datos personales en la medida estrictamente necesaria y proporcionada para garantizar la seguridad de la red y de la informaci贸n, es decir la capacidad de una red o de un sistema informaci贸n de resistir, en un nivel determinado de confianza, a acontecimientos accidentales o acciones il铆citas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos personales conservados o transmitidos, y la seguridad de los servicios conexos ofrecidos por, o accesibles a trav茅s de, estos sistemas y redes, por parte de autoridades p煤blicas, equipos de respuesta a emergencias inform谩ticas (CERT), equipos de respuesta a incidentes de seguridad inform谩tica (CSIRT), proveedores de redes y servicios de comunicaciones electr贸nicas y proveedores de tecnolog铆as y servicios de seguridad. En lo anterior cabr铆a incluir, por ejemplo, impedir el acceso no autorizado a las redes de comunicaciones electr贸nicas y la distribuci贸n malintencionada de c贸digos, y frenar ataques de 芦denegaci贸n de servicio禄 y da帽os a los sistemas inform谩ticos y de comunicaciones electr贸nicas.

(49) The processing of personal data to the extent strictly necessary and proportionate for the purposes of ensuring network and information security, i.e. the ability of a network or an information system to resist, at a given level of confidence, accidental events or unlawful or malicious actions that compromise the availability, authenticity, integrity and confidentiality of stored or transmitted personal data, and the security of the related services offered by, or accessible via, those networks and systems, by public authorities, by computer emergency response teams (CERTs), computer security incident response teams (CSIRTs), by providers of electronic communications networks and services and by providers of security technologies and services, constitutes a legitimate interest of the data controller concerned. This could, for example, include preventing unauthorised access to electronic communications networks and malicious code distribution and stopping 鈥榙enial of service鈥 attacks and damage to computer and electronic communication systems.

Lo dispuesto en la letra聽f) del p谩rrafo primero no ser谩 de aplicaci贸n al tratamiento realizado por las autoridades p煤blicas en el ejercicio de sus funciones.

Point (f) of the first subparagraph shall not apply to processing carried out by public authorities in the performance of their tasks.

Considerandos

(40) Para que el tratamiento sea l铆cito, los datos personales deben ser tratados con el consentimiento del interesado o sobre alguna otra base leg铆tima establecida conforme a Derecho, ya sea en el presente Reglamento o en virtud de otro Derecho de la Uni贸n o de los Estados miembros a que se refiera el presente Reglamento, incluida la necesidad de cumplir la obligaci贸n legal aplicable al responsable del tratamiento o la necesidad de ejecutar un contrato en el que sea parte el interesado o con objeto de tomar medidas a instancia del interesado con anterioridad a la conclusi贸n de un contrato.

(40) In order for processing to be lawful, personal data should be processed on the basis of the consent of the data subject concerned or some other legitimate basis, laid down by law, either in this Regulation or in other Union or Member State law as referred to in this Regulation, including the necessity for compliance with the legal obligation to which the controller is subject or the necessity for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract.

(50) El tratamiento de datos personales con fines distintos de aquellos para los que hayan sido recogidos inicialmente solo debe permitirse cuando sea compatible con los fines de su recogida inicial. En tal caso, no se requiere una base jur铆dica aparte, distinta de la que permiti贸 la obtenci贸n de los datos personales. Si el tratamiento es necesario para el cumplimiento de una misi贸n realizada en inter茅s p煤blico o en el ejercicio de poderes p煤blicos conferidos al responsable del tratamiento, los cometidos y los fines para los cuales se debe considerar compatible y l铆cito el tratamiento ulterior se pueden determinar y especificar de acuerdo con el Derecho de la Uni贸n o de los Estados miembros. Las operaciones de tratamiento ulterior con fines de archivo en inter茅s p煤blico, fines de investigaci贸n cient铆fica e hist贸rica o fines estad铆sticos deben considerarse operaciones de tratamiento l铆citas compatibles. La base jur铆dica establecida en el Derecho de la Uni贸n o de los Estados miembros para el tratamiento de datos personales tambi茅n puede servir de base jur铆dica para el tratamiento ulterior. Con objeto de determinar si el fin del tratamiento ulterior es compatible con el fin de la recogida inicial de los datos personales, el responsable del tratamiento, tras haber cumplido todos los requisitos para la licitud del tratamiento original, debe tener en cuenta, entre otras cosas, cualquier relaci贸n entre estos fines y los fines del tratamiento ulterior previsto, el contexto en el que se recogieron los datos, en particular las expectativas razonables del interesado basadas en su relaci贸n con el responsable en cuanto a su uso posterior, la naturaleza de los datos personales, las consecuencias para los interesados del tratamiento ulterior previsto y la existencia de garant铆as adecuadas tanto en la operaci贸n de tratamiento original como en la operaci贸n de tratamiento ulterior prevista.

(50) The processing of personal data for purposes other than those for which the personal data were initially collected should be allowed only where the processing is compatible with the purposes for which the personal data were initially collected. In such a case, no legal basis separate from that which allowed the collection of the personal data is required. If the processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller, Union or Member State law may determine and specify the tasks and purposes for which the further processing should be regarded as compatible and lawful. Further processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes should be considered to be compatible lawful processing operations. The legal basis provided by Union or Member State law for the processing of personal data may also provide a legal basis for further processing. In order to ascertain whether a purpose of further processing is compatible with the purpose for which the personal data are initially collected, the controller, after having met all the requirements for the lawfulness of the original processing, should take into account, inter alia: any link between those purposes and the purposes of the intended further processing; the context in which the personal data have been collected, in particular the reasonable expectations of data subjects based on their relationship with the controller as to their further use; the nature of the personal data; the consequences of the intended further processing for data subjects; and the existence of appropriate safeguards in both the original and intended further processing operations.

Si el interesado dio su consentimiento o el tratamiento se basa en el Derecho de la Uni贸n o de los Estados miembros que constituye una medida necesaria y proporcionada en una sociedad democr谩tica para salvaguardar, en particular, objetivos importantes de inter茅s p煤blico general, el responsable debe estar facultado para el tratamiento ulterior de los datos personales, con independencia de la compatibilidad de los fines. En todo caso, se debe garantizar la aplicaci贸n de los principios establecidos por el presente Reglamento y, en particular, la informaci贸n del interesado sobre esos otros fines y sobre sus derechos, incluido el derecho de oposici贸n. La indicaci贸n de posibles actos delictivos o amenazas para la seguridad p煤blica por parte del responsable del tratamiento y la transmisi贸n a la autoridad competente de los datos respecto de casos individuales o casos diversos relacionados con un mismo acto delictivo o amenaza para la seguridad p煤blica debe considerarse que es en inter茅s leg铆timo del responsable. Con todo, debe prohibirse esa transmisi贸n en inter茅s leg铆timo del responsable o el tratamiento ulterior de datos personales si el tratamiento no es compatible con una obligaci贸n de secreto legal, profesional o vinculante por otro concepto.

Where the data subject has given consent or the processing is based on Union or Member State law which constitutes a necessary and proportionate measure in a democratic society to safeguard, in particular, important objectives of general public interest, the controller should be allowed to further process the personal data irrespective of the compatibility of the purposes. In any case, the application of the principles set out in this Regulation and in particular the information of the data subject on those other purposes and on his or her rights including the right to object, should be ensured. Indicating possible criminal acts or threats to public security by the controller and transmitting the relevant personal data in individual cases or in several cases relating to the same criminal act or threats to public security to a competent authority should be regarded as being in the legitimate interest pursued by the controller. However, such transmission in the legitimate interest of the controller or further processing of personal data should be prohibited if the processing is not compatible with a legal, professional or other binding obligation of secrecy.

2. Los Estados miembros podr谩n mantener o introducir disposiciones m谩s espec铆ficas a fin de adaptar la aplicaci贸n de las normas del presente Reglamento con respecto al tratamiento en cumplimiento del apartado聽1, letras聽c) y聽e), fijando de manera m谩s precisa requisitos espec铆ficos de tratamiento y otras medidas que garanticen un tratamiento l铆cito y equitativo, con inclusi贸n de otras situaciones espec铆ficas de tratamiento a tenor del cap铆tulo聽IX.

2. Member States may maintain or introduce more specific provisions to adapt the application of the rules of this Regulation with regard to processing for compliance with points聽(c) and聽(e) of paragraph 1 by determining more precisely specific requirements for the processing and other measures to ensure lawful and fair processing including for other specific processing situations as provided for in Chapter IX.

3. La base del tratamiento indicado en el apartado聽1, letras聽c) y聽e), deber谩 ser establecida聽por:

3. The basis for the processing referred to in point (c) and (e) of paragraph聽1 shall be laid down by:

a) el Derecho de la Uni贸n,聽o

(a)聽Union law; or

b) el Derecho de los Estados miembros que se aplique al responsable del tratamiento.

(b)聽Member State law to which the controller is subject.

La finalidad del tratamiento deber谩 quedar determinada en dicha base jur铆dica o, en lo relativo al tratamiento a que se refiere el apartado聽1, letra聽e), ser谩 necesaria para el cumplimiento de una misi贸n realizada en inter茅s p煤blico o en el ejercicio de poderes p煤blicos conferidos al responsable del tratamiento. Dicha base jur铆dica podr谩 contener disposiciones espec铆ficas para adaptar la aplicaci贸n de normas del presente Reglamento, entre otras: las condiciones generales que rigen la licitud del tratamiento por parte del responsable; los tipos de datos objeto de tratamiento; los interesados afectados; las entidades a las que se pueden comunicar datos personales y los fines de tal comunicaci贸n; la limitaci贸n de la finalidad; los plazos de conservaci贸n de los datos, as铆 como las operaciones y los procedimientos del tratamiento, incluidas las medidas para garantizar un tratamiento l铆cito y equitativo, como las relativas a otras situaciones espec铆ficas de tratamiento a tenor del cap铆tulo聽IX. El Derecho de la Uni贸n o de los Estados miembros cumplir谩 un objetivo de inter茅s p煤blico y ser谩 proporcional al fin leg铆timo perseguido.

The purpose of the processing shall be determined in that legal basis or, as regards the processing referred to in point (e) of paragraph 1, shall be necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller. That legal basis may contain specific provisions to adapt the application of rules of this Regulation, inter alia: the general conditions governing the lawfulness of processing by the controller; the types of data which are subject to the processing; the data subjects concerned; the entities to, and the purposes for which, the personal data may be disclosed; the purpose limitation; storage periods; and processing operations and processing procedures, including measures to ensure lawful and fair processing such as those for other specific processing situations as provided for in Chapter IX. The Union or the Member State law shall meet an objective of public interest and be proportionate to the legitimate aim pursued.

Considerandos

(41) Cuando el presente Reglamento hace referencia a una base jur铆dica o a una medida legislativa, esto no exige necesariamente un acto legislativo adoptado por un parlamento, sin perjuicio de los requisitos de conformidad del ordenamiento constitucional del Estado miembro de que se trate. Sin embargo, dicha base jur铆dica o medida legislativa debe ser clara y precisa y su aplicaci贸n previsible para sus destinatarios, de conformidad con la jurisprudencia del Tribunal de Justicia de la Uni贸n Europea (en lo sucesivo, 芦Tribunal de Justicia禄) y del Tribunal Europeo de Derechos Humanos.

(41) Where this Regulation refers to a legal basis or a legislative measure, this does not necessarily require a legislative act adopted by a parliament, without prejudice to requirements pursuant to the constitutional order of the Member聽State concerned. However, such a legal basis or legislative measure should be clear and precise and its application should be foreseeable to persons subject to it, in accordance with the case-law of the Court of Justice of the European Union (the 鈥楥ourt of Justice鈥) and the European Court of Human Rights.

4. Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales no est茅 basado en el consentimiento del interesado o en el Derecho de la Uni贸n o de los Estados miembros que constituya una medida necesaria y proporcional en una sociedad democr谩tica para salvaguardar los objetivos indicados en el art铆culo聽23, apartado聽1, el responsable del tratamiento, con objeto de determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos personales, tendr谩 en cuenta, entre otras cosas:

4. Where the processing for a purpose other than that for which the personal data have been collected is not based on the data subject’s consent or on a Union or Member聽State law which constitutes a necessary and proportionate measure in a democratic society to safeguard the objectives referred to in Article 23(1), the controller shall, in order to ascertain whether processing for another purpose is compatible with the purpose for which the personal data are initially collected, take into account, inter alia:

a) cualquier relaci贸n entre los fines para los cuales se hayan recogido los datos personales y los fines del tratamiento ulterior previsto;

(a)聽any link between the purposes for which the personal data have been collected and the purposes of the intended further processing;

b) el contexto en que se hayan recogido los datos personales, en particular por lo que respecta a la relaci贸n entre los interesados y el responsable del tratamiento;

(b)聽the context in which the personal data have been collected, in particular regarding the relationship between data subjects and the controller;

c) la naturaleza de los datos personales, en concreto cuando se traten categor铆as especiales de datos personales, de conformidad con el art铆culo聽9, o datos personales relativos a condenas e infracciones penales, de conformidad con el art铆culo聽10;

(c)聽the nature of the personal data, in particular whether special categories of personal data are processed, pursuant to Article 9, or whether personal data related to criminal convictions and offences are processed, pursuant to Article 10;

d) las posibles consecuencias para los interesados del tratamiento ulterior previsto;

(d)聽the possible consequences of the intended further processing for data subjects;

e) la existencia de garant铆as adecuadas, que podr谩n incluir el cifrado o la seudonimizaci贸n.

(e)聽the existence of appropriate safeguards, which may include encryption or pseudonymisation.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 6(4)(e) GDPR:

7.4.5 PII de-identification and deletion at the end of processing

Control

The organization should either delete PII or render it in a form which does not permit identification or re-identification of PII principals, as soon as the original PII is no longer necessary for the identified purpose(s).


para acceder al texto completo

ISO 27701 Considerandos Ley de Directrices y caso Textos enlazados Deja un comentario
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 6 GDPR:

7.2.2 Identify lawful basis

Control

The organization should determine, document and comply with the relevant lawful basis for the processing of PII for the identified purposes.

Implementation guidance

Some jurisdictions require the organization to be able to demonstrate that the lawfulness of processing was duly established before the processing.

The legal basis for the processing of PII can include:


para acceder al texto completo

Considerandos

(40) Para que el tratamiento sea l铆cito, los datos personales deben ser tratados con el consentimiento del interesado o sobre alguna otra base leg铆tima establecida conforme a Derecho, ya sea en el presente Reglamento o en virtud de otro Derecho de la Uni贸n o de los Estados miembros a que se refiera el presente Reglamento, incluida la necesidad de cumplir la obligaci贸n legal aplicable al responsable del tratamiento o la necesidad de ejecutar un contrato en el que sea parte el interesado o con objeto de tomar medidas a instancia del interesado con anterioridad a la conclusi贸n de un contrato.

(40) In order for processing to be lawful, personal data should be processed on the basis of the consent of the data subject concerned or some other legitimate basis, laid down by law, either in this Regulation or in other Union or Member State law as referred to in this Regulation, including the necessity for compliance with the legal obligation to which the controller is subject or the necessity for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract.

(41) Cuando el presente Reglamento hace referencia a una base jur铆dica o a una medida legislativa, esto no exige necesariamente un acto legislativo adoptado por un parlamento, sin perjuicio de los requisitos de conformidad del ordenamiento constitucional del Estado miembro de que se trate. Sin embargo, dicha base jur铆dica o medida legislativa debe ser clara y precisa y su aplicaci贸n previsible para sus destinatarios, de conformidad con la jurisprudencia del Tribunal de Justicia de la Uni贸n Europea (en lo sucesivo, 芦Tribunal de Justicia禄) y del Tribunal Europeo de Derechos Humanos.

(41) Where this Regulation refers to a legal basis or a legislative measure, this does not necessarily require a legislative act adopted by a parliament, without prejudice to requirements pursuant to the constitutional order of the Member聽State concerned. However, such a legal basis or legislative measure should be clear and precise and its application should be foreseeable to persons subject to it, in accordance with the case-law of the Court of Justice of the European Union (the 鈥楥ourt of Justice鈥) and the European Court of Human Rights.

(42) Cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el responsable del tratamiento debe ser capaz de demostrar que aquel ha dado su consentimiento a la operaci贸n de tratamiento. En particular en el contexto de una declaraci贸n por escrito efectuada sobre otro asunto, debe haber garant铆as de que el interesado es consciente del hecho de que da su consentimiento y de la medida en que lo hace. De acuerdo con la Directiva 93/13/CEE del Consejo [10], debe proporcionarse un modelo de declaraci贸n de consentimiento elaborado previamente por el responsable del tratamiento con una formulaci贸n inteligible y de f谩cil acceso que emplee un lenguaje claro y sencillo, y que no contenga cl谩usulas abusivas. Para que el consentimiento sea informado, el interesado debe conocer como m铆nimo la identidad del responsable del tratamiento y los fines del tratamiento a los cuales est谩n destinados los datos personales. El consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elecci贸n o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno.

(42) Where processing is based on the data subject's consent, the controller should be able to demonstrate that the data subject has given consent to the processing operation. In particular in the context of a written declaration on another matter, safeguards should ensure that the data subject is aware of the fact that and the extent to which consent is given. In accordance with Council Directive聽93/13/EEC聽[10]聽a declaration of consent pre-formulated by the controller should be provided in an intelligible and easily accessible form, using clear and plain language and it should not contain unfair terms. For consent to be informed, the data subject should be aware at least of the identity of the controller and the purposes of the processing for which the personal data are intended. Consent should not be regarded as freely given if the data subject has no genuine or free choice or is unable to refuse or withdraw consent without detriment.

[10] Directiva 93/13/CEE del Consejo, de 5 de abril de 1993, sobre las cl谩usulas abusivas en los contratos celebrados con consumidores (DO L 95 de 21.4.1993, p. 29). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:1993:095:TOC

[10] Council Directive 93/13/EEC of 5 April 1993 on unfair terms in consumer contracts (OJ L 95, 21.4.1993, p. 29). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:1993:095:TOC

(43) Para garantizar que el consentimiento se haya dado libremente, este no debe constituir un fundamento jur铆dico v谩lido para el tratamiento de datos de car谩cter personal en un caso concreto en el que exista un desequilibro claro entre el interesado y el responsable del tratamiento, en particular cuando dicho responsable sea una autoridad p煤blica y sea por lo tanto improbable que el consentimiento se haya dado libremente en todas las circunstancias de dicha situaci贸n particular. Se presume que el consentimiento no se ha dado libremente cuando no permita autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto, o cuando el cumplimiento de un contrato, incluida la prestaci贸n de un servicio, sea dependiente del consentimiento, a煤n cuando este no sea necesario para dicho cumplimiento.

(43) In order to ensure that consent is freely given, consent should not provide a valid legal ground for the processing of personal data in a specific case where there is a clear imbalance between the data subject and the controller, in particular where the controller is a public authority and it is therefore unlikely that consent was freely given in all the circumstances of that specific situation. Consent is presumed not to be freely given if it does not allow separate consent to be given to different personal data processing operations despite it being appropriate in the individual case, or if the performance of a contract, including the provision of a service, is dependent on the consent despite such consent not being necessary for such performance.

(44) El tratamiento debe ser l铆cito cuando sea necesario en el contexto de un contrato o de la intenci贸n de concluir un contrato.

(44) Processing should be lawful where it is necessary in the context of a contract or the intention to enter into a contract.

(45) Cuando se realice en cumplimiento de una obligaci贸n legal aplicable al responsable del tratamiento, o si es necesario para el cumplimiento de una misi贸n realizada en inter茅s p煤blico o en el ejercicio de poderes p煤blicos, el tratamiento debe tener una base en el Derecho de la Uni贸n o de los Estados miembros. El presente Reglamento no requiere que cada tratamiento individual se rija por una norma espec铆fica. Una norma puede ser suficiente como base para varias operaciones de tratamiento de datos basadas en una obligaci贸n legal aplicable al responsable del tratamiento, o si el tratamiento es necesario para el cumplimiento de una misi贸n realizada en inter茅s p煤blico o en el ejercicio de poderes p煤blicos. La finalidad del tratamiento tambi茅n debe determinase en virtud del Derecho de la Uni贸n o de los Estados miembros. Adem谩s, dicha norma podr铆a especificar las condiciones generales del presente Reglamento por las que se rige la licitud del tratamiento de datos personales, establecer especificaciones para la determinaci贸n del responsable del tratamiento, el tipo de datos personales objeto de tratamiento, los interesados afectados, las entidades a las que se pueden comunicar los datos personales, las limitaciones de la finalidad, el plazo de conservaci贸n de los datos y otras medidas para garantizar un tratamiento l铆cito y leal. Debe determinarse tambi茅n en virtud del Derecho de la Uni贸n o de los Estados miembros si el responsable del tratamiento que realiza una misi贸n en inter茅s p煤blico o en el ejercicio de poderes p煤blicos debe ser una autoridad p煤blica u otra persona f铆sica o jur铆dica de Derecho p煤blico, o, cuando se haga en inter茅s p煤blico, incluidos fines sanitarios como la salud p煤blica, la protecci贸n social y la gesti贸n de los servicios de sanidad, de Derecho privado, como una asociaci贸n profesional.

(45) Where processing is carried out in accordance with a legal obligation to which the controller is subject or where processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority, the processing should have a basis in Union or Member State law. This Regulation does not require a specific law for each individual processing. A law as a basis for several processing operations based on a legal obligation to which the controller is subject or where processing is necessary for the performance of a task carried out in the public interest or in the exercise of an official authority may be sufficient. It should also be for Union or Member State law to determine the purpose of processing. Furthermore, that law could specify the general conditions of this Regulation governing the lawfulness of personal data processing, establish specifications for determining the controller, the type of personal data which are subject to the processing, the data subjects concerned, the entities to which the personal data may be disclosed, the purpose limitations, the storage period and other measures to ensure lawful and fair processing. It should also be for Union or Member State law to determine whether the controller performing a task carried out in the public interest or in the exercise of official authority should be a public authority or another natural or legal person governed by public law, or, where it is in the public interest to do so, including for health purposes such as public health and social protection and the management of health care services, by private law, such as a professional association.

(46) El tratamiento de datos personales tambi茅n debe considerarse l铆cito cuando sea necesario para proteger un inter茅s esencial para la vida del interesado o la de otra persona f铆sica. En principio, los datos personales 煤nicamente deben tratarse sobre la base del inter茅s vital de otra persona f铆sica cuando el tratamiento no pueda basarse manifiestamente en una base jur铆dica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de inter茅s p煤blico como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagaci贸n, o en situaciones de emergencia humanitaria, sobre todo en caso de cat谩strofes naturales o de origen humano.

(46) The processing of personal data should also be regarded to be lawful where it is necessary to protect an interest which is essential for the life of the data subject or that of another natural person. Processing of personal data based on the vital interest of another natural person should in principle take place only where the processing cannot be manifestly based on another legal basis. Some types of processing may serve both important grounds of public interest and the vital interests of the data subject as for instance when processing is necessary for humanitarian purposes, including for monitoring epidemics and their spread or in situations of humanitarian emergencies, in particular in situations of natural and man-made disasters.

(47) El inter茅s leg铆timo de un responsable del tratamiento, incluso el de un responsable al que se puedan comunicar datos personales, o de un tercero, puede constituir una base jur铆dica para el tratamiento, siempre que no prevalezcan los intereses o los derechos y libertades del interesado, teniendo en cuenta las expectativas razonables de los interesados basadas en su relaci贸n con el responsable. Tal inter茅s leg铆timo podr铆a darse, por ejemplo, cuando existe una relaci贸n pertinente y apropiada entre el interesado y el responsable, como en situaciones en las que el interesado es cliente o est谩 al servicio del responsable. En cualquier caso, la existencia de un inter茅s leg铆timo requerir铆a una evaluaci贸n meticulosa, inclusive si un interesado puede prever de forma razonable, en el momento y en el contexto de la recogida de datos personales, que pueda producirse el tratamiento con tal fin. En particular, los intereses y los derechos fundamentales del interesado podr铆an prevalecer sobre los intereses del responsable del tratamiento cuando se proceda al tratamiento de los datos personales en circunstancias en las que el interesado no espere razonablemente que se realice un tratamiento ulterior. Dado que corresponde al legislador establecer por ley la base jur铆dica para el tratamiento de datos personales por parte de las autoridades p煤blicas, esta base jur铆dica no debe aplicarse al tratamiento efectuado por las autoridades p煤blicas en el ejercicio de sus funciones. El tratamiento de datos de car谩cter personal estrictamente necesario para la prevenci贸n del fraude constituye tambi茅n un inter茅s leg铆timo del responsable del tratamiento de que se trate. El tratamiento de datos personales con fines de mercadotecnia directa puede considerarse realizado por inter茅s leg铆timo.

(47) The legitimate interests of a controller, including those of a controller to which the personal data may be disclosed, or of a third party, may provide a legal basis for processing, provided that the interests or the fundamental rights and freedoms of the data subject are not overriding, taking into consideration the reasonable expectations of data subjects based on their relationship with the controller. Such legitimate interest could exist for example where there is a relevant and appropriate relationship between the data subject and the controller in situations such as where the data subject is a client or in the service of the controller. At any rate the existence of a legitimate interest would need careful assessment including whether a data subject can reasonably expect at the time and in the context of the collection of the personal data that processing for that purpose may take place. The interests and fundamental rights of the data subject could in particular override the interest of the data controller where personal data are processed in circumstances where data subjects do not reasonably expect further processing. Given that it is for the legislator to provide by law for the legal basis for public authorities to process personal data, that legal basis should not apply to the processing by public authorities in the performance of their tasks. The processing of personal data strictly necessary for the purposes of preventing fraud also constitutes a legitimate interest of the data controller concerned. The processing of personal data for direct marketing purposes may be regarded as carried out for a legitimate interest.

(48) Los responsables que forman parte de un grupo empresarial o de entidades afiliadas a un organismo central pueden tener un inter茅s leg铆timo en transmitir datos personales dentro del grupo empresarial para fines administrativos internos, incluido el tratamiento de datos personales de clientes o empleados. Los principios generales aplicables a la transmisi贸n de datos personales, dentro de un grupo empresarial, a una empresa situada en un pa铆s tercero no se ven afectados.

(48) Controllers that are part of a group of undertakings or institutions affiliated to a central body may have a legitimate interest in transmitting personal data within the group of undertakings for internal administrative purposes, including the processing of clients' or employees' personal data. The general principles for the transfer of personal data, within a group of undertakings, to an undertaking located in a third country remain unaffected.

(49) Constituye un inter茅s leg铆timo del responsable del tratamiento interesado el tratamiento de datos personales en la medida estrictamente necesaria y proporcionada para garantizar la seguridad de la red y de la informaci贸n, es decir la capacidad de una red o de un sistema informaci贸n de resistir, en un nivel determinado de confianza, a acontecimientos accidentales o acciones il铆citas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos personales conservados o transmitidos, y la seguridad de los servicios conexos ofrecidos por, o accesibles a trav茅s de, estos sistemas y redes, por parte de autoridades p煤blicas, equipos de respuesta a emergencias inform谩ticas (CERT), equipos de respuesta a incidentes de seguridad inform谩tica (CSIRT), proveedores de redes y servicios de comunicaciones electr贸nicas y proveedores de tecnolog铆as y servicios de seguridad. En lo anterior cabr铆a incluir, por ejemplo, impedir el acceso no autorizado a las redes de comunicaciones electr贸nicas y la distribuci贸n malintencionada de c贸digos, y frenar ataques de 芦denegaci贸n de servicio禄 y da帽os a los sistemas inform谩ticos y de comunicaciones electr贸nicas.

(49) The processing of personal data to the extent strictly necessary and proportionate for the purposes of ensuring network and information security, i.e. the ability of a network or an information system to resist, at a given level of confidence, accidental events or unlawful or malicious actions that compromise the availability, authenticity, integrity and confidentiality of stored or transmitted personal data, and the security of the related services offered by, or accessible via, those networks and systems, by public authorities, by computer emergency response teams (CERTs), computer security incident response teams (CSIRTs), by providers of electronic communications networks and services and by providers of security technologies and services, constitutes a legitimate interest of the data controller concerned. This could, for example, include preventing unauthorised access to electronic communications networks and malicious code distribution and stopping 鈥榙enial of service鈥 attacks and damage to computer and electronic communication systems.

(50) El tratamiento de datos personales con fines distintos de aquellos para los que hayan sido recogidos inicialmente solo debe permitirse cuando sea compatible con los fines de su recogida inicial. En tal caso, no se requiere una base jur铆dica aparte, distinta de la que permiti贸 la obtenci贸n de los datos personales. Si el tratamiento es necesario para el cumplimiento de una misi贸n realizada en inter茅s p煤blico o en el ejercicio de poderes p煤blicos conferidos al responsable del tratamiento, los cometidos y los fines para los cuales se debe considerar compatible y l铆cito el tratamiento ulterior se pueden determinar y especificar de acuerdo con el Derecho de la Uni贸n o de los Estados miembros. Las operaciones de tratamiento ulterior con fines de archivo en inter茅s p煤blico, fines de investigaci贸n cient铆fica e hist贸rica o fines estad铆sticos deben considerarse operaciones de tratamiento l铆citas compatibles. La base jur铆dica establecida en el Derecho de la Uni贸n o de los Estados miembros para el tratamiento de datos personales tambi茅n puede servir de base jur铆dica para el tratamiento ulterior. Con objeto de determinar si el fin del tratamiento ulterior es compatible con el fin de la recogida inicial de los datos personales, el responsable del tratamiento, tras haber cumplido todos los requisitos para la licitud del tratamiento original, debe tener en cuenta, entre otras cosas, cualquier relaci贸n entre estos fines y los fines del tratamiento ulterior previsto, el contexto en el que se recogieron los datos, en particular las expectativas razonables del interesado basadas en su relaci贸n con el responsable en cuanto a su uso posterior, la naturaleza de los datos personales, las consecuencias para los interesados del tratamiento ulterior previsto y la existencia de garant铆as adecuadas tanto en la operaci贸n de tratamiento original como en la operaci贸n de tratamiento ulterior prevista.

(50) The processing of personal data for purposes other than those for which the personal data were initially collected should be allowed only where the processing is compatible with the purposes for which the personal data were initially collected. In such a case, no legal basis separate from that which allowed the collection of the personal data is required. If the processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller, Union or Member State law may determine and specify the tasks and purposes for which the further processing should be regarded as compatible and lawful. Further processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes should be considered to be compatible lawful processing operations. The legal basis provided by Union or Member State law for the processing of personal data may also provide a legal basis for further processing. In order to ascertain whether a purpose of further processing is compatible with the purpose for which the personal data are initially collected, the controller, after having met all the requirements for the lawfulness of the original processing, should take into account, inter alia: any link between those purposes and the purposes of the intended further processing; the context in which the personal data have been collected, in particular the reasonable expectations of data subjects based on their relationship with the controller as to their further use; the nature of the personal data; the consequences of the intended further processing for data subjects; and the existence of appropriate safeguards in both the original and intended further processing operations.

Si el interesado dio su consentimiento o el tratamiento se basa en el Derecho de la Uni贸n o de los Estados miembros que constituye una medida necesaria y proporcionada en una sociedad democr谩tica para salvaguardar, en particular, objetivos importantes de inter茅s p煤blico general, el responsable debe estar facultado para el tratamiento ulterior de los datos personales, con independencia de la compatibilidad de los fines. En todo caso, se debe garantizar la aplicaci贸n de los principios establecidos por el presente Reglamento y, en particular, la informaci贸n del interesado sobre esos otros fines y sobre sus derechos, incluido el derecho de oposici贸n. La indicaci贸n de posibles actos delictivos o amenazas para la seguridad p煤blica por parte del responsable del tratamiento y la transmisi贸n a la autoridad competente de los datos respecto de casos individuales o casos diversos relacionados con un mismo acto delictivo o amenaza para la seguridad p煤blica debe considerarse que es en inter茅s leg铆timo del responsable. Con todo, debe prohibirse esa transmisi贸n en inter茅s leg铆timo del responsable o el tratamiento ulterior de datos personales si el tratamiento no es compatible con una obligaci贸n de secreto legal, profesional o vinculante por otro concepto.

Where the data subject has given consent or the processing is based on Union or Member State law which constitutes a necessary and proportionate measure in a democratic society to safeguard, in particular, important objectives of general public interest, the controller should be allowed to further process the personal data irrespective of the compatibility of the purposes. In any case, the application of the principles set out in this Regulation and in particular the information of the data subject on those other purposes and on his or her rights including the right to object, should be ensured. Indicating possible criminal acts or threats to public security by the controller and transmitting the relevant personal data in individual cases or in several cases relating to the same criminal act or threats to public security to a competent authority should be regarded as being in the legitimate interest pursued by the controller. However, such transmission in the legitimate interest of the controller or further processing of personal data should be prohibited if the processing is not compatible with a legal, professional or other binding obligation of secrecy.

(155) El Derecho de los Estados miembros o los convenios colectivos, incluidos los 芦convenios de empresa禄, pueden establecer normas espec铆ficas relativas al tratamiento de datos personales de los trabajadores en el 谩mbito laboral, en particular en relaci贸n con las condiciones en las que los datos personales en el contexto laboral pueden ser objeto de tratamiento sobre la base del consentimiento del trabajador, los fines de la contrataci贸n, la ejecuci贸n del contrato laboral, incluido el cumplimiento de las obligaciones establecidas por la ley o por convenio colectivo, la gesti贸n, planificaci贸n y organizaci贸n del trabajo, la igualdad y seguridad en el lugar de trabajo, la salud y seguridad en el trabajo, as铆 como a los fines del ejercicio y disfrute, sea individual o colectivo, de derechos y prestaciones relacionados con el empleo y a efectos de la rescisi贸n de la relaci贸n laboral.

(155) Member State law or collective agreements, including 鈥榳orks agreements鈥, may provide for specific rules on the processing of employees' personal data in the employment context, in particular for the conditions under which personal data in the employment context may be processed on the basis of the consent of the employee, the purposes of the recruitment, the performance of the contract of employment, including discharge of obligations laid down by law or by collective agreements, management, planning and organisation of work, equality and diversity in the workplace, health and safety at work, and for the purposes of the exercise and enjoyment, on an individual or collective basis, of rights and benefits related to employment, and for the purpose of the termination of the employment relationship.

Ley de Directrices y caso Textos enlazados Deja un comentario
[js-disqus]