Navigering
GDPR > Art铆culo聽6. Licitud del tratamiento
H盲mta PDF

Art铆culo聽6 RGPD. Licitud del tratamiento

1. El tratamiento solo ser谩 l铆cito si se cumple al menos una de las siguientes condiciones:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines espec铆ficos;

Riktlinjer & Case Law Relaterade texter

b) el tratamiento es necesario para la ejecuci贸n de un contrato en el que el interesado es parte o para la aplicaci贸n a petici贸n de este de medidas precontractuales;

Riktlinjer & Case Law Sk盲len

(44) El tratamiento debe ser l铆cito cuando sea necesario en el contexto de un contrato o de la intenci贸n de concluir un contrato.

Relaterade texter

c) el tratamiento es necesario para el cumplimiento de una obligaci贸n legal aplicable al responsable del tratamiento;

Sk盲len

(45) Cuando se realice en cumplimiento de una obligaci贸n legal aplicable al responsable del tratamiento, o si es necesario para el cumplimiento de una misi贸n realizada en inter茅s p煤blico o en el ejercicio de poderes p煤blicos, el tratamiento debe tener una base en el Derecho de la Uni贸n o de los Estados miembros. El presente Reglamento no requiere que cada tratamiento individual se rija por una norma espec铆fica. Una norma puede ser suficiente como base para varias operaciones de tratamiento de datos basadas en una obligaci贸n legal aplicable al responsable del tratamiento, o si el tratamiento es necesario para el cumplimiento de una misi贸n realizada en inter茅s p煤blico o en el ejercicio de poderes p煤blicos. La finalidad del tratamiento tambi茅n debe determinase en virtud del Derecho de la Uni贸n o de los Estados miembros. Adem谩s, dicha norma podr铆a especificar las condiciones generales del presente Reglamento por las que se rige la licitud del tratamiento de datos personales, establecer especificaciones para la determinaci贸n del responsable del tratamiento, el tipo de datos personales objeto de tratamiento, los interesados afectados, las entidades a las que se pueden comunicar los datos personales, las limitaciones de la finalidad, el plazo de conservaci贸n de los datos y otras medidas para garantizar un tratamiento l铆cito y leal. Debe determinarse tambi茅n en virtud del Derecho de la Uni贸n o de los Estados miembros si el responsable del tratamiento que realiza una misi贸n en inter茅s p煤blico o en el ejercicio de poderes p煤blicos debe ser una autoridad p煤blica u otra persona f铆sica o jur铆dica de Derecho p煤blico, o, cuando se haga en inter茅s p煤blico, incluidos fines sanitarios como la salud p煤blica, la protecci贸n social y la gesti贸n de los servicios de sanidad, de Derecho privado, como una asociaci贸n profesional.

d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona f铆sica;

Sk盲len

(46) El tratamiento de datos personales tambi茅n debe considerarse l铆cito cuando sea necesario para proteger un inter茅s esencial para la vida del interesado o la de otra persona f铆sica. En principio, los datos personales 煤nicamente deben tratarse sobre la base del inter茅s vital de otra persona f铆sica cuando el tratamiento no pueda basarse manifiestamente en una base jur铆dica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de inter茅s p煤blico como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagaci贸n, o en situaciones de emergencia humanitaria, sobre todo en caso de cat谩strofes naturales o de origen humano.

e) el tratamiento es necesario para el cumplimiento de una misi贸n realizada en inter茅s p煤blico o en el ejercicio de poderes p煤blicos conferidos al responsable del tratamiento;

Riktlinjer & Case Law Sk盲len

(115) Algunos pa铆ses terceros adoptan leyes, reglamentaciones y otros actos jur铆dicos con los que se pretende regular directamente las actividades de tratamiento de personas f铆sicas y jur铆dicas bajo jurisdicci贸n de los Estados miembros. Esto puede incluir sentencias de 贸rganos jurisdiccionales o decisiones de autoridades administrativas de terceros pa铆ses que obliguen a un responsable o un encargado del tratamiento a transferir o comunicar datos personales, y que no se basen en un acuerdo internacional, como un tratado de asistencia judicial mutua, en vigor entre el tercer pa铆s requirente y la Uni贸n o un Estado miembro. La aplicaci贸n extraterritorial de dichas leyes, reglamentaciones y otros actos jur铆dicos puede ser contraria al Derecho internacional e impedir la protecci贸n de las personas f铆sicas garantizada en la Uni贸n en virtud del presente Reglamento. Las transferencias solo deben autorizarse cuando se cumplan las condiciones del presente Reglamento relativas a las transferencias a terceros pa铆ses. Tal puede ser el caso, entre otros, cuando la comunicaci贸n sea necesaria por una raz贸n importante de inter茅s p煤blico reconocida por el Derecho de la Uni贸n o de los Estados miembros aplicable al responsable del tratamiento.

f) el tratamiento es necesario para la satisfacci贸n de intereses leg铆timos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protecci贸n de datos personales, en particular cuando el interesado sea un ni帽o.

Riktlinjer & Case Law Sk盲len

(47) El inter茅s leg铆timo de un responsable del tratamiento, incluso el de un responsable al que se puedan comunicar datos personales, o de un tercero, puede constituir una base jur铆dica para el tratamiento, siempre que no prevalezcan los intereses o los derechos y libertades del interesado, teniendo en cuenta las expectativas razonables de los interesados basadas en su relaci贸n con el responsable. Tal inter茅s leg铆timo podr铆a darse, por ejemplo, cuando existe una relaci贸n pertinente y apropiada entre el interesado y el responsable, como en situaciones en las que el interesado es cliente o est谩 al servicio del responsable. En cualquier caso, la existencia de un inter茅s leg铆timo requerir铆a una evaluaci贸n meticulosa, inclusive si un interesado puede prever de forma razonable, en el momento y en el contexto de la recogida de datos personales, que pueda producirse el tratamiento con tal fin. En particular, los intereses y los derechos fundamentales del interesado podr铆an prevalecer sobre los intereses del responsable del tratamiento cuando se proceda al tratamiento de los datos personales en circunstancias en las que el interesado no espere razonablemente que se realice un tratamiento ulterior. Dado que corresponde al legislador establecer por ley la base jur铆dica para el tratamiento de datos personales por parte de las autoridades p煤blicas, esta base jur铆dica no debe aplicarse al tratamiento efectuado por las autoridades p煤blicas en el ejercicio de sus funciones. El tratamiento de datos de car谩cter personal estrictamente necesario para la prevenci贸n del fraude constituye tambi茅n un inter茅s leg铆timo del responsable del tratamiento de que se trate. El tratamiento de datos personales con fines de mercadotecnia directa puede considerarse realizado por inter茅s leg铆timo.

(48) Los responsables que forman parte de un grupo empresarial o de entidades afiliadas a un organismo central pueden tener un inter茅s leg铆timo en transmitir datos personales dentro del grupo empresarial para fines administrativos internos, incluido el tratamiento de datos personales de clientes o empleados. Los principios generales aplicables a la transmisi贸n de datos personales, dentro de un grupo empresarial, a una empresa situada en un pa铆s tercero no se ven afectados.

(49) Constituye un inter茅s leg铆timo del responsable del tratamiento interesado el tratamiento de datos personales en la medida estrictamente necesaria y proporcionada para garantizar la seguridad de la red y de la informaci贸n, es decir la capacidad de una red o de un sistema informaci贸n de resistir, en un nivel determinado de confianza, a acontecimientos accidentales o acciones il铆citas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos personales conservados o transmitidos, y la seguridad de los servicios conexos ofrecidos por, o accesibles a trav茅s de, estos sistemas y redes, por parte de autoridades p煤blicas, equipos de respuesta a emergencias inform谩ticas (CERT), equipos de respuesta a incidentes de seguridad inform谩tica (CSIRT), proveedores de redes y servicios de comunicaciones electr贸nicas y proveedores de tecnolog铆as y servicios de seguridad. En lo anterior cabr铆a incluir, por ejemplo, impedir el acceso no autorizado a las redes de comunicaciones electr贸nicas y la distribuci贸n malintencionada de c贸digos, y frenar ataques de 芦denegaci贸n de servicio禄 y da帽os a los sistemas inform谩ticos y de comunicaciones electr贸nicas.

Lo dispuesto en la letra聽f) del p谩rrafo primero no ser谩 de aplicaci贸n al tratamiento realizado por las autoridades p煤blicas en el ejercicio de sus funciones.

Sk盲len

(40) Para que el tratamiento sea l铆cito, los datos personales deben ser tratados con el consentimiento del interesado o sobre alguna otra base leg铆tima establecida conforme a Derecho, ya sea en el presente Reglamento o en virtud de otro Derecho de la Uni贸n o de los Estados miembros a que se refiera el presente Reglamento, incluida la necesidad de cumplir la obligaci贸n legal aplicable al responsable del tratamiento o la necesidad de ejecutar un contrato en el que sea parte el interesado o con objeto de tomar medidas a instancia del interesado con anterioridad a la conclusi贸n de un contrato.

(50) El tratamiento de datos personales con fines distintos de aquellos para los que hayan sido recogidos inicialmente solo debe permitirse cuando sea compatible con los fines de su recogida inicial. En tal caso, no se requiere una base jur铆dica aparte, distinta de la que permiti贸 la obtenci贸n de los datos personales. Si el tratamiento es necesario para el cumplimiento de una misi贸n realizada en inter茅s p煤blico o en el ejercicio de poderes p煤blicos conferidos al responsable del tratamiento, los cometidos y los fines para los cuales se debe considerar compatible y l铆cito el tratamiento ulterior se pueden determinar y especificar de acuerdo con el Derecho de la Uni贸n o de los Estados miembros. Las operaciones de tratamiento ulterior con fines de archivo en inter茅s p煤blico, fines de investigaci贸n cient铆fica e hist贸rica o fines estad铆sticos deben considerarse operaciones de tratamiento l铆citas compatibles. La base jur铆dica establecida en el Derecho de la Uni贸n o de los Estados miembros para el tratamiento de datos personales tambi茅n puede servir de base jur铆dica para el tratamiento ulterior. Con objeto de determinar si el fin del tratamiento ulterior es compatible con el fin de la recogida inicial de los datos personales, el responsable del tratamiento, tras haber cumplido todos los requisitos para la licitud del tratamiento original, debe tener en cuenta, entre otras cosas, cualquier relaci贸n entre estos fines y los fines del tratamiento ulterior previsto, el contexto en el que se recogieron los datos, en particular las expectativas razonables del interesado basadas en su relaci贸n con el responsable en cuanto a su uso posterior, la naturaleza de los datos personales, las consecuencias para los interesados del tratamiento ulterior previsto y la existencia de garant铆as adecuadas tanto en la operaci贸n de tratamiento original como en la operaci贸n de tratamiento ulterior prevista.

Si el interesado dio su consentimiento o el tratamiento se basa en el Derecho de la Uni贸n o de los Estados miembros que constituye una medida necesaria y proporcionada en una sociedad democr谩tica para salvaguardar, en particular, objetivos importantes de inter茅s p煤blico general, el responsable debe estar facultado para el tratamiento ulterior de los datos personales, con independencia de la compatibilidad de los fines. En todo caso, se debe garantizar la aplicaci贸n de los principios establecidos por el presente Reglamento y, en particular, la informaci贸n del interesado sobre esos otros fines y sobre sus derechos, incluido el derecho de oposici贸n. La indicaci贸n de posibles actos delictivos o amenazas para la seguridad p煤blica por parte del responsable del tratamiento y la transmisi贸n a la autoridad competente de los datos respecto de casos individuales o casos diversos relacionados con un mismo acto delictivo o amenaza para la seguridad p煤blica debe considerarse que es en inter茅s leg铆timo del responsable. Con todo, debe prohibirse esa transmisi贸n en inter茅s leg铆timo del responsable o el tratamiento ulterior de datos personales si el tratamiento no es compatible con una obligaci贸n de secreto legal, profesional o vinculante por otro concepto.

2. Los Estados miembros podr谩n mantener o introducir disposiciones m谩s espec铆ficas a fin de adaptar la aplicaci贸n de las normas del presente Reglamento con respecto al tratamiento en cumplimiento del apartado聽1, letras聽c) y聽e), fijando de manera m谩s precisa requisitos espec铆ficos de tratamiento y otras medidas que garanticen un tratamiento l铆cito y equitativo, con inclusi贸n de otras situaciones espec铆ficas de tratamiento a tenor del cap铆tulo聽IX.

3. La base del tratamiento indicado en el apartado聽1, letras聽c) y聽e), deber谩 ser establecida聽por:

a) el Derecho de la Uni贸n,聽o

b) el Derecho de los Estados miembros que se aplique al responsable del tratamiento.

La finalidad del tratamiento deber谩 quedar determinada en dicha base jur铆dica o, en lo relativo al tratamiento a que se refiere el apartado聽1, letra聽e), ser谩 necesaria para el cumplimiento de una misi贸n realizada en inter茅s p煤blico o en el ejercicio de poderes p煤blicos conferidos al responsable del tratamiento. Dicha base jur铆dica podr谩 contener disposiciones espec铆ficas para adaptar la aplicaci贸n de normas del presente Reglamento, entre otras: las condiciones generales que rigen la licitud del tratamiento por parte del responsable; los tipos de datos objeto de tratamiento; los interesados afectados; las entidades a las que se pueden comunicar datos personales y los fines de tal comunicaci贸n; la limitaci贸n de la finalidad; los plazos de conservaci贸n de los datos, as铆 como las operaciones y los procedimientos del tratamiento, incluidas las medidas para garantizar un tratamiento l铆cito y equitativo, como las relativas a otras situaciones espec铆ficas de tratamiento a tenor del cap铆tulo聽IX. El Derecho de la Uni贸n o de los Estados miembros cumplir谩 un objetivo de inter茅s p煤blico y ser谩 proporcional al fin leg铆timo perseguido.

Sk盲len

(41) Cuando el presente Reglamento hace referencia a una base jur铆dica o a una medida legislativa, esto no exige necesariamente un acto legislativo adoptado por un parlamento, sin perjuicio de los requisitos de conformidad del ordenamiento constitucional del Estado miembro de que se trate. Sin embargo, dicha base jur铆dica o medida legislativa debe ser clara y precisa y su aplicaci贸n previsible para sus destinatarios, de conformidad con la jurisprudencia del Tribunal de Justicia de la Uni贸n Europea (en lo sucesivo, 芦Tribunal de Justicia禄) y del Tribunal Europeo de Derechos Humanos.

4. Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales no est茅 basado en el consentimiento del interesado o en el Derecho de la Uni贸n o de los Estados miembros que constituya una medida necesaria y proporcional en una sociedad democr谩tica para salvaguardar los objetivos indicados en el art铆culo聽23, apartado聽1, el responsable del tratamiento, con objeto de determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos personales, tendr谩 en cuenta, entre otras cosas:

a) cualquier relaci贸n entre los fines para los cuales se hayan recogido los datos personales y los fines del tratamiento ulterior previsto;

b) el contexto en que se hayan recogido los datos personales, en particular por lo que respecta a la relaci贸n entre los interesados y el responsable del tratamiento;

c) la naturaleza de los datos personales, en concreto cuando se traten categor铆as especiales de datos personales, de conformidad con el art铆culo聽9, o datos personales relativos a condenas e infracciones penales, de conformidad con el art铆culo聽10;

d) las posibles consecuencias para los interesados del tratamiento ulterior previsto;

e) la existencia de garant铆as adecuadas, que podr谩n incluir el cifrado o la seudonimizaci贸n.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 6(4)(e) GDPR:

7.4.5 PII de-identification and deletion at the end of processing

Control

The organization should either delete PII or render it in a form which does not permit identification or re-identification of PII principals, as soon as the original PII is no longer necessary for the identified purpose(s).


f枚r att komma 氓t hela texten褍

Expertkommentarer ISO 27701 Sk盲len Riktlinjer & Case Law Relaterade texter L盲mna en kommentar
Expertkommentarer
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 6 GDPR:

7.2.2 Identify lawful basis

Control

The organization should determine, document and comply with the relevant lawful basis for the processing of PII for the identified purposes.

Implementation guidance

Some jurisdictions require the organization to be able to demonstrate that the lawfulness of processing was duly established before the processing.

The legal basis for the processing of PII can include:


f枚r att komma 氓t hela texten褍

Sk盲len

(40) Para que el tratamiento sea l铆cito, los datos personales deben ser tratados con el consentimiento del interesado o sobre alguna otra base leg铆tima establecida conforme a Derecho, ya sea en el presente Reglamento o en virtud de otro Derecho de la Uni贸n o de los Estados miembros a que se refiera el presente Reglamento, incluida la necesidad de cumplir la obligaci贸n legal aplicable al responsable del tratamiento o la necesidad de ejecutar un contrato en el que sea parte el interesado o con objeto de tomar medidas a instancia del interesado con anterioridad a la conclusi贸n de un contrato.

(41) Cuando el presente Reglamento hace referencia a una base jur铆dica o a una medida legislativa, esto no exige necesariamente un acto legislativo adoptado por un parlamento, sin perjuicio de los requisitos de conformidad del ordenamiento constitucional del Estado miembro de que se trate. Sin embargo, dicha base jur铆dica o medida legislativa debe ser clara y precisa y su aplicaci贸n previsible para sus destinatarios, de conformidad con la jurisprudencia del Tribunal de Justicia de la Uni贸n Europea (en lo sucesivo, 芦Tribunal de Justicia禄) y del Tribunal Europeo de Derechos Humanos.

(42) Cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el responsable del tratamiento debe ser capaz de demostrar que aquel ha dado su consentimiento a la operaci贸n de tratamiento. En particular en el contexto de una declaraci贸n por escrito efectuada sobre otro asunto, debe haber garant铆as de que el interesado es consciente del hecho de que da su consentimiento y de la medida en que lo hace. De acuerdo con la Directiva 93/13/CEE del Consejo [10], debe proporcionarse un modelo de declaraci贸n de consentimiento elaborado previamente por el responsable del tratamiento con una formulaci贸n inteligible y de f谩cil acceso que emplee un lenguaje claro y sencillo, y que no contenga cl谩usulas abusivas. Para que el consentimiento sea informado, el interesado debe conocer como m铆nimo la identidad del responsable del tratamiento y los fines del tratamiento a los cuales est谩n destinados los datos personales. El consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elecci贸n o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno.

[10] Directiva 93/13/CEE del Consejo, de 5 de abril de 1993, sobre las cl谩usulas abusivas en los contratos celebrados con consumidores (DO L 95 de 21.4.1993, p. 29). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:1993:095:TOC

(43) Para garantizar que el consentimiento se haya dado libremente, este no debe constituir un fundamento jur铆dico v谩lido para el tratamiento de datos de car谩cter personal en un caso concreto en el que exista un desequilibro claro entre el interesado y el responsable del tratamiento, en particular cuando dicho responsable sea una autoridad p煤blica y sea por lo tanto improbable que el consentimiento se haya dado libremente en todas las circunstancias de dicha situaci贸n particular. Se presume que el consentimiento no se ha dado libremente cuando no permita autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto, o cuando el cumplimiento de un contrato, incluida la prestaci贸n de un servicio, sea dependiente del consentimiento, a煤n cuando este no sea necesario para dicho cumplimiento.

(44) El tratamiento debe ser l铆cito cuando sea necesario en el contexto de un contrato o de la intenci贸n de concluir un contrato.

(45) Cuando se realice en cumplimiento de una obligaci贸n legal aplicable al responsable del tratamiento, o si es necesario para el cumplimiento de una misi贸n realizada en inter茅s p煤blico o en el ejercicio de poderes p煤blicos, el tratamiento debe tener una base en el Derecho de la Uni贸n o de los Estados miembros. El presente Reglamento no requiere que cada tratamiento individual se rija por una norma espec铆fica. Una norma puede ser suficiente como base para varias operaciones de tratamiento de datos basadas en una obligaci贸n legal aplicable al responsable del tratamiento, o si el tratamiento es necesario para el cumplimiento de una misi贸n realizada en inter茅s p煤blico o en el ejercicio de poderes p煤blicos. La finalidad del tratamiento tambi茅n debe determinase en virtud del Derecho de la Uni贸n o de los Estados miembros. Adem谩s, dicha norma podr铆a especificar las condiciones generales del presente Reglamento por las que se rige la licitud del tratamiento de datos personales, establecer especificaciones para la determinaci贸n del responsable del tratamiento, el tipo de datos personales objeto de tratamiento, los interesados afectados, las entidades a las que se pueden comunicar los datos personales, las limitaciones de la finalidad, el plazo de conservaci贸n de los datos y otras medidas para garantizar un tratamiento l铆cito y leal. Debe determinarse tambi茅n en virtud del Derecho de la Uni贸n o de los Estados miembros si el responsable del tratamiento que realiza una misi贸n en inter茅s p煤blico o en el ejercicio de poderes p煤blicos debe ser una autoridad p煤blica u otra persona f铆sica o jur铆dica de Derecho p煤blico, o, cuando se haga en inter茅s p煤blico, incluidos fines sanitarios como la salud p煤blica, la protecci贸n social y la gesti贸n de los servicios de sanidad, de Derecho privado, como una asociaci贸n profesional.

(46) El tratamiento de datos personales tambi茅n debe considerarse l铆cito cuando sea necesario para proteger un inter茅s esencial para la vida del interesado o la de otra persona f铆sica. En principio, los datos personales 煤nicamente deben tratarse sobre la base del inter茅s vital de otra persona f铆sica cuando el tratamiento no pueda basarse manifiestamente en una base jur铆dica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de inter茅s p煤blico como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagaci贸n, o en situaciones de emergencia humanitaria, sobre todo en caso de cat谩strofes naturales o de origen humano.

(47) El inter茅s leg铆timo de un responsable del tratamiento, incluso el de un responsable al que se puedan comunicar datos personales, o de un tercero, puede constituir una base jur铆dica para el tratamiento, siempre que no prevalezcan los intereses o los derechos y libertades del interesado, teniendo en cuenta las expectativas razonables de los interesados basadas en su relaci贸n con el responsable. Tal inter茅s leg铆timo podr铆a darse, por ejemplo, cuando existe una relaci贸n pertinente y apropiada entre el interesado y el responsable, como en situaciones en las que el interesado es cliente o est谩 al servicio del responsable. En cualquier caso, la existencia de un inter茅s leg铆timo requerir铆a una evaluaci贸n meticulosa, inclusive si un interesado puede prever de forma razonable, en el momento y en el contexto de la recogida de datos personales, que pueda producirse el tratamiento con tal fin. En particular, los intereses y los derechos fundamentales del interesado podr铆an prevalecer sobre los intereses del responsable del tratamiento cuando se proceda al tratamiento de los datos personales en circunstancias en las que el interesado no espere razonablemente que se realice un tratamiento ulterior. Dado que corresponde al legislador establecer por ley la base jur铆dica para el tratamiento de datos personales por parte de las autoridades p煤blicas, esta base jur铆dica no debe aplicarse al tratamiento efectuado por las autoridades p煤blicas en el ejercicio de sus funciones. El tratamiento de datos de car谩cter personal estrictamente necesario para la prevenci贸n del fraude constituye tambi茅n un inter茅s leg铆timo del responsable del tratamiento de que se trate. El tratamiento de datos personales con fines de mercadotecnia directa puede considerarse realizado por inter茅s leg铆timo.

(48) Los responsables que forman parte de un grupo empresarial o de entidades afiliadas a un organismo central pueden tener un inter茅s leg铆timo en transmitir datos personales dentro del grupo empresarial para fines administrativos internos, incluido el tratamiento de datos personales de clientes o empleados. Los principios generales aplicables a la transmisi贸n de datos personales, dentro de un grupo empresarial, a una empresa situada en un pa铆s tercero no se ven afectados.

(49) Constituye un inter茅s leg铆timo del responsable del tratamiento interesado el tratamiento de datos personales en la medida estrictamente necesaria y proporcionada para garantizar la seguridad de la red y de la informaci贸n, es decir la capacidad de una red o de un sistema informaci贸n de resistir, en un nivel determinado de confianza, a acontecimientos accidentales o acciones il铆citas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos personales conservados o transmitidos, y la seguridad de los servicios conexos ofrecidos por, o accesibles a trav茅s de, estos sistemas y redes, por parte de autoridades p煤blicas, equipos de respuesta a emergencias inform谩ticas (CERT), equipos de respuesta a incidentes de seguridad inform谩tica (CSIRT), proveedores de redes y servicios de comunicaciones electr贸nicas y proveedores de tecnolog铆as y servicios de seguridad. En lo anterior cabr铆a incluir, por ejemplo, impedir el acceso no autorizado a las redes de comunicaciones electr贸nicas y la distribuci贸n malintencionada de c贸digos, y frenar ataques de 芦denegaci贸n de servicio禄 y da帽os a los sistemas inform谩ticos y de comunicaciones electr贸nicas.

(50) El tratamiento de datos personales con fines distintos de aquellos para los que hayan sido recogidos inicialmente solo debe permitirse cuando sea compatible con los fines de su recogida inicial. En tal caso, no se requiere una base jur铆dica aparte, distinta de la que permiti贸 la obtenci贸n de los datos personales. Si el tratamiento es necesario para el cumplimiento de una misi贸n realizada en inter茅s p煤blico o en el ejercicio de poderes p煤blicos conferidos al responsable del tratamiento, los cometidos y los fines para los cuales se debe considerar compatible y l铆cito el tratamiento ulterior se pueden determinar y especificar de acuerdo con el Derecho de la Uni贸n o de los Estados miembros. Las operaciones de tratamiento ulterior con fines de archivo en inter茅s p煤blico, fines de investigaci贸n cient铆fica e hist贸rica o fines estad铆sticos deben considerarse operaciones de tratamiento l铆citas compatibles. La base jur铆dica establecida en el Derecho de la Uni贸n o de los Estados miembros para el tratamiento de datos personales tambi茅n puede servir de base jur铆dica para el tratamiento ulterior. Con objeto de determinar si el fin del tratamiento ulterior es compatible con el fin de la recogida inicial de los datos personales, el responsable del tratamiento, tras haber cumplido todos los requisitos para la licitud del tratamiento original, debe tener en cuenta, entre otras cosas, cualquier relaci贸n entre estos fines y los fines del tratamiento ulterior previsto, el contexto en el que se recogieron los datos, en particular las expectativas razonables del interesado basadas en su relaci贸n con el responsable en cuanto a su uso posterior, la naturaleza de los datos personales, las consecuencias para los interesados del tratamiento ulterior previsto y la existencia de garant铆as adecuadas tanto en la operaci贸n de tratamiento original como en la operaci贸n de tratamiento ulterior prevista.

Si el interesado dio su consentimiento o el tratamiento se basa en el Derecho de la Uni贸n o de los Estados miembros que constituye una medida necesaria y proporcionada en una sociedad democr谩tica para salvaguardar, en particular, objetivos importantes de inter茅s p煤blico general, el responsable debe estar facultado para el tratamiento ulterior de los datos personales, con independencia de la compatibilidad de los fines. En todo caso, se debe garantizar la aplicaci贸n de los principios establecidos por el presente Reglamento y, en particular, la informaci贸n del interesado sobre esos otros fines y sobre sus derechos, incluido el derecho de oposici贸n. La indicaci贸n de posibles actos delictivos o amenazas para la seguridad p煤blica por parte del responsable del tratamiento y la transmisi贸n a la autoridad competente de los datos respecto de casos individuales o casos diversos relacionados con un mismo acto delictivo o amenaza para la seguridad p煤blica debe considerarse que es en inter茅s leg铆timo del responsable. Con todo, debe prohibirse esa transmisi贸n en inter茅s leg铆timo del responsable o el tratamiento ulterior de datos personales si el tratamiento no es compatible con una obligaci贸n de secreto legal, profesional o vinculante por otro concepto.

(155) El Derecho de los Estados miembros o los convenios colectivos, incluidos los 芦convenios de empresa禄, pueden establecer normas espec铆ficas relativas al tratamiento de datos personales de los trabajadores en el 谩mbito laboral, en particular en relaci贸n con las condiciones en las que los datos personales en el contexto laboral pueden ser objeto de tratamiento sobre la base del consentimiento del trabajador, los fines de la contrataci贸n, la ejecuci贸n del contrato laboral, incluido el cumplimiento de las obligaciones establecidas por la ley o por convenio colectivo, la gesti贸n, planificaci贸n y organizaci贸n del trabajo, la igualdad y seguridad en el lugar de trabajo, la salud y seguridad en el trabajo, as铆 como a los fines del ejercicio y disfrute, sea individual o colectivo, de derechos y prestaciones relacionados con el empleo y a efectos de la rescisi贸n de la relaci贸n laboral.

Riktlinjer & Case Law Relaterade texter L盲mna en kommentar
[js-disqus]