Este artículo forma parte de un Especial GDPR en el que te aclaramos, con preguntas y respuestas, algunos puntos críticos de la implantación de la directiva. Y, si lo necesitas, te ofrecemos una auditoría gratuita de tu negocio sobre esta directiva.
¿Cuándo puedes tratar datos personales?
Únicamente pueden tratarse los datos en las siguientes circunstancias:
- cuando tengan el consentimiento de las personas en cuestión,
- cuando tengan una obligación contractual (un contrato entre ustedes y el cliente),
- para cumplir con una obligación legal (expuesta en la legislación de la Unión Europea o nacional),
- cuando el tratamiento sea necesario para el cumplimiento de una misión realizada en interés público (expuesto en la legislación de la Unión Europea o nacional),
- para proteger los intereses vitales del interesado,
- para satisfacer los intereses legítimos de su organización, pero solo tras haber comprobado que los derechos y libertades fundamentales de la persona cuyos datos estén tratando no se vean significativamente afectados; si los derechos de la persona prevalecen sobre sus intereses, no podrán tratar los datos basándose en el interés legítimo; la evaluación sobre si sus intereses legítimos para el tratamiento prevalecen sobre los de las personas afectadas depende de las circunstancias individuales del caso.
¿No está claro? Aquí tienes algunos ejemplos de cada una de las circustancias:
¿Qué es eso de «consentimiento»?
Ofreces una aplicación musical y pides el consentimiento de los ciudadanos para tratar sus preferencias musicales con el fin de proponerles canciones y conciertos específicos.
¿Qué es eso de «obligación contractual»?
Tu empresa vende productos por internet. Puedes tratar los datos que sean necesarios para tomar medidas a instancia de la persona con anterioridad a la conclusión de un contrato y para la ejecución del mismo. De modo que puedes tratar el nombre, la dirección de entrega, el número de tarjeta de crédito (si se paga con tarjeta), etc.
¿Qué es eso de «obligación legal»?
Tiene una empresa con empleados. A fin de obtener cobertura de la seguridad social, la legislación le obliga a proporcionar datos personales (como los ingresos semanales de tus empleados) a la autoridad pertinente.
¿Qué es eso de «interés público»?
Una asociación profesional, como un colegio de abogados o una cámara de profesionales médicos, investida de autoridad oficial para ello, puede tomar medidas disciplinarias contra alguno de sus miembros.
¿Qué es eso de «intereses vitales de una persona«?
Tu organización es un hospital que trata a un paciente tras un grave accidente de tráfico; no necesitas su consentimiento para buscar su identidad con el fin de saber si esta persona figura en tu base de datos para encontrar su historial médico o para contactar con su familiar más cercano.
¿Qué es eso de «intereses legítimos de su organización«?
Diriges una empresa y para garantizar la seguridad de la red supervisas el uso que hacen los empleados de los dispositivos informáticos. Puedes tratar legítimamente datos personales para este fin, solo si elige el método menos intrusivo en cuanto a los derechos de intimidad y de protección de datos de sus empleados, por ejemplo, limitando la accesibilidad a determinados sitios web. (Cabe destacar que esto no puede hacerse en los países donde la legislación nacional establece normas más estrictas para el tratamiento en el contexto laboral).
Te ayudamos
¿Todavía no has aplicado la GDPR a tu negocio? Aunque has dado los primeros pasos, ¿piensas que todavía necesitas ayuda para implantarlo correctamente? ¿Has tenido una mala experiencia y quieres confirmar que, efectivamente, cumples GDPR? Es importante valorar cada caso individualmente, por eso te ofrecemos una auditoría gratuita (y sin compromiso) en GDPR. Contacta con nosotros por mail o por teléfono.