RGPD y bases legales: Comprender todo sobre la obligación legal

En derecho civil, una obligación designa una relación jurídica entre varias personas que están obligadas a hacer o no hacer algo. La llamada obligación legal está establecida por ley.  

En este artículo le explicamos bajo qué condiciones se puede designar una obligación legal como base legal para el tratamiento.  

Así que relájate, te lo explicaremos todo en 5 minutos!?‍♂️

 Las 6 bases jurídicas previstas por el RGPD  

¿El cumplimiento de una obligación legal es una de las 6 bases legales previstas por el RGPD?:  

• Consentimiento,  
• El contrato, artículo de la semana pasada,  
• La obligación legal, artículo de esta semana,  
• La misión de interés público,  
• Salvaguardar intereses vitales,  
• Interés legítimo.  

Como recordatorio, elegir su base legal es obligatorio para que el procesamiento sea legal. Esta elección determina también los derechos que los interesados podrán ejercer para el tratamiento de que se trate. Los derechos que podrán ejercerse no serán los mismos dependiendo de la base elegida.  

Para obtener más información, consulte nuestros artículos anteriores y síguenos en LinkedIn ¿Debemos ser notificados tan pronto como se publiquen nuestros próximos artículos!?‍?

La base jurídica de la “obligación jurídica”: ¿qué es? ?

El responsable del tratamiento podrá elegir esta base jurídica cuando la ejecución del tratamiento sea exigida por la legislación aplicable. En otras palabras, el responsable del tratamiento no tiene otra opción, necesariamente debe realizar el tratamiento para respetar su obligación. Es el texto el que define las finalidades del tratamiento.    

Por ejemplo, el Código del Trabajo exige que el empleador mantenga un registro único de personal. Debe incluir una gran cantidad de datos personales (apellido, nombre, nacionalidad, género, trabajo, cualificación, etc.). El responsable del tratamiento deberá llevar este registro en caso contrario incumple su obligación legal y queda expuesto a sanción penal.  

 ¿En qué condiciones debería elegirse esta base jurídica?  

La obligación legal debe cumplir cuatro características para ser elegida legítimamente como base jurídica.
✅ Ella debe ser:  

• Definido por la legislación europea o la legislación nacional  

La obligación reclamada por el responsable del tratamiento debe estar definida por la legislación nacional o la legislación de la Unión Europea. La obligación puede surgir, por ejemplo, de una ley, un decreto, un reglamento europeo, etc. La ley nacional en la que se basa la obligación es el derecho al que está sujeto el responsable del tratamiento.    

Téngase en cuenta que una cláusula contractual no puede considerarse una obligación legal. En este caso será necesario revisar la base jurídica. A continuación, el responsable del tratamiento elegirá el contrato como base jurídica. Encuentre nuestro artículo sobre el tema haciendo clic aquí.  

•  Imperativo  

El responsable del tratamiento de datos deberá estar sujeto a esta obligación legal. Como se explicó anteriormente, no debe tener más remedio que someterse a esta obligación. De hecho, hay que obligarlo a realizar el tratamiento para cumplir con su obligación. El texto identificado como imponente de la obligación deberá imponer el tratamiento al responsable del tratamiento.  

Por último, la obligación legal debe prever la ejecución del tratamiento. El texto no debe dejar al responsable del tratamiento un margen de apreciación demasiado amplio. Concretamente, el texto debe considerar cómo el responsable del tratamiento debe garantizar el tratamiento para cumplir con su obligación.  

• Claro y preciso  

La obligación legal deberá especificar al menos la finalidad del tratamiento. El tratamiento debe cumplir un objetivo, no una acumulación de objetivos. Lo que entra en juego es el principio de limitación de finalidades. Para conocer las especificidades de este principio, encuentre nuestro artículo sobre el tema.    

• Destinado al responsable del tratamiento, y no a los interesados  

El texto en el que se basa la obligación legal debe indicar claramente que la obligación concierne al responsable del tratamiento de datos. Él debe ser el único que debe cumplir con esta obligación para que se elija la base jurídica. El tratamiento no puede basarse en una obligación legal que estaría destinada a las personas cuyos datos se tratan.    

Por ejemplo, la administración tributaria que procesa las declaraciones de impuestos de los contribuyentes no puede basar este procesamiento en una obligación legal. De hecho, la obligación de declarar impuestos está dirigida a las personas, no a la entidad que procesa las declaraciones. Este procesamiento se basa más bien en la misión de interés público.  

Si no se cumplen estas condiciones, el tratamiento de los datos no puede basarse en una obligación legal y el responsable del tratamiento deberá elegir otra base legal.  

A modo de ejemplo, el 16 de junio de 2020, la Autoridad de Protección de Datos (APD, la autoridad supervisora belga) se pronunció sobre una denuncia presentada por los padres contra una escuela. Para realizar una “encuesta de bienestar” entre los estudiantes, el establecimiento envía un cuestionario a los niños. Este documento contiene datos personales de los niños y permite identificarlos claramente.  

La escuela basa este tratamiento en una obligación legal derivada de un decreto flamenco "relativo a la supervisión de los estudiantes en la educación básica, la educación secundaria y en los centros de supervisión de estudiantes". La supervisión estudiantil aquí incluye:  

• Carrera escolar,    
• Aprendizaje y estudio,    
• Funcionamiento psicológico y social,  
• Atención sanitaria preventiva.  

Los padres de los estudiantes presentan una denuncia, argumentan que se requiere su consentimiento para que la escuela realice este procesamiento de datos. La APD considera que la obligación legal existe, pero no implica que los estudiantes respondan a un cuestionario que permita identificarlos. El decreto establece las finalidades del tratamiento, pero no prevé los datos personales de los estudiantes (menores de 13 años) que deben ser tratados.    

La autoridad de control belga concluye que la escuela actúa más allá de los medios previstos por el texto para cumplir la obligación legal a la que está sujeta. La obligación legal no exige que la escuela realice un cuestionario entre los estudiantes. Por tanto, la base jurídica del tratamiento no puede basarse en una obligación legal. La base legal para este tratamiento es el consentimiento. Esto deberá ser recogido de los tutores legales de los hijos menores.  

 Para obtener más información, consulte la decisión tomada: https://www.autoriteprotectiondonnees.be/publications/decision-quant-au-fond-n-31-2020.pdf  

 ¿Qué consecuencias para los derechos personales? ?

Las personas afectadas por un tratamiento basado en una obligación legal no podrán ejercer su derecho de oposición, ni su derecho a la portabilidad de sus datos. En efecto, al ser imperativa la obligación legal, el responsable del tratamiento no puede acceder a la solicitud de oposición de una persona.    

Para cumplir con sus obligaciones, entre la información que debe comunicar a las personas físicas (ver artículos 13 y 14 del RGPD), advierte a las personas físicas que no podrán ejercer estos derechos en una política de confidencialidad interna y/o externa.  

 Data Comply One (anteriormente Mission RGPD) y las bases legales  

¿Te resulta difícil saber qué base jurídica elegir? ¿No tienes el tiempo que necesitas dedicar a gestionar tu cumplimiento? ¿estas perdido?  

✅ Data Comply One (anteriormente Mission RGPD) le proporciona numerosos modelos de documentos útiles para su cumplimiento. Entre estos documentos se encuentran modelos de políticas de confidencialidad interna y externa. Descárgalos y adáptalos a tu negocio.    

¡Ahorre tiempo con un documento compatible previamente rellenado!  
¡No pierdas más tiempo, es muy sencillo!