RGPD Artículo 6 describe los principios legales básicos que prohíben todo procesamiento de datos personales a menos que se base en estipulaciones legales específicas.
Legalidad del procesamiento
- El procesamiento será lícito sólo si y en la medida en que se aplique al menos uno de los siguientes:
- (a) el interesado ha dado su consentimiento para el procesamiento de sus datos personales para uno o más propósitos específicos;
- (b) el procesamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para tomar medidas a petición del interesado antes de celebrar un contrato;
- (c) el tratamiento es necesario para el cumplimiento de una obligación legal a la que está sujeto el responsable del tratamiento;
- (d) el procesamiento es necesario para proteger los intereses vitales del interesado o de otra persona física;
- e) el tratamiento es necesario para el desempeño de una tarea realizada en interés público o en el ejercicio de poderes oficiales conferidos al responsable del tratamiento;
- (f) el procesamiento es necesario para los fines de los intereses legítimos perseguidos por el controlador o por un tercero, excepto cuando dichos intereses sean anulados por los intereses o los derechos y libertades fundamentales del interesado que requieren protección de datos personales, en particular cuando el interesado sea un niño.
La letra f) del párrafo primero no se aplicará al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.- Los Estados miembros podrán mantener o introducir disposiciones más específicas para adaptar la aplicación de las normas del presente Reglamento en lo que respecta al tratamiento para el cumplimiento del apartado 1, letras c) y e), determinando con mayor precisión requisitos específicos para el tratamiento y otras medidas para garantizar un procesamiento legal y justo, incluso para otras situaciones de procesamiento específicas según lo dispuesto en el Capítulo IX.
- Las bases para el tratamiento a que se refiere el apartado 1, letras c) y e), se establecerán mediante:
- a) Derecho de la Unión; o
- b) La legislación del Estado miembro a la que esté sujeto el responsable del tratamiento.
La finalidad del tratamiento se determinará en dicha base jurídica o, en lo que respecta al tratamiento a que se refiere el apartado 1, letra e), será necesario para el desempeño de una misión realizada en interés público o en el ejercicio de funciones oficiales. autoridad conferida al responsable del tratamiento. Esa base jurídica podrá contener disposiciones específicas para adaptar la aplicación de las normas del presente Reglamento, entre otras: las condiciones generales que rigen la licitud del tratamiento por parte del responsable; los tipos de datos que son objeto de tratamiento; los interesados; las entidades a las que se pueden divulgar los datos personales y los fines para los cuales; la limitación del propósito; períodos de almacenamiento; y operaciones de procesamiento y procedimientos de procesamiento, incluidas medidas para garantizar un procesamiento legal y justo, como aquellos para otras situaciones de procesamiento específicas según lo dispuesto en el Capítulo IX. La legislación de la Unión o de los Estados miembros deberá cumplir un objetivo de interés público y ser proporcionada al fin legítimo perseguido.
- Cuando el tratamiento para una finalidad distinta de aquella para la que se han recopilado los datos personales no se base en el consentimiento del interesado o en una ley de la Unión o de los Estados miembros que constituya una medida necesaria y proporcionada en una sociedad democrática para salvaguardar los objetivos mencionados. En el artículo 23, apartado 1, el responsable del tratamiento, para determinar si el tratamiento para otro fin es compatible con el fin para el que se recogieron inicialmente los datos personales, tendrá en cuenta, entre otras cosas:
- (a) cualquier vínculo entre los fines para los cuales se han recopilado los datos personales y los fines del procesamiento posterior previsto;
- (b) el contexto en el que se han recopilado los datos personales, en particular en lo que respecta a la relación entre los interesados y el responsable del tratamiento;
- c) la naturaleza de los datos personales, en particular si se procesan categorías especiales de datos personales, de conformidad con el artículo 9, o si se procesan datos personales relacionados con condenas e infracciones penales, de conformidad con el artículo 10;
- d) las posibles consecuencias del tratamiento posterior previsto para los interesados;
- e) la existencia de salvaguardias adecuadas, que pueden incluir cifrado o seudonimización.
Legalidad del procesamiento
- El procesamiento será lícito sólo si y en la medida en que se aplique al menos uno de los siguientes:
- (a) el interesado ha dado su consentimiento para el procesamiento de sus datos personales para uno o más propósitos específicos;
- (b) el procesamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para tomar medidas a petición del interesado antes de celebrar un contrato;
- (c) el tratamiento es necesario para el cumplimiento de una obligación legal a la que está sujeto el responsable del tratamiento;
- (d) el procesamiento es necesario para proteger los intereses vitales del interesado o de otra persona física;
- e) el tratamiento es necesario para el desempeño de una tarea realizada en interés público o en el ejercicio de poderes oficiales conferidos al responsable del tratamiento;
- (f) el procesamiento es necesario para los fines de los intereses legítimos perseguidos por el controlador o por un tercero, excepto cuando dichos intereses sean anulados por los intereses o los derechos y libertades fundamentales del interesado que requieren protección de datos personales, en particular cuando el interesado sea un niño.
La letra f) del párrafo primero no se aplicará al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.
Las bases para el tratamiento a que se refieren las letras c) y e) del apartado 1 serán las establecidas por la legislación interna.
La finalidad del tratamiento se determinará en dicha base jurídica o, en lo que respecta al tratamiento a que se refiere el apartado 1, letra e), será necesario para el desempeño de una misión realizada en interés público o en el ejercicio de funciones oficiales. autoridad conferida al responsable del tratamiento. Esa base jurídica podrá contener disposiciones específicas para adaptar la aplicación de las normas del presente Reglamento, entre otras: las condiciones generales que rigen la licitud del tratamiento por parte del responsable; los tipos de datos que son objeto de tratamiento; los interesados; las entidades a las que se pueden divulgar los datos personales y los fines para los cuales; la limitación del propósito; períodos de almacenamiento; y operaciones de procesamiento y procedimientos de procesamiento, incluidas medidas para garantizar un procesamiento legal y justo, como aquellos para otras situaciones de procesamiento específicas según lo dispuesto en el Capítulo IX. El derecho interno deberá cumplir un objetivo de interés público y ser proporcionado al fin legítimo perseguido.- Cuando el procesamiento para un fin distinto de aquel para el cual se han recopilado los datos personales no se base en el consentimiento del interesado o en la legislación nacional que constituye una medida necesaria y proporcionada en una sociedad democrática para salvaguardar [la seguridad nacional, la defensa o cualquiera de] los objetivos mencionados en el artículo 23, apartado 1, el responsable del tratamiento, para determinar si el tratamiento para otro fin es compatible con el fin para el cual se recogieron inicialmente los datos personales, tendrá en cuenta, entre otras cosas:
- (a) cualquier vínculo entre los fines para los cuales se han recopilado los datos personales y los fines del procesamiento posterior previsto;
- (b) el contexto en el que se han recopilado los datos personales, en particular en lo que respecta a la relación entre los interesados y el responsable del tratamiento;
- c) la naturaleza de los datos personales, en particular si se procesan categorías especiales de datos personales, de conformidad con el artículo 9, o si se procesan datos personales relacionados con condenas e infracciones penales, de conformidad con el artículo 10;
- d) las posibles consecuencias del tratamiento posterior previsto para los interesados;
- e) la existencia de salvaguardias adecuadas, que pueden incluir cifrado o seudonimización.
El artículo 6 del RGPD describe siete factores que contribuyen a lo que define como una "base legal para el procesamiento":
En esta sección hablamos de los artículos 6 (1)(a), 6 (1)(b), 6 (1)(c), 6 (1)(d), 6 (1)(e), 6 ( 1)(f), 6 (2), 6 (3), 6 (4)(a), 6 (4)(b), 6 (4)(c), 6 (4)(d) y 6 ( 4)(e)
Dependiendo de la jurisdicción, es posible que las organizaciones tengan que demostrar que sus actividades de procesamiento de PII son legales antes de que comiencen.
Para formar una base legal para el procesamiento de PII, las organizaciones deben:
Para cada punto mencionado anteriormente, las organizaciones deberían poder ofrecer una confirmación documentada.
Las organizaciones también deben considerar cualquier "categoría especial" de PII que se relacione con su organización en su esquema de clasificación de datos (consulte la cláusula 27701 de ISO 7.2.8) (las clasificaciones pueden variar de una región a otra).
Si las organizaciones experimentan algún cambio en sus motivos subyacentes para procesar la PII, esto debe reflejarse inmediatamente en su base legal documentada.
En esta sección hablamos del artículo 6 (4) (e) del RGPD.
Las organizaciones deben destruir por completo cualquier PII que ya no cumpla un propósito o modificarla de manera que impida cualquier forma de identificación principal.
Tan pronto como la organización establezca que no es necesario procesar la PII en ningún momento en el futuro, la información debe ser borrado or desidentificado, según lo dicten las circunstancias.
| Artículo del RGPD | Cláusula ISO 27701 | Cláusulas de apoyo de ISO 27701 |
|---|---|---|
| Artículos 6 (1)(a) a 6 (4)(e) del RGPD UE | ISO 27701 7.2.2 | ISO 27701 7.2.8 |
| Artículo 6 (4)(e) del RGPD UE | ISO 27701 7.4.5 | Ninguna |
La plataforma ISMS.online incluye orientación integrada en cada paso, combinada con nuestro enfoque de implementación 'Adoptar, Adaptar, Agregar', por lo que demostrar su cumplimiento del RGPD es mucho más fácil. También se beneficiará de una gama de potentes funciones que le permitirán ahorrar tiempo.
Al mapear su trabajo a través de múltiples estándares y marcos, nuestra plataforma intuitiva facilita el logro de múltiples objetivos de seguridad de la información y privacidad de los datos.
Si por algún motivo experimenta falta de confianza, capacidad o impulso para tomar medidas durante su camino hacia el RGPD, podemos poner a disposición nuestro equipo de expertos internos o recomendarle a uno de nuestros socios de confianza para impulsar sus esfuerzos.
Descubre más por reservando una breve demostración.
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
