27 Jun Legitimidad de bases de datos en RGPD
Recientemente he terminado una auditoria RGPD en un importante grupo de empresas asi como iniciado este tipo de auditorias de protección de datos, en otra empresas nacionales de sectores diversos Consultoria, Fabricación,… con diferentes alcances, incluyendo transferencias internacionales. En este post quisiera subrayar que en todas los usuarios tienen dudas respecto de las razones de tener, legalmente, un contacto e interaccionar con el. Por eso he visto interesante escribir este post con algunos ejemplos reales de este tipo de auditoria. Hablamos entonces del concepto Legitimidad de bases de datos en RGPD.
Legitimidad de bases de datos en RGPD
Razón 1. Bajo el consentimiento inequívoco del individuo
En muchas de las empresas con las que colaboro tienen contactos o potenciales clientes, potenciales trabajadores (CV) y otros que se deben legitimizar para poder gestionarlos en sus sistemas, interaccionar con ellos, etc. El consentimiento inequívoco tiene tres fundamentos, la aceptación explicita por parte del usuario, la razón y objetivo por la cual acepta estar en nuestras bases de datos y en ocasiones, como en el caso de los CV, la duración. (artículo 4.11 RGPD y 32 de la referida norma: “Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento.”
Es decir aquellos consentimientos obtenidos de forma irregular deberán recabarse nuevamente. Es decir, que si obtuvimos consentimiento hace años usando una casilla premarcada, ahora ya no es válido.
Razón 2. Necesidad contractual
Contratos con clientes, proveedores, trabajadores, etc requieren de un mínimo de información para poder llevar a cabo el objetivo contractual entre las partes. Este hecho nos validaría para poder trabajar con esa información pero con un objetivo especifico (facturar, nominas, etc) sin poder usarlo libremente para otros objetivos (por ejemplo subir la foto de un trabajador a la web corporativa sin su aceptación especifica)
Razón 3. Interés legítimo del responsable del tratamiento de datos
Cuando el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento siempre y cuando no prevalezcan los intereses o los derechos y libertades del interesado, teniendo en cuenta las expectativas razonables de los interesados basadas en su relación con el responsable (considerando 47).
Por ejemplo prevención de fraude o requerimiento judicial.
Razón 4. Por interés vital del individuo
Según el 46 del RGPD nos fija intereses por ejemplo humanitarios, control de epdiemias, emergencias, catástrofes naturales, etc. Probablemente esta situación sea de menor alcance en muchas de las empresas que auditamos.
Razón 5. Por interés público
Que el tratamiento sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Temas penales, delitos, etc entrarían en este apartado.
Razón 6. En cumplimiento de obligaciones legales
Entrarian en esta aplicación la duración máxima de los datos en sus bases de datos por imperativo legal, por ejemplo en el caso de clientes con facturación durante un periodo de 5 años, los datos y documentos en cumplimiento del artículo 25 de la Ley 34/2002 de servicios de la sociedad de la información y de comercio electrónico.
Conclusión
En nuestras auditorias trabajamos la evaluación de riesgos, procedimientos aplicables, clausulas especificas, registros de actividad, plan de acción a un año, prioridades, etc para que las empresas puedan finalizar su adaptación al RGPD aplicando los tratamientos que resuelven las NO CONFORMIDADES. Si tiene la necesidad de adaptar el RGPD en su organización o empresa rellene este formulario
Luis Vilanova Blanco. DPD externo. Auditor CISA por ISACA.
606954593