Si está realizando una evaluación de la base legal, primero debe establecer que el procesamiento es necesario. Esto significa que el procesamiento debe ser una forma específica y apropiada de lograr el propósito establecido. No puede confiar en una base legal si puede lograr razonablemente el mismo propósito por algún otro medio.
Recuerde que se puede aplicar más de una base, y debe confiar en lo que mejor se adapte al propósito, no en lo que sea más fácil.
Considere los siguientes factores y documente sus respuestas:
• ¿Cuál es la finalidad del tratamiento de los datos?
• ¿Se puede razonablemente hacerlo de otra manera?
• ¿Existe la opción de procesar o no los datos?
• ¿A quién beneficia el procesamiento?
• Después de seleccionar la base legal, ¿es la misma que la base legal que esperaría el interesado?
• ¿Cuál es el impacto del procesamiento en el individuo?
• ¿Está en una posición de poder sobre ellos?
• ¿Es una persona vulnerable?
• ¿Es probable que se opongan al procesamiento?
• ¿Puede detener el procesamiento en cualquier momento cuando lo solicite y ha tenido en cuenta cómo hacerlo?
Nuestro compromiso con el primer Principio requiere que documentemos este proceso y demostremos que hemos considerado qué base legal se aplica mejor a cada propósito de procesamiento y que justifiquemos plenamente estas decisiones.
También debemos asegurarnos de que las personas cuyos datos estamos procesando estén informadas de la base legal para procesar sus datos, así como del propósito previsto.
Esto debería ocurrir mediante un aviso de privacidad. Esto se aplica si hemos recopilado los datos directamente de la persona o de otra fuente.
Si usted es responsable de realizar una evaluación de la base legal y de implementar el aviso de privacidad para la actividad de procesamiento, debe contar con la aprobación del DPO.
Categorías especiales de datos personales
¿Cuáles son las categorías especiales de datos personales?
Anteriormente conocido como datos personales sensibles, esto significa datos sobre un individuo que son más sensibles, por lo que requieren más protección. Este tipo de datos podría crear riesgos más importantes para los derechos y libertades fundamentales de una persona, por ejemplo, poniéndola en riesgo de discriminación ilegal.
Las categorías especiales incluyen información sobre las personas:
• raza
• origen étnico
• política
• religión
• afiliación sindical
• genética
• biometría (cuando se utilice con fines de identificación)
• salud
• orientación sexual
En la mayoría de los casos en los que procesamos categorías especiales de datos personales, necesitaremos el consentimiento explícito del interesado para hacerlo, a menos que se apliquen circunstancias excepcionales o la ley nos exija hacerlo (por ejemplo, para cumplir con las obligaciones legales para garantizar la salud y la seguridad en el trabajo). Dicho consentimiento deberá identificar claramente cuáles son los datos relevantes, por qué se están procesando y a quién se divulgarán.
La condición para el procesamiento de categorías especiales de datos personales debe cumplir con la ley. Si no tenemos una base legal para procesar categorías especiales de datos, esa actividad de procesamiento debe cesar.