Una guía práctica de GDPR Bases Legales Explicadas
TL;DR — Respuesta rápida
5 min de lecturaGDPR El artículo 6 establece seis bases jurídicas: consentimiento, contrato, obligación legal, intereses vitales, tarea pública e intereses legítimos. Elija la base que realmente se ajuste al propósito antes de que comience el procesamiento.
Esta guía explica GDPR Bases Legales Explicadas de forma práctica, con un enfoque en decisiones de analítica respetuosas con la privacidad.
Según GDPR, el procesamiento de datos personales es legal solo si se aplica al menos una base legal. Las seis bases jurídicas se enumeran en GDPR Artículo 6: consentimiento, contrato, obligación legal, intereses vitales, tarea pública e intereses legítimos.
Elegir una base jurídica no es un ejercicio de papeleo. Afecta la redacción de transparencia, los derechos de los usuarios, las opciones de retiro, los derechos de objeción y si el procesamiento es defendible en absoluto.
1. Consentimiento
El consentimiento se aplica cuando una persona da libremente una indicación de acuerdo específica, informada e inequívoca. Debe ser tan fácil retirar como dar. Las casillas marcadas previamente, el silencio, la inactividad y el consentimiento agrupado no funcionan.
Utilice el consentimiento cuando las personas tengan una opción real, como correos electrónicos de marketing opcionales o cookies no esenciales. No utilice el consentimiento cuando la persona no tenga una alternativa práctica, como cuando se le pide a un empleado que dé su consentimiento para el procesamiento central de recursos humanos.
Para las cookies y el seguimiento, recuerde que es posible que se requiera el consentimiento de ePrivacy incluso antes del análisis de la base legal de GDPR. Si las cookies analíticas son opcionales, generalmente necesitan consentimiento previo en Europa, a menos que se aplique una exención limitada.
2. Contrato
El contrato se aplica cuando el procesamiento es necesario para ejecutar un contrato con la persona o para tomar las medidas solicitadas antes de celebrar un contrato.
Ejemplos:
- Procesar una dirección de envío para entregar un pedido.
- Crear una cuenta para que un usuario pueda acceder a un servicio pago.
- Procesamiento de detalles de pago de una suscripción.
No cubre el procesamiento que sea meramente útil para el negocio. La publicidad comportamental no es necesaria para entregar una cuenta SaaS. La analítica de productos puede respaldar el servicio, pero normalmente necesita una evaluación aparte.
3. Obligación legal
La obligación legal se aplica cuando la UE o la ley de un Estado miembro requiere el procesamiento. Los ejemplos incluyen registros fiscales, obligaciones legales laborales, retención contable, evaluación de sanciones en algunos contextos o respuesta a solicitudes regulatorias legales.
La obligación debe surgir de la ley, no de un contrato o política interna. Si un contrato de proveedor establece que usted debe recopilar ciertos datos de marketing, eso no es una obligación legal GDPR.
4. Intereses vitales
Los intereses vitales se aplican cuando el procesamiento es necesario para proteger la vida de alguien. Es estrecho y poco común en las operaciones comerciales normales.
Los ejemplos podrían incluir información médica de emergencia o respuesta a crisis. Por lo general, no es relevante para el análisis de sitios web, el marketing o la incorporación de SaaS.
5. Tarea pública
La tarea pública se aplica cuando el procesamiento es necesario para una tarea realizada en interés público o bajo autoridad oficial. Es utilizado principalmente por organismos públicos u organizaciones privadas que ejercen funciones oficiales conforme a la ley.
La mayoría de las empresas privadas no pueden utilizar la tarea pública para el procesamiento comercial de rutina.
Flowsery
Prueba gratuita
Panel en tiempo real
Seguimiento de objetivos
Rastreo sin cookies
6. Intereses legítimos
Los intereses legítimos pueden aplicarse cuando el responsable del tratamiento o un tercero tiene un interés legítimo, el tratamiento es necesario para ese interés y los derechos y libertades de la persona no lo anulan.
Esto requiere una prueba de equilibrio. Una evaluación típica de intereses legítimos pregunta:
- ¿Cuál es el interés legítimo?
- ¿Es necesario el tratamiento para ese interés?
- ¿Cuál es el impacto en los individuos?
- ¿Qué salvaguardias reducen ese impacto?
- ¿Puede la gente esperar razonablemente este procesamiento?
- ¿Pueden objetar fácilmente?
Los ejemplos potenciales incluyen prevención de fraude, seguridad de red, prospección básica B2B o análisis propios limitados en algunos contextos. Pero los intereses legítimos no son una frase mágica para el seguimiento. La publicidad entre sitios, la elaboración de perfiles invasivos, las inferencias sensibles y el intercambio inesperado de datos son mucho más difíciles de justificar.
Bases Legales y Derechos Individuales
La base legal cambia los derechos disponibles:
| Base jurídica | Consecuencia práctica |
|---|---|
| Consentimiento | El usuario puede retirar el consentimiento |
| Contrato | El procesamiento debe ser necesario para el contrato |
| Obligación legal | La eliminación puede estar limitada por las leyes de retención |
| Intereses vitales | Uso restringido de emergencia |
| Tarea pública | Pueden aplicarse derechos de oposición |
| Intereses legítimos | El usuario tiene derecho a oponerse |
Debe informar a las personas la base legal en su aviso de privacidad.
Ejemplos de análisis
Google Analytics basado en cookies
Una configuración web típica de GA4 utiliza cookies para distinguir usuarios y sesiones, como explica Google en su documentación de cookies GA4. En Europa, esto suele generar preguntas sobre el consentimiento ePrivacy antes de que se establezca la cookie análisis. La base legal GDPR depende entonces del diseño del procesamiento, los términos del proveedor, las transferencias y si las funciones publicitarias están habilitadas.
Análisis agregado sin cookies
Una herramienta sin cookies que evita identificadores, almacenamiento IP, huellas dactilares, reutilización de publicidad y cargas útiles de eventos personales puede reducir o evitar el procesamiento de datos personales según la implementación. Incluso entonces, la organización debe documentar el propósito, las categorías de datos, la retención y la función del proveedor.
Análisis de productos dentro de una cuenta
La analítica de productos autenticados a menudo procesa datos personales a nivel de cuenta. El contrato puede cubrir eventos necesarios para proporcionar el servicio, mientras que los intereses legítimos pueden cubrir la seguridad o la mejora del producto. Los usos sensibles u opcionales pueden necesitar consentimiento o una base diferente.
Errores comunes
- Elegir el consentimiento porque parece más seguro y luego inutilizar el servicio si se rechaza el consentimiento.
- Utilizar contrato para tratamientos que sólo tengan utilidad para marketing.
- Utilizar intereses legítimos sin una prueba de ponderación.
- Olvidar las reglas ePrivacy para cookies y almacenamiento en el dispositivo.
- Cambiar propósitos posteriormente sin reevaluar la compatibilidad.
- No actualizar el aviso de privacidad cuando cambian las herramientas.
La base jurídica adecuada es aquella que se adapta honestamente al tratamiento. Si ninguna base encaja, la respuesta no es una redacción creativa. La respuesta es detener o rediseñar el procesamiento.
Documentar la elección
Para cada propósito de procesamiento, registre la base elegida y una oración que explique por qué encaja. Esto es especialmente importante para las funciones de análisis, marketing e inteligencia artificial, donde los equipos a menudo heredan suposiciones de herramientas antiguas. Un registro breve es más fácil de mantener que una nota larga que nadie actualiza.
Lista de verificación de registros de base legal
Para cada propósito analítico, escriba la base legal y por qué encaja: la medición de la audiencia del sitio web público, los píxeles de marketing, la telemetría de productos, la prevención del fraude, el análisis de cuentas y los diagnósticos de soporte pueden necesitar cada uno un análisis diferente. No reutilice una base para toda la pila.
Verifique también las reglas ePrivacy antes de ejecutar las etiquetas. Incluso cuando los intereses legítimos de GDPR puedan ser discutibles para análisis limitados, almacenamiento del dispositivo, cookies, píxeles, SDK o acceso similar, es posible que aún se requiera consentimiento a menos que se aplique una exención limitada en la jurisdicción correspondiente.
¿Te resultó útil este artículo?
¡Cuéntanos qué opinas!
Antes de irte...
Flowsery
Analítica orientada a ingresos para tu sitio web
Rastrea cada visitante, fuente y conversión en tiempo real. Simple, potente y totalmente conforme con el RGPD.
Panel en tiempo real
Seguimiento de objetivos
Rastreo sin cookies
Artículos relacionados
Una guía práctica de consentimiento para el rastreo
Aprende cómo consentimiento para el rastreo afecta a la analítica respetuosa con la privacidad, la calidad de medición y las decisiones prácticas del sitio web.
Una guía práctica de 7 principios del RGPD
Aprende cómo 7 principios del RGPD afecta a la analítica respetuosa con la privacidad, la calidad de medición y las decisiones prácticas del sitio web.
Una guía práctica de acuerdo de tratamiento de datos
Aprende cómo acuerdo de tratamiento de datos afecta a la analítica respetuosa con la privacidad, la calidad de medición y las decisiones prácticas del sitio web.