Documentación e identificación clara de la base legal sobre la que se desarrollan los tratamientos

El RGPD mantiene el principio recogido en la Directiva 95/46 de que todo tratamiento de datos necesita apoyarse en una base que lo legitime. También recoge las mismas bases jurídicas que contenía la Directiva y que reproduce la LOPD

• Consentimiento
• Relación contractual.
• Intereses vitales del interesado o de otras personas.
• Obligación legal para el responsable.
• Interés público o ejercicio de poderes públicos.
• Intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos.

A tener en cuenta para implementar el RGPD en la empresa

Aunque no está expuesto de forma explícita, se deduce de algunos artículos y del principio general de “responsabilidad activa” que se debe documentar e identificar claramente la base legal sobre la que se desarrollan los tratamientos.

Por ejemplo:

• Hay que incluir la base legal sobre la que se desarrolla el tratamiento al proporcionar la información en el momento de recoger los datos de los interesados.
• Hay que especificar y documentar los intereses legítimos en que se fundamentan las operaciones de tratamiento en casos como las Evaluaciones de Impacto sobre la Protección de Datos o en determinadas transferencias internacionales.

La identificación de la base legal es indispensable para estar en condiciones de demostrar que se cumple con las previsiones del RGPD. La identificación y documentación debe adaptarse al tipo de tratamiento y a las características de las organizaciones.