A obrigação legal é aplicável como base legal quando é necessário processar dados pessoais para cumprimento da lei ou de uma obrigação legal. Neste caso, deve haver uma disposição legal específica ou uma fonte apropriada de aconselhamento ou orientação que estabeleça claramente a obrigação.
Tal não se aplica às obrigações contratuais e não se aplica quando é razoavelmente possível alcançar o mesmo objetivo sem processar dados pessoais.
Como sempre, a ação deve ser documentada para justificar o porquê e como os dados pessoais foram recolhidos e processados.
Quando se aplica?
Esta base legal é aplicada quando uma organização é obrigada a processar os dados pessoais para cumprimento da lei.
É necessário ter em consideração de que a Razão 41 confirma que esta não tem de ser uma obrigação estatutária explícita, desde que a aplicação da lei seja de aplicação previsível. Por esta razão, inclui obrigações claras de direito comum.
De forma simples, é aplicada sempre que um estado membro ou a legislação da UE assim o obrigar, porque o objetivo geral é cumprir uma obrigação legal que tenha uma base suficientemente clara no direito comum ou no estatuto.
Obviamente, exige a identificação da obrigação em questão, seja por referência à disposição legal específica, seja por indicação de uma fonte adequada de orientação ou conselho que a defina claramente. Por exemplo, pode referir um site do governo ou uma orientação geral da indústria ou setor que explique as obrigações legais aplicáveis.
Necessita de ajuda com o RGPD?
Contacte-nos para saber as soluções RGPD que temos disponíveis.