4 min
Posted by media on 29/03/18 9:00
A unos meses de la aplicación efectiva del Reglamento General de Protección de Datos 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (GDPR), empresas, autónomos e instituciones públicas deben adaptarse a sus principios y requisitos legales, lo que supone un verdadero reto.
En el siguiente post abordamos los distintos supuestos que reconoce el Reglamento en los que basar la licitud del tratamiento de los datos personales.
Este post también está disponible en inglés.
|
ÍNDICE |
|
ÍNDICE |
La licitud o legitimidad en el tratamiento de datos se encuentra regulado en el artículo 6 del RGPD donde se señalan hasta seis bases distintas para el procesamiento de datos:
Como vemos, el consentimiento es una de ellas, pero no la única.
“Para que el tratamiento sea lícito, los datos personales deben ser tratados
con el consentimiento del interesado o sobre alguna otra base legítima
establecida conforme a Derecho.”
Considerando 40 RGPD
1. Bajo el consentimiento inequívoco del individuo
Para procesar información personal de los residentes en la Unión Europea una de las maneras lícitas bajo el RGPD, es obteniendo el consentimiento del interesado y son las características de este consentimiento una de las principales novedades que presenta el Reglamento.
El consentimiento que establece la norma en su artículo 4.11, debe consistir en una manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.
Se exige así expresamente una acción positiva que no deje lugar a ninguna duda sobre la voluntad del interesado. Desaparece así la posibilidad de utilizar la vía del consentimiento tácito para el tratamiento de los datos de carácter personal. El considerando 32 de la referida norma, afirma de forma clara: “Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento.”
La problemática principal que plantea esta novedad jurídica es precisamente que aquellos consentimientos obtenidos de forma irregular deberán recabarse nuevamente. Es decir, que si obtuvimos consentimiento hace años usando una casilla premarcada, ahora ya no es válido.
Además aclarar, que si queremos tratar datos relativos a salud o datos relativos a sujetos menores de edad va a ser imprescindible recabar expresamente el consentimiento explícito.
Pero el consentimiento no es el única forma lícita, como hemos comentado y veremos a continuación, para tratar datos personales de forma lícita.
2. Necesidad contractual
Cuando el tratamiento se refiera a las partes de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento
Por ejemplo, el tratamiento de datos de nombre, apellidos y fotografía de un trabajador para la tarjeta identificativa de la empresa según establece la Agencia Española de Protección de Datos en su guía de información al ciudadano.
Cuando el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento siempre y cuando no prevalezcan los intereses o los derechos y libertades del interesado, teniendo en cuenta las expectativas razonables de los interesados basadas en su relación con el responsable (considerando 47).
Por tanto, si bien el responsable puede realizar un tratamiento de datos sin recabar el consentimiento en virtud del interés legítimo, el interesado también podrá hacer prevalecer sus derechos y libertades a través del ejercicio del derecho de oposición.
Podemos apreciar que entre las situaciones que permiten el tratamiento lícito, la satisfacción del interés legítimo es la excepción que mayor indeterminación suscita, ya que podría recurrirse a la misma como cajón de sastre.
Es por esta razón, por la que el RGPD establece ejemplos de cuándo podríamos encontramos ante un interés legítimo por parte del responsable: prevención del fraude, transmisiones de datos dentro del grupo empresarial, y las transmisiones de datos para garantizar la seguridad de las redes.
Otro ejemplo sería el uso de las denominadas “cámaras onboard” en vehículos con la finalidad de obtener imágenes en caso de accidente para litigios judiciales.
4. Por interés vital del individuo
Que el tratamiento sea necesario para proteger intereses vitales del interesado o de otra persona física. El considerando 46 establece como ejemplos de intereses vitales y de interés público, aquellos relativos al tratamiento necesario para fines humanitarios (el control de epidemias por ejemplo) y situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano.
5. Por interés público
Que el tratamiento sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
Por ejemplo, la recogida por los centros escolares públicos del certificado negativo del Registro Central de delincuentes sexuales, exigido para todos aquellos que trabajen con menores.
A este respecto, el RGPD establece que, tanto para el cumplimiento de intereses públicos como obligaciones legales, los Estados miembros podrán mantener o introducir disposiciones más específicas a fin de adaptar la aplicación de las normas del RGPD.
6. En cumplimiento de obligaciones legales
Tampoco será necesario el consentimiento para tratar tus datos personales cuando sea necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento que ha recabado tus datos.
Por ejemplo, una de las obligaciones legales que deben cumplir los prestadores de servicios electrónicos de confianza como Signaturit sería conservar durante un periodo de 5 años, los datos y documentos en cumplimiento del artículo 25 de la Ley 34/2002 de servicios de la sociedad de la información y de comercio electrónico.
Conclusión
Las empresas, autónomos e instituciones que procesen datos personales deben apoyarse en una de estas seis bases para legitimar su tratamiento. La identificación de la base aplicable a cada actividad de procesamiento de datos personales es una labor fundamental de la adaptación al nuevo RGPD.
En definitiva, el nuevo Reglamento viene a delimitar con claridad estos 6 casos en los que el tratamiento de datos personales tienen legitimidad, lo que debe llevar a los responsables en cualquier caso a comprobar si lo realizan de forma adecuada o deben reajustar sus procesos por no ajustarse a las condiciones del futuro Reglamento.
Este post también está disponible en inglés.
