Licitud del tratamiento


La normativa actual en materia de protección de datos: Reglamento (UE) 2016/679 del parlamento europeo y del consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) y la ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), recogen en su Capítulo II y en el Título II respectivamente, los Principios de protección de datos entre los cuales se halla la licitud del tratamiento.

El RGPD, mantiene el principio de que todo tratamiento de datos debe estar sostenido por una base legitimadora, contenidas en el articulo 6.1 del RGPD que recordemos son:

  • Consentimiento del interesado
  • Ejecución de un contrato o aplicación de medidas precontractuales a petición del interesado
  • Cumplimiento de una obligación legal por parte del responsable del tratamiento
  • Protección de intereses vitales
  • Cumplimiento de una misión realizada en interés público o en ejercicio de poderes  públicos conferido al responsable del tratamiento
  • Satisfacción de intereses legítimos perseguidos por el responsable del tratamiento siempre que éstos no prevalezcan a los intereses o derechos y libertades del interesado

Consentimiento

El consentimiento, recoge el RGPD en su artículo 4, es toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.

El ejemplo claro de solicitud de consentimiento son las casillas que cualquier web nos pide marcar para validar o no si aceptamos que nos envíen emails comerciales.

Recordemos que el consentimiento se da para una finalidad concreta y que en el caso que existan una pluralidad de finalidades será preciso que consten de manera específica para que el consentimiento que damos se otorgue para todas esas finalidades. 

Ejecución de un contrato

El tratamiento de datos basado en la ejecución de un contrato viene dado por la necesidad y legitimidad del uso de datos relativos al cumplimiento de la finalidad objeto del contrato que une a ambas partes.
Hay que remarcar que el tratamiento de datos para finalidades del tratamiento que salgan de dicha ejecución contractual deberá ser consentido.

Por ejemplo, la realización de las nóminas de los trabajadores viene legitimada por la ejecución del contrato laboral que une a ambas partes. 

Obligación legal

Se dará cuando sea necesario el tratamiento de los datos personales para el cumplimiento de una obligación legal aplicable al responsable del tratamiento que ha recabado los datos, como por ejemplo la obligación de conservación de los datos por obligación de mantener los contratos laborales durante 5 años en base a la Ley sobre Infracciones y Sanciones en el Orden Social.

Protección intereses vitales

Cuando el tratamiento sea necesario para proteger intereses vitales del interesado o de otra persona física. El considerando 46 del RGPD establece como ejemplos el tratamiento necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano.

En el día a día más cercano, dicha legitimidad la encontraríamos en que un médico tenga que tratarnos en urgencias y pueda acceder a nuestros datos e historial clínico por un interés vital, ya que si el interesado está inconsciente el médico no dejará de tratarlo en base a la protección de los intereses vitales

Interés público o ejercicio de poderes públicos

El tratamiento de los datos es necesario en cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

Un ejemplo sería la petición por parte de centros educativos del Certificado negativo del Registro central de delincuentes sexuales, para todos aquellos que trabajen con menores.

Interés legítimo

El considerando 47 del RGPD nos dice que el interés legítimo de un responsable del tratamiento o de un tercero, puede constituir una base jurídica para el tratamiento, siempre que no prevalezcan los intereses o los derechos y libertades del interesado. La existencia de un interés legítimo requiere una evaluación meticulosa, inclusive si un interesado puede prever de forma razonable, en el momento y en el contexto de la recogida de datos personales, que pueda producirse el tratamiento con tal fin. En particular, los intereses y los derechos fundamentales del interesado podrían prevalecer sobre los intereses del responsable del tratamiento cuando se proceda al tratamiento de los datos personales en circunstancias en las que el interesado no espere razonablemente que se realice un tratamiento ulterior.

El ejemplo más claro es la videovigilancia de trabajadores, ya que sirve para preservar la seguridad de las personas y bienes, así como de las instalaciones.

Es decir, la ponderación o evaluación del equilibrio entre el interés legítimo del empresario para proteger su empresa, como responsable del tratamiento, requiere que:

  1. La finalidad del tratamiento sea legítima,
  2. el tratamiento de los datos personales sea proporcional a la finalidad para la que se tratan los datos personales y
  3. el interesado tiene derecho a oponerse al tratamiento por razones legítimas.

¿Las fuentes accesibles al público son base legitimadora del tratamiento?

Como se hace patente con las bases legitimadoras recogidas por el RGPD, la fuente accesible al público a día de hoy no es un concepto legal como el que existía en la LOPD, ni tampoco podemos decir que el hecho de que los datos aparezcan en este tipo de fuentes legitime sin más el tratamiento.

El RGPD sólo habla de fuentes de acceso al público al regular el derecho a la información en el caso de que los datos no se hayan recogido del interesado.

El hecho de que un dato sea accesible por cualquiera puede ser tenido en cuenta a la hora de realizar la ponderación del artículo 6.1 f) (satisfacción del interés legítimo siempre que no prevalezcan los derechos y libertades del interesado), pero no implica que necesariamente el tratamiento vaya a ser lícito ya que se deben respetar los restantes principios del RGPD. 

La Sentencia del Tribunal de Justicia de la Unión Europea de 4 de mayo de 2017 en el asunto C-13/16, recoge, recordando los requisitos acumulativos que marcaba el articulo 7 f) de la Directiva 95/46 que para que el tratamiento de datos personales resulte legítimo: primero que el responsable o tercero a quien se comunique los datos persigan un interés legítimo; segundo, que el tratamiento sea necesario para la satisfacción de un interés legítimo; tercero que no prevalezcan los derechos y libertades del interesado. 

El RGPD requiere que para la existencia de interés legítimo haya una ponderación para poder prevalecer el interés legítimo del responsable sobre los intereses, derechos y libertades del interesado.

Con el RGPD se protege más el hecho de que para usar el interés legítimo no se tienen que ver afectados los intereses, derechos y libertades del interesado.

Si necesitas más información sobre la licitud del tratamiento, no dudes en ponerte en contacto con nosotros, te informaremos sin ningún tipo de compromiso.