Reglamento General de Protección de Datos (RGPD) : Licitud en el Tratamiento

7. LICITUD EN EL TRATAMIENTO

 

7.1 LEGITIMIDAD EN EL TRATAMIENTO

La licitud o legitimidad en el tratamiento de datos se encuentra regulado en el art. 6 y en los considerandos 41, y 45 a 50.

Artículo 6: Licitud del tratamiento.

  1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
    1. el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
    2. el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
    3. el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
    4. el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
    5. el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
    6. el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.

El RGPD en el art. 6 se regula lo que nuestra normativa establecía como excepciones al consentimiento en el art. 6.2 de la LOPD.  De esta manera, comprobamos como no es necesario el consentimiento cuando el mismo es necesario para:

  • La ejecución de un contrato, o lo que antes se denominaba el mantenimiento de una relación negocial, laboral o administrativa.
  • El cumplimiento de una obligación legal. La cual no necesariamente debe ser un acto legislativo adoptado por un parlamento, pero sí debe ser clara precisa y su aplicación previsible para los destinatarios de conformidad con la Jurisprudencia del Tribunal de Justicia de la Unión Europea (en adelante TJUE) y del Tribual Europeo de Derechos Humanos. (Considerando 41 y 45).
  • El cumplimiento intereses públicos, debiendo garantizarse que el tratamiento debe tener su base y finalidad en derecho de la UE o en el de los Estados Miembro ( 6.3 y considerando 45). A este respecto, el RGPD establece en el apartado 2 del art. 6, que, tanto para el cumplimiento de intereses públicos como obligaciones legales, los Estados miembros podrán mantener o introducir disposiciones más específicas a fin de adaptar la aplicación de las normas del RGPD.
  • Para la protección de intereses vitales del interesado. El considerando 46 establece como ejemplos de intereses vitales y de interés público, aquellos relativos al tratamiento necesario para fines humanitarios (incluido el control de epidemias y su propagación) y situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano.
  • Para la satisfacción de un interés legítimo. Se incorpora de forma similar a como se hacía por la directiva 95/46, y por tanto se establece el equilibrio de intereses entre el interesado y el responsable. De tal manera que existirá un interés legítimo por parte de un responsable de tratamiento, (o incluso de un responsable al que se puedan comunicar datos personales), siempre y cuando no prevalezcan los intereses o los derechos y libertades del interesado, teniendo en cuenta las expectativas razonables de los interesados basadas en su relación con el responsable (considerando 47). Por tanto, si bien el responsable puede realizar un tratamiento de datos sin recabar el consentimiento en virtud del interés legítimo, el interesado también podrá hacer prevalecer sus derechos y libertades a través del ejercicio del derecho de oposición, el cual podrá ser concedido siempre y cuando exista una circunstancia personal que haga prevalecer sus derechos y libertades al derecho del responsable.

Podemos, por tanto, apreciar que de entre las situaciones que permiten el tratamiento lícito de datos sin consentimiento, la satisfacción del interés legítimo es la excepción que mayor indeterminación podrá producir en la aplicación práctica del RGPD, ya que podría recurrirse a la misma como cajón de sastre para la no obtención del consentimiento del interesado en determinadas situaciones en las que el mismo resulta de difícil o imposible obtención. Como hemos visto anteriormente, uno de los mayores cambios que introduce el RGPD con respecto a nuestra normativa de protección de datos es el de la eliminación del consentimiento tácito, siendo por tanto la satisfacción del interés legítimo, un elemento clave para considerar la existencia de un tratamiento de datos sin consentimiento del interesado.

Es por esta razón, por la que el RGPD en sus considerandos 47 a 49 establece ejemplos de cuando podríamos encontramos ante un interés legítimo por parte del responsable, aclarando que siempre habrá que realizar una evaluación meticulosa y aplicar la regla de la expectativa legítima o razonable para la consideración de dicho interés legítimo (dicha regla es establecida por el Grupo de trabajo 29 en Opinión nº 6 de 2014).

Así, en el considerando 47 establece la posibilidad de aplicar el interés legítimo cuando exista una relación pertinente y apropiada entre el interesado y el responsable, como por ejemplo las existentes por éste último con clientes y trabajadores, y además se espere por el interesado de forma razonable que dicho tratamiento tendrá lugar (regla de la expectativa razonable). Como ejemplos hace mención al tratamiento de datos con fines de Martketing Directo, Prevención del Fraude, transmisiones de datos dentro del Grupo Empresarial (considerando 48) y las transmisiones de datos para garantizar la seguridad de las redes (considerando 49).

PREGUNTAS FRECUENTES:

El considerando 47 establece la posibilidad de que el tratamiento de datos se base en el interés legítimo del responsable cuando existe una relación pertinente y apropiada entre interesado y responsable, como por ejemplo en los supuestos en los que el interesado es cliente o está al servicio del responsable. ¿Es posible aplicar este supuesto a los datos personales de proveedores que prestan servicios al responsable

Los considerandos 47 a 49 desarrollan casos en los que podría existir un interés legítimo que permita el tratamiento. Además, ha de tenerse en cuenta que el considerando 47 establece que hay que hacer una evaluación meticulosa y aplicar la regla de la expectativa legítima razonable del informe del grupo de trabajo 29 número 6 del año 2014, por tanto si en la relación con proveedores hay dicha expectativa razonable y una relación pertinente y apropiada, es posible el tratamiento sin recabar dichos consentimientos; pero es preciso hacer hincapié en que no puede constituir una cláusula absoluta para legitimar tratamiento que no pueden ser legitimados por otra vía. También es preciso advertir que, si el interés no se valora correctamente, el responsable se está arriesgando a una fuerte sanción.

7.2 DATOS ESPECIALMENTE PROTEGIDOS

Las categorías especiales de datos se encuentran recogidas en el art. 9 y en los considerandos 51 a 56.

Artículo 9: Tratamiento de categorías especiales de datos personales

  1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física.
  2. El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes:
    1. el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado;
    2. el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado;
    3. el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento;
    4. el tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados;
    5. el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos;
    6. el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;
    7. el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado;
    8. el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado 3;
    9. el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional,
    10. el tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1 (Investigación Científica, estadística), sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.
  3. Los datos personales a que se refiere el apartado 1 podrán tratarse a los fines citados en el apartado 2, letra h) (Medicina preventiva laboral), cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad, de acuerdo con el Derecho de la Unión o de los Estados miembros o con las normas establecidas por los organismos nacionales competentes, o por cualquier otra persona sujeta también a la obligación de secreto de acuerdo con el Derecho de la Unión o de los Estados miembros o de las normas establecidas por los organismos nacionales competentes.
  4. Los Estados miembros podrán mantener o introducir condiciones adicionales, inclusive limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud.

Como vemos el art. 9 mantiene los datos especialmente protegidos por nuestra normativa de protección de datos y añade algunas categorías específicas como el dato genético (antes considerado dato de salud por el RLOPD) el dato biométrico, y la orientación sexual.

De esta manera la categoría de datos especialmente protegidos de nuestra normativa quedaría de la siguiente forma:

  • Ideología = Opiniones políticas.
  • Afiliación Sindical = Afiliación Sindical.
  • Religión = Convicciones religiosas.
  • Creencias = Convicciones filosóficas.
  • Origen racial o étnico = Origen racial o étnico.
  • Salud = Datos relativos a la
  • Origen racial o étnico = Origen racial o étnico.
  • Vida Sexual = Vida Sexual.

Adicionalmente se añade como dato especialmente protegible el Dato Genético, Dato Biométrico, ya comentados anteriormente, y el dato de Orientación sexual.

Como regla general se prohíbe dicho tratamiento salvo que exista un consentimiento explícito por parte del interesado o concurran una serie de circunstancias:

  • Cumplimiento de obligaciones y ejercicios de derechos en el ámbito del Derecho Laboral y de la seguridad y protección social.
  • Protección de Intereses vitales del interesado
  • Tratamiento efectuado en el ámbito de fundaciones o asociaciones cuya finalidad sea política, filosófica, religiosa o sindical.
  • Tratamiento de datos manifiestamente públicos.
  • Tratamientos necesarios para la formulación, ejercicio o defensa de reclamaciones, o tratamientos efectuados por tribunales en el ejercicio de su función judicial.
  • Por razón de interés público en el ámbito de la salud pública.
  • Es necesario con fines de archivo e interés público, fines de investigación científica o histórica o fines estadísticos.

Además, se deja en manos de los Estados miembros la posibilidad de establecer reglas adicionales, o incluso limitaciones, respecto de dichas circunstancias que permiten realizar el tratamiento de datos sensibles.

 

7.3 REFERENCIA ESPECIALES EN LA LICITUD DEL TRATAMIENTO

 

7.3.1 LOS MENORES.

A través del art. 8 y el considerando 38 del RGPD se realiza una especial referencia al tratamiento de datos de niños o menores.

Artículo 8: Condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la información.

  1. Cuando se aplique el artículo 6, apartado 1, letra a) (Consentimiento), en relación con la oferta directa a niños de servicios de la sociedad de la información, el tratamiento de los datos personales de un niño se considerará lícito cuando tenga como mínimo 16 años. Si el niño es menor de 16 años, tal tratamiento únicamente se considerará lícito si el consentimiento lo dio o autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se dio o autorizó.

Los Estados miembros podrán establecer por ley una edad inferior a tales fines, siempre que esta no sea inferior a 13 años.

  1. El responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible.
  2. El apartado 1 no afectará a las disposiciones generales del Derecho contractual de los Estados miembros, como las normas relativas a la validez, formación o efectos de los contratos en relación con un niño.

Se considera, por tanto, un consentimiento válido aquel otorgado partir de los 16 años. De tal manera que si el niño es menor de 16 años el tratamiento únicamente será lícito si es autorizado por el titular de la patria potestad o tutela sobre al niño. No obstante, lo anterior, se estable por el art. 8.1 que los Estados Miembros podrán establecer por ley una edad inferior que en todo caso no podrá sobrepasar el límite de los 13 años.

Adicionalmente, el art. 6.2 establece de forma similar a como lo hacía nuestra normativa de protección de datos, que el responsable deberá realizar esfuerzos razonables para verificar que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el menor teniendo en cuenta la tecnología disponible.

PREGUNTAS FRECUENTES:

En relación a la edad para prestar consentimiento el Reglamento establece en el art. 8 que se limita la edad a 16 años, si bien únicamente referido a los servicios de la sociedad de información. ¿Implica ello, que fuera de ese supuesto desaparece la capacidad del mayor de 14 años para prestar su consentimiento en el tratamiento de sus datos de carácter personal?

El art. 8.2 se establece que los Estados miembros podrán establecer por ley una edad inferior con el límite de los 13 años, por tanto, todo apunta a que en España se mantendrán los 14 años establecidos por nuestra normativa de protección de datos como edad para prestar el consentimiento en materia de menores.

 

7.3.2 LAS CREDENCIALES DE ACCESO

El tratamiento de datos que no requiere identificación viene regulado en el art.11 y el considerando 57.

Artículo 11: Tratamiento que no requiere identificación

  1. Si los fines para los cuales un responsable trata datos personales no requieren o ya no requieren la identificación de un interesado por el responsable, este no estará obligado a mantener, obtener o tratar información adicional con vistas a identificar al interesado con la única finalidad de cumplir el presente Reglamento.
  2. Cuando, en los casos a que se refiere el apartado 1 del presente artículo, el responsable sea capaz de demostrar que no está en condiciones de identificar al interesado, le informará en consecuencia, de ser posible. En tales casos no se aplicarán los artículos 15 a 20, (Derechos del interesado) excepto cuando el interesado, a efectos del ejercicio de sus derechos en virtud de dichos artículos, facilite información adicional que permita su identificación.

El RGPD señala específicamente que pueden existir supuestos en los que los datos personales no permiten identificar a una persona física y que, por tanto, en estos casos no estaría obligado el responsable a obtener información adicional para la identificación del interesado con la única finalidad de cumplir con el RGPD. Pese a no ser una obligación la de identificación del interesado en dichos supuestos, sí estaría obligado a aceptar recibir información adicional que permita la identificación del interesado, si este último quiere ejercitar alguno de los derechos comprendidos en el RGPD entre los art. 15 a 20.

PREGUNTAS FRECUENTES:
El tratamiento de datos  que no me permiten identificar a la persona física, ¿no quedaría fuera del concepto de dato personal? ¿qué obligaciones de identificación recaen sobre el responsable de estos tratamientos? (véanse unas credenciales de acceso sin información adicional).

Los tratamientos de datos que no requieren identificación suelen ser supuestos muy usuales en los que el responsable únicamente conoce del interesado las credenciales de acceso a la plataforma o a la propia web. En estos casos es posible limitar el acceso a la web a través del sistema de usuario y contraseña, no existiendo método alguno para identificar a la persona que está detrás de esas credenciales (por tanto, toda la estadística o comportamiento en la web no puede ser atribuible a una persona física identificable). El RGPD establece a través del art. 11 que el responsable no está obligado a mantener, obtener o tratar información adicional con vistas a identificar al interesado con la única finalidad de cumplir el presente Reglamento, es decir, no hay un tratamiento de datos como tal debido a que la persona no es identificable.

Sin embargo, si el interesado desea ejercitar sus derechos a que no se traten sus datos y, por tanto, facilita datos de identificación para ejercitar tales derechos, el responsable sí vendría obligado desde ese momento dada la identificación del interesado que provoca que el responsable ya pueda vincular los datos de las credenciales navegación a una determinada persona física identificable.

7.3.3    TRATAMIENTO DE CONDENAS E INFRACCIONES PENALES

Por último, el tratamiento de datos respecto a las condenas e infracciones penales viene regulado en el art.10 del RGPD.

Artículo 10: Tratamiento de datos personales relativos a condenas e infracciones penales

El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas sobre la base del artículo 6, apartado 1 (Licitud en el tratamiento), sólo podrá llevarse a cabo bajo la supervisión de las autoridades públicas o cuando lo autorice el Derecho de la Unión o de los Estados miembros que establezca garantías adecuadas para los derechos y libertades de los interesados. Solo podrá llevarse un registro completo de condenas penales bajo el control de las autoridades públicas.

Conforme al art. 10 los tratamientos de datos relativos a condenas e infracciones penales sólo podrán llevarse a cabo bajo supervisión de Autoridad Pública o cuando se autorice por el Derecho de la UE o el Estado miembro.

 

 

CONCLUSIONES

  • Para que exista interés legítimo es necesario realizar una evaluación meticulosa de dicho interés y que exista una expectativa razonable de dicho tratamiento por parte del interesado (como por ejemplo los relativos a tratamientos para la prevención del fraude, marketing directo, transmisión de datos en un Grupo Empresarial, seguridad en redes informáticas etc.)
  • Se introducen nuevas categorías de datos sensibles como los datos biométricos, los datos genéticos y la orientación sexual.
  • Para el tratamiento de datos sensibles es necesario el consentimiento explícito, o encontrarse entre una de las circunstancias establecidas por el art.9 (obligaciones de derecho laboral, interés vital, fundación o asociaciones políticas o religiosas, datos manifiestamente públicos, defensa de reclamaciones e interés público)
  • El límite para el tratamiento de datos de los menores de edad se establece en los 16 años, pudiendo los Estados miembros bajar el mismo hasta el límite de los 13 años.

Comments are closed.