Licitud del Tratamiento.
(Artículo 6 del RGPD y Artículo 8 de la LO 3/2018).
Bases que legitiman el tratamiento de datos personales.
Todo tratamiento de datos necesita apoyarse en una base que lo legitime. La identificación de esta base legal es indispensable para poder demostrar el cumplimiento de las previsiones del RGPD.
El artículo 6 del RGPD establece que el tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
- El interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos.
- El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales.
- El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento.
- El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física.
- El tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
- El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que no prevalezcan los intereses o los derechos y libertades fundamentales del interesado, en particular cuando este sea un niño.
El artículo 8 de la LO 3/2018 complementa estas bases en el contexto del derecho español.
Cumplimiento de una obligación legal exigible al responsable.
Según el artículo 6.1.c) del RGPD, el tratamiento será lícito si es necesario para el cumplimiento de una obligación legal aplicable al responsable.
El artículo 8 de la LO 3/2018 aclara que esta base solo será válida cuando dicha obligación legal esté prevista en una norma de Derecho de la Unión Europea o en una norma con rango de ley. Esta norma puede:
- Determinar las condiciones generales del tratamiento.
- Establecer los tipos de datos objeto del tratamiento.
- Regular las cesiones de datos que procedan.
- Imponer condiciones especiales como medidas adicionales de seguridad (capítulo IV del RGPD).
Ejemplo:
- La Central de Información de Riesgos del Banco de España (Ley 44/2002).
- Los datos reservados en poder de la Dirección General de Seguros y Fondos de Pensiones (Ley 20/2015).
La base jurídica debe establecer también la finalidad del tratamiento.
Cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos.
Según el artículo 6.1.e) del RGPD, el tratamiento será lícito si es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable.
El artículo 8 de la LO 3/2018 precisa que esta base solo será válida si deriva de una competencia atribuida por norma con rango de ley.
La norma debe contener:
- Disposiciones sobre licitud.
- Tipos de datos tratados.
- Sujetos afectados.
- Destinatarios.
- Plazos de conservación.
- Procedimientos del tratamiento.
Además, debe cumplir un objetivo de interés público y ser proporcional al fin legítimo perseguido.
Interés legítimo del responsable o de terceros.
Según el artículo 6.1.f) del RGPD, el tratamiento será lícito si es necesario para la satisfacción de intereses legítimos del responsable o de un tercero, siempre que no prevalezcan los intereses o derechos del interesado, especialmente si se trata de un niño.
Importante:
No se aplica esta base legal a los tratamientos realizados por autoridades públicas en el ejercicio de sus funciones.
El consentimiento del interesado: Condiciones para su validez.
El artículo 6.1.a) del RGPD indica que el tratamiento será lícito si el interesado ha dado su consentimiento para uno o varios fines específicos.
El artículo 4.11 del RGPD define el consentimiento como:
“Toda manifestación de voluntad libre, específica, informada e inequívoca”, ya sea mediante declaración o acción afirmativa.
Características del consentimiento:
- Libre.
- Informado.
- Específico.
- Inequívoco.
Novedad del RGPD:
Para que el consentimiento sea inequívoco, debe existir una acción positiva.
No se consideran válidos:
- El silencio.
- Casillas premarcadas.
- La inacción.
El responsable del tratamiento debe poder demostrar que el interesado consintió.
Consentimiento para una pluralidad de finalidades.
El artículo 6.2 de la LO 3/2018 establece que si hay varias finalidades, el consentimiento debe constar de forma específica e inequívoca para cada una de ellas.
No puede supeditarse la ejecución del contrato al consentimiento para tratar datos con fines no relacionados con dicho contrato.
Si el consentimiento forma parte de un documento más amplio, debe distinguirse claramente, ser inteligible, de fácil acceso y usar lenguaje claro.
Derecho a retirar el consentimiento.
El interesado puede retirar su consentimiento en cualquier momento.
Será tan fácil retirarlo como otorgarlo.
La retirada no afecta a la licitud del tratamiento previo.
Al otorgar el consentimiento, el interesado debe ser informado de su derecho a retirarlo.
Casos en que el consentimiento debe ser explícito
El RGPD exige consentimiento explícito en estos casos:
- Datos sensibles (art. 9.2.a).
- Decisiones automatizadas (art. 22.2.c).
- Transferencias internacionales (art. 49.1.a).
Consentimiento de menores de edad.
Según el artículo 7 de la LO 3/2018, un menor solo puede consentir si tiene más de 14 años, salvo que la ley exija la participación de sus padres o tutores.
Ejecución de un contrato.
El artículo 6.1.b) del RGPD legitima el tratamiento si es necesario para ejecutar un contrato en el que el interesado sea parte o para aplicar medidas precontractuales a petición del interesado.
