Legal

Bases de legitimación del tratamiento de los datos personales

07/10/2019

En nuestro artículo anterior hablábamos de los distintos principios que deben respetar y cumplir las empresas para un correcto tratamiento de datos personales. Uno de estos principios es la “licitud” del tratamiento.

datos personales

 

Legitimación del tratamiento de los datos personales

El R.G.P.D. contiene en su art. 6.1 una relación de las distintas causas que pueden legitimar el tratamiento de los datos. Estas causas, junto a algunos ejemplos de su aplicación, se concretan en los siguientes puntos:

El consentimiento del interesado

La primera de las causas que legitiman el tratamiento es, sin duda, el consentimiento de los interesados. Tal y como se desprende del art. 4.11 R.G.P.D. se entiende por consentimiento toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de sus datos personales. De dicha redacción se extrae que ya no es posible el denominado consentimiento tácito o por omisión de los interesados.

Esto implica que todos aquellos tratamientos de datos personales que con anterioridad a la aplicación directa del R.G.P.D. se basaran en la omisión de los interesados, requerirán de un nuevo consentimiento, salvo que puedan fundamentarse en otra causa legítima. El ejemplo típico lo encontramos en el envío de newsletters o boletines informativos por parte de las organizaciones a sus clientes o clientes potenciales.

Ahora bien, cuando se trata de datos sensibles, regulados en el art. 9 R.G.P.D. hay que tener en cuenta que nuestra L.O.P.D.G.D.D. establece que el solo consentimiento del afectado no es suficiente, sino que se requiere, además, la concurrencia de otras de las circunstancias previstas en el art. 9.2 R.G.P.D. tales como el cumplimiento de obligaciones y ejercicios de derechos en el ámbito del Derecho Laboral y Seguridad Social o la concurrencia de un interés público esencial, entre otras.

La ejecución de un contrato o la aplicación a petición de los interesados de medidas precontractuales

Otra de las bases que justifica el tratamiento de los datos es la existencia de una relación contractual o precontractual con el interesado. Por ejemplo, cuando un cliente nos solicita un producto o la prestación de un servicio, necesitaremos tratar una serie de datos que son necesarios para la ejecución de dicho contrato.

En el caso de que el cliente nos solicite un presupuesto, su preparación puede derivar la necesidad de tener que tratar una serie de datos que sean necesarios para la elaboración del mismo.

El cumplimiento de una obligación legal aplicable al responsable del tratamiento

De la propia normativa que resulta de aplicación al Responsable del tratamiento se derivan una serie de obligaciones que implican tratar datos personales. Es importante tener en cuenta que dichas obligaciones han de estar previstas en una norma de Derecho de la U.E. o en una norma con rango de ley, para que sea aplicable dicha base legítima.

Ejemplo de ello lo encontramos en las obligaciones laborales, sociales y administrativas que la empresa asume como consecuencia de la contratación de un trabajador, como es la comunicación de los datos del trabajador a la Seguridad Social para darlo de alta antes del inicio de la prestación de los servicios.

La protección de intereses vitales del interesado o de otra persona física

El tratamiento de datos personales también se considerará lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. Por ejemplo cuando es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano.

El cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento

Esta causa aplica únicamente a aquellos tratamientos realizados por autoridades públicas, personas físicas o jurídicas de Derecho Público, en el ejercicio de aquellas funciones públicas que les hayan sido atribuidas por una norma con rango de ley.
Como ejemplos, se pueden citar el ejercicio de funciones de video vigilancia en la vía pública por parte de las Fuerzas y Cuerpos de Seguridad del Estado al objeto de salvaguardar la seguridad ciudadana o la recogida por los centros escolares públicos del certificado negativo del Registro Central de delincuentes sexuales, exigido para todos aquellos que trabajen con menores.

El interés legítimo del responsable del tratamiento o de un tercero, siempre que no prevalezcan los intereses o los derechos y libertades del interesado

A la hora de determinar cuál es el interés prevalente, de acuerdo con el R.G.P.D. se han de tener en cuenta las expectativas razonables de los interesados basadas en su relación con el responsable. Por lo tanto, si bien es cierto que el Responsable puede realizar un tratamiento de datos en virtud de esta base de legitimación, el interesado también podrá hacer prevalecer sus derechos y libertades a través del ejercicio del derecho de oposición.

Ejemplo de la concurrencia de esta base lo encontramos en el art. 19 L.O.P.D.G.D.D. en relación con el tratamiento de los datos de contacto de empresarios individuales y de profesionales liberales, siempre que se refiera únicamente a los datos necesarios para su localización profesional y la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica.

En conclusión, hay que tener en cuenta que si bien el consentimiento es la primera de las causas que legitima al tratamiento de datos de carácter personal, no es la única. Habrá que analizar cada caso concreto a fin de determinar qué base aplicaría, recurriendo al asesoramiento de un consultor especializado en la materia, de ser necesario. Además, dichas bases se deben documentar en la Política de Privacidad que se le entregue o ponga a su disposición a los interesados, con carácter previo a tratar sus datos a los efectos de que las empresas estén en condiciones de demostrar que han cumplido con el deber de información que imponen los arts. 13 y 14 R.G.P.D.

Nuestros expertos

Elisabet Jiménez Llanos

Elisabet es periodista y responsable de contenidos en CE Consulting, donde se encarga, junto a nuestros expertos, de acercar toda la actualidad legal y de gestión a empresas, empresarios y entidades no lucrativas. Apasionada de los viajes, el sol y la playa, le encanta practicar y ver deporte. Cuando no está escribiendo, está leyendo o corriendo 10K o 21K.

Contenido relacionado