La legitimación para el tratamiento de datos personales en el nuevo RGPD

Con la entrada en vigor el próximo 25 de mayo del nuevo Reglamento Europeo de protección de datos personales (RGPD o GDPR), deberá revisarse que todos los tratamientos de datos personales en curso se adecuan al mismo, en sus múltiples facetas o nuevas obligaciones para los responsables o encargados del tratamiento.

El RGPD tiene como novedad significativa que va a ser de aplicación directa en todos los estados miembros de la UE y presenta numerosas novedades con respecto a la actual legislación, la Ley 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD) y su Reglamento de desarrollo, entre las cuales debemos analizar lo relativo a la legitimación para el tratamiento de los datos personales.

Encontramos los parámetros esenciales exigidos para la licitud del tratamiento en el art. 6, las condiciones para que consentimiento sea válido, art. 7 y una extensión especial para determinar las condiciones necesarias para la validez del consentimiento del niño, con relación a los servicios de la sociedad de la información en el art. 8.

El artículo 6 del RGPD nos indica los requisitos para que un tratamiento de datos personales pueda ser considerado lícito:

El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones: a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos; b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales; c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento; d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física; e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento; f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño. Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.

He resaltado los dos aspectos que, en mi opinión, van a ser más controvertidos en cuanto a su aplicación.

Las condiciones para el consentimiento. El consentimiento tácito.

Las características del consentimiento exigidas por el art. 7 se exponen a continuación:

  • El responsable deberá poder demostrar el consentimiento del interesado (art. 7.1).

  • Debe ser revocable fácilmente (art. 7.3).

  • El consentimiento debe recaer sobre todos los fines para los que vayan a tratarse los datos (Considerando 32).

  • El consentimiento debe ser informado, en un lenguaje claro y sencillo, como mínimo de la identidad del responsable del tratamiento y los fines del tratamiento a los cuales están destinados los datos personales y deberán evitarse cláusulas abusivas.

  • El consentimiento deberá ser consciente y libre (considerando 42).

Además, el Reglamento establece otros requisitos para que pueda considerarse que la manifestación de voluntad sea válida:

  • Consentimiento “explícito”, habilitador para el tratamiento de categorías especiales de datos personales (art. 9) o ser objeto de decisiones individuales automatizadas (art. 22).

  • Consentimiento “inequívoco”. En este sentido, para considerar que el consentimiento es inequívoco, debe existir una declaración de los interesados o una acción positiva que indique la conformidad del interesado (art. 4.11).

En el Considerando 32 del Reglamento se considera como acción positiva el hecho de marcar una casilla de un sitio web en internet, así como la realización de una conducta que indique claramente, en este contexto, que el interesado acepta la propuesta de tratamiento de sus datos personales.

Así pues, la conducta de un interesado puede llevar a comportar la prestación de un consentimiento inequívoco para el tratamiento de sus datos personales, pudiendo ser considerada esta conducta como una acción positiva a que hace referencia el art. 4.11.

En este sentido, la Audiencia Nacional ha validado diferentes conductas de interesados como acciones que validan el consentimiento en diferentes y variadas situaciones, por ejemplo, por uso del servicio de telefonía, por el abono de varias facturas del servicio, por los actos posteriores a un arrendamiento de vehículo, etc.

El simple consentimiento tácito que contemplaba el Reglamento de desarrollo de la LOPD, en su artículo 14, consistente en que, si el interesado nada oponía en 30 días desde su comunicación, deberá considerarse no válido. La Agencia Española de Protección de Datos ha manifestado su criterio de que el Reglamento deroga este artículo, puesto que no existe acción específica por parte del interesado, es decir, el Reglamento no admite la “inacción”, como causa de considerar otorgado el consentimiento para el tratamiento de los datos personales.

La habilitación del tratamiento para la satisfacción de intereses legítimos.

En el art. 6.1.f se establecen los intereses legítimos que deben considerarse y que pueden ser de los responsables o de terceros, haciendo especial referencia siempre a que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.1

En este sentido se plantea un conflicto entre lo que pueda representar intereses legítimos, no solo de los responsables, sino también de terceros versus los derechos y libertades fundamentales del interesado.

La Sentencia del Tribunal de Justicia de la UE de febrero de 2012, resolvió que la mera invocación de un interés legítimo no puede considerarse suficiente para legitimar el tratamiento de datos personales sin el consentimiento del afectado. En sus fundamentos, el propio Tribunal argumenta la necesidad de realizarse, en cada caso concreto, una ponderación entre el interés legítimo de quien va a tratar los datos y los derechos fundamentales de los interesados, para determinar cuál debe prevalecer.

La Audiencia Nacional ha considerado procedente, entre otros, un interés legítimo en diferentes supuestos en que la publicación de algunos datos se ha considerado amparada por la libertad de información, la existencia de un interés legítimo en el envío de correo electrónico a miembros de un colectivo profesional por parte de un candidato a elecciones en dicho colegio y la actividad de un motor de búsqueda en la actividad desarrollada.

También la Agencia Española de Protección de Datos ha considerado diferente casuística como legitimadora para tratar los datos, atendiendo en cada caso al contexto y la finalidad, ponderando los intereses en conflicto en cada caso.

En resumen, el nuevo Reglamento viene a clarificar y delimitar con más profundidad los requisitos exigibles para que un tratamiento de datos personales pueda tener legitimidad, lo que debe llevar a los responsables a la revisión de si es posible continuar con el tratamiento de los datos de que dispone o debe recabar algún tipo de consentimiento, teniendo en cuenta el Considerando 171 que permite la continuidad en el tratamiento, si el consentimiento obtenido se ajusta a las condiciones del presente Reglamento. En cualquier caso, deberán ser objeto de revisión los protocolos de los tratamientos para adecuarlos a los requisitos del nuevo Reglamento.

Pere Rius Alonso

Abogado

Asociado ENATIC

TICJURIS ADVOCATS, SLP

Vic

www.ticjuris.com

https://www.linkedin.com/in/pere-rius-alonso-6b6ba516/

@rius_pere


1 De acuerdo con el art, 8.1, se considera niño al menor de 16 años, aunque los estados pueden regular una edad inferior, siempre que no sea inferior a 13 años. En España, el actual Reglamento de desarrollo de la LOPD considera la edad de 14 años para que el menor pueda dar su consentimiento.

Leave a Comment