Legitimación y base legal para el tratamiento. Especial referencia al consentimiento

Jordi Bacaria – Digital Law – Founder of Global Legal Data

 El principio de transparencia y el principio de rendición de cuentas que derivan del modelo de gestión de responsabilidad proactiva que rige el RGPD, influyen de modo decisivo en el sistema de legitimación del tratamiento de datos personales que construye el reglamento en sus artículos 6 a11.

SUMARIO:

1. Principios del RGPD que afectan a la legitimación del tratamiento
2. La licitud del tratamiento. Análisis de las bases legales

2.1.      Condiciones legales de uso de los datos

2.2. Bases jurídicas para la legitimación del tratamiento

2.2.      La base legal de interés legítimo

2.3.      Comparativa de la regulación de bases legales del tratamiento

3. El consentimiento como base legítima para la licitud del tratamiento
4. La legitimación del tratamiento para las categorías especiales de datos personales
5. Condiciones de obtención del consentimiento

• Principios del RGPD que afectan a la legitimación del tratamiento

Por una parte, el principio de transparencia exige que toda la información dirigida al público o al interesado sea concisa, fácilmente accesible y fácil de entender, y que se utilice un lenguaje claro y sencillo, y que se visualizable suficientemente. Este principio afecta principalmente a la concreción del derecho de información y a la atención del derecho de acceso de las personas interesadas, [1]pero también alcanza a las condiciones de aplicación de las bases legítimas del tratamiento.

Por otra parte, el principio de rendición de cuentas requiere que la responsabilidad del responsable del tratamiento quede establecida respecto a cualquier tratamiento de datos personales realizado por él mismo o por su cuenta y, por tanto, también debe quedar establecida respecto a la aplicación correcta de la base jurídica del tratamiento.

• La licitud del tratamiento. Análisis de las bases legales

• Condiciones legales de uso de los datos

• El uso de datos personales, entendidos como cualquier información personal que identifique a la persona, está sometido a ciertas condiciones legales de protección en el ámbito de los derechos fundamentales. De este modo, para que un tratamiento de datos personales-recogida, uso, cesión, etc…- sea lícito, deberá fundamentarse en una base legal. Específicamente, los fines específicos del tratamiento de los datos personales deben ser explícitos y legítimos, y deben determinarse en el momento de su recogida.  a) El consentimiento del interesado para uno o varios fines específicosc) El cumplimiento de una obligación legal aplicable al responsable del tratamientoe) El cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos
• 1. f) La satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero.
  2. d) La protección de intereses vitales del interesado o de otra persona física
  3. b) Ejecución de un contrato
  4. Las bases jurídicas para la legitimación del tratamiento de datos personales previstas en el artículo 6 del RGPD, enunciativamente, son las siguientes:
  5. 2.2. Bases jurídicas para la legitimación del tratamiento
  6. El RGPD, en su artículo 6 regula la licitud del tratamiento y establece que el tratamiento solo será lícito si se cumple determinadas condiciones, es decir si se fundamenta en alguna de las bases legales que prevé el citado artículo.

• La base legal de interés legítimoDe acuerdo con el artículo 6.1.f del RGPD, la base jurídica del tratamiento referida al interés legítimo debe cumplir los siguientes requisitos:b) Siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.El interés legítimo como base legal del tratamiento, aunque ya estaba previsto en la Directiva 95/46/CE, merece una consideración a partir de su nuevo desarrollo en el texto del reglamento.[2]  

1. Solo los “tempos” de aplicación del reglamento y la evolución doctrinal y jurisprudencial nos dirán como se distribuirán los espacios de aplicación del consentimiento o del interés legítimo como bases legales de legitimación del tratamiento.
2. Por su parte, el Informe 0195/2017 del Gabinete Jurídico de la Agencia Española de Protección de Datos se manifiesta en el sentido que “podría darse, por ejemplo, cuando existe una relación pertinente y apropiada entre el interesado y el responsable, como en situaciones en las que el interesado es cliente o está al servicio del responsable”.
3. c) No aplicable al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.
4. a) El tratamiento debe ser necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero.

• Comparativa de la regulación de bases legales del tratamientoLa estructura de la regulación de las bases jurídicas del tratamiento es distinta en el RGPD y en nuestra LOPD. Efectivamente, aunque la estructura reguladora de la legitimación del tratamiento en la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos es similar a la regulación del RGPD [3], derogada por el citado reglamento europeo, sin embargo, nuestra Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal prevé que el consentimiento constituya la base jurídica esencial del tratamiento, con la previsión de ciertas excepciones.[4]En el RGPD el consentimiento ya no constituye la base legal del tratamiento por antonomasia sino una base legal más que puede convertirse en residual, estrictamente para fines comerciales; una vez descartada la base legal del tratamiento que constituye el interés legítimo.

• El consentimiento como base legítima para la licitud del tratamientoEl citado artículo 6 del reglamento establece que “El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones: a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos”.Por tanto, el consentimiento constituye una de les bases jurídicas en las que se puede fundamentar la legitimación para el tratamiento. No obstante, podemos afirmar que la utilización del consentimiento como base legal del tratamiento no tendrá un protagonismo relevante, ya que se puede recurrir a otras bases de licitud como la obligación legal o el interés legítimo.Es destacable remarcar que la necesidad de una declaración o una clara acción afirmativa descarta la posibilidad de lo que se ha venido a llamar hasta ahora el consentimiento tácito, basado en ofrecer al interesado la oposición al tratamiento.Por otra parte, es relevante citar la opinión de la Agencia Española de Protección de Datos en relación su interpretación de del sistema de obtención del consentimiento en la Guía del Reglamento General de Protección de Datos para responsables de tratamiento de: “El consentimiento puede ser inequívoco y otorgarse de forma implícita cuando se deduzca de una acción del interesado (por ejemplo, cuando el interesado continúa navegando por una web y acepta así el que se utilicen cookies para monitorizar su navegación)”.

1. El consentimiento está definido en el artículo 4 del RGPD como “Toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen” [5].

• La legitimación del tratamiento para las categorías especiales de datos personales

El artículo 9 del RGPD prohíbe, como norma general, el tratamiento de categorías especiales de datos personales [6], pero prevé un conjunto de bases legales para legitimar su tratamiento [7], entre las que encontramos el consentimiento explícito del interesado y, como novedad, la manifestación pública de los datos personales por el interesado.

• Condiciones de obtención del consentimientoEl artículo 7 del RGPD regula las condiciones del consentimiento respecto a la demostración de su existencia, al derecho a su retirada en cualquier momento y al derecho del interesado a prestarlo libremente [8].El RGPD también contiene otras normas sobre el consentimiento como las condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la información o sobre condiciones del tratamiento, como el tratamiento de datos personales relativos a condenas e infracciones penales.

CONCLUSIONES

[1] RGPD. Considerando 39 “Todo tratamiento de datos personales debe ser lícito y leal. Para las personas físicas debe quedar totalmente claro que se están recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen, así como la medida en que dichos datos son o serán tratados. El principio de transparencia exige que toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro”.

[2] El Considerando 47 del RGPD recuerda que el interés legítimo de un responsable, de un cesionario o de un tercero, “puede constituir una base jurídica para el tratamiento, siempre que no prevalezcan los intereses o los derechos y libertades del interesado, teniendo en cuenta las expectativas razonables de los interesados basadas en su relación con el responsable”.

“Tal interés legítimo podría darse, por ejemplo, cuando existe una relación pertinente y apropiada entre el interesado y el responsable, como en situaciones en las que el interesado es cliente o está al servicio del responsable”.

[3] Directiva 95/46/CE. Artículo 7

Los Estados miembros dispondrán que el tratamiento de datos personales sólo pueda efectuarse si:

1. a) el interesado ha dado su consentimiento de forma inequívoca, o
2. b) es necesario para la ejecución de un contrato en el que el interesado sea parte o para la aplicación de medidas precontractuales adoptadas a petición del interesado, o
3. c) es necesario para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento, o
4. d) es necesario para proteger el interés vital del interesado, o
5. e) es necesario para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido al responsable del tratamiento o a un tercero a quien se comuniquen los datos, o
6. f) es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva.

[4] LOPD. Artículo 6 Consentimiento del afectado

1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.
2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.
3. El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos.
4. En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable de fichero excluirá del tratamiento los datos relativos al afectado.

[5] El Considerando 32 del RGPD se extiende en la definición del consentimiento: “El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta”.

[6] Ver RGPD. Artículo 9. Tratamiento de categorías especiales de datos.

[7] Bases legales de legitimación de las categorías especiales de datos

1. a) El consentimiento explícito del interesado.
2. b) El cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social.
3. c) La protección de intereses vitales del interesado o de otra persona física.
4. d) Las actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical.
5. e) La manifestación pública de los datos personales por el interesado.
6. f) La formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial.
7. g) Razones de un interés público esencial.
8. h) Fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social.
9. i) Razones de interés público en el ámbito de la salud pública.

[8] Ver cuadro sobre la naturaleza jurídica del consentimiento en el RGPD