La licitud o legitimidad en el tratamiento de datos se encuentra regulado en el art. 6 y en los considerandos 41, y 45 a 50.
Artículo 6: Licitud del tratamiento.
- El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
- el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
- el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
- el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
- el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
- el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
- el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.
El RGPD en el art. 6 se regula lo que nuestra normativa establecía como excepciones al consentimiento en el art. 6.2 de la LOPD. De esta manera, comprobamos como no es necesario el consentimiento cuando el mismo es necesario para:
Podemos, por tanto, apreciar que de entre las situaciones que permiten el tratamiento lícito de datos sin consentimiento, la satisfacción del interés legítimo es la excepción que mayor indeterminación podrá producir en la aplicación práctica del RGPD, ya que podría recurrirse a la misma como cajón de sastre para la no obtención del consentimiento del interesado en determinadas situaciones en las que el mismo resulta de difícil o imposible obtención. Como hemos visto anteriormente, uno de los mayores cambios que introduce el RGPD con respecto a nuestra normativa de protección de datos es el de la eliminación del consentimiento tácito, siendo por tanto la satisfacción del interés legítimo, un elemento clave para considerar la existencia de un tratamiento de datos sin consentimiento del interesado.
Es por esta razón, por la que el RGPD en sus considerandos 47 a 49 establece ejemplos de cuando podríamos encontramos ante un interés legítimo por parte del responsable, aclarando que siempre habrá que realizar una evaluación meticulosa y aplicar la regla de la expectativa legítima o razonable para la consideración de dicho interés legítimo (dicha regla es establecida por el Grupo de trabajo 29 en Opinión nº 6 de 2014).
Así, en el considerando 47 establece la posibilidad de aplicar el interés legítimo cuando exista una relación pertinente y apropiada entre el interesado y el responsable, como por ejemplo las existentes por éste último con clientes y trabajadores, y además se espere por el interesado de forma razonable que dicho tratamiento tendrá lugar (regla de la expectativa razonable). Como ejemplos hace mención al tratamiento de datos con fines de Martketing Directo, Prevención del Fraude, transmisiones de datos dentro del Grupo Empresarial (considerando 48) y las transmisiones de datos para garantizar la seguridad de las redes (considerando 49).
El considerando 47 establece la posibilidad de que el tratamiento de datos se base en el interés legítimo del responsable cuando existe una relación pertinente y apropiada entre interesado y responsable, como por ejemplo en los supuestos en los que el interesado es cliente o está al servicio del responsable. ¿Es posible aplicar este supuesto a los datos personales de proveedores que prestan servicios al responsable
Los considerandos 47 a 49 desarrollan casos en los que podría existir un interés legítimo que permita el tratamiento. Además, ha de tenerse en cuenta que el considerando 47 establece que hay que hacer una evaluación meticulosa y aplicar la regla de la expectativa legítima razonable del informe del grupo de trabajo 29 número 6 del año 2014, por tanto si en la relación con proveedores hay dicha expectativa razonable y una relación pertinente y apropiada, es posible el tratamiento sin recabar dichos consentimientos; pero es preciso hacer hincapié en que no puede constituir una cláusula absoluta para legitimar tratamiento que no pueden ser legitimados por otra vía. También es preciso advertir que, si el interés no se valora correctamente, el responsable se está arriesgando a una fuerte sanción.