7. LICITUD EN EL TRATAMIENTO

7.1 LEGITIMIDAD EN EL TRATAMIENTO

La licitud o legitimidad en el tratamiento de datos se encuentra regulado en el art. 6 y en los considerandos 41, y 45 a 50.

Artículo 6: Licitud del tratamiento.

  1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
    1. el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
    2. el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
    3. el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
    4. el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
    5. el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
    6. el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.

El RGPD en el art. 6 se regula lo que nuestra normativa establecía como excepciones al consentimiento en el art. 6.2 de la LOPD.  De esta manera, comprobamos como no es necesario el consentimiento cuando el mismo es necesario para:

  • La ejecución de un contrato, o lo que antes se denominaba el mantenimiento de una relación negocial, laboral o administrativa.
  • El cumplimiento de una obligación legal. La cual no necesariamente debe ser un acto legislativo adoptado por un parlamento, pero sí debe ser clara precisa y su aplicación previsible para los destinatarios de conformidad con la Jurisprudencia del Tribunal de Justicia de la Unión Europea (en adelante TJUE) y del Tribual Europeo de Derechos Humanos. (Considerando 41 y 45).
  • El cumplimiento intereses públicos, debiendo garantizarse que el tratamiento debe tener su base y finalidad en derecho de la UE o en el de los Estados Miembro ( 6.3 y considerando 45). A este respecto, el RGPD establece en el apartado 2 del art. 6, que, tanto para el cumplimiento de intereses públicos como obligaciones legales, los Estados miembros podrán mantener o introducir disposiciones más específicas a fin de adaptar la aplicación de las normas del RGPD.
  • Para la protección de intereses vitales del interesado. El considerando 46 establece como ejemplos de intereses vitales y de interés público, aquellos relativos al tratamiento necesario para fines humanitarios (incluido el control de epidemias y su propagación) y situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano.
  • Para la satisfacción de un interés legítimo. Se incorpora de forma similar a como se hacía por la directiva 95/46, y por tanto se establece el equilibrio de intereses entre el interesado y el responsable. De tal manera que existirá un interés legítimo por parte de un responsable de tratamiento, (o incluso de un responsable al que se puedan comunicar datos personales), siempre y cuando no prevalezcan los intereses o los derechos y libertades del interesado, teniendo en cuenta las expectativas razonables de los interesados basadas en su relación con el responsable (considerando 47). Por tanto, si bien el responsable puede realizar un tratamiento de datos sin recabar el consentimiento en virtud del interés legítimo, el interesado también podrá hacer prevalecer sus derechos y libertades a través del ejercicio del derecho de oposición, el cual podrá ser concedido siempre y cuando exista una circunstancia personal que haga prevalecer sus derechos y libertades al derecho del responsable.

Podemos, por tanto, apreciar que de entre las situaciones que permiten el tratamiento lícito de datos sin consentimiento, la satisfacción del interés legítimo es la excepción que mayor indeterminación podrá producir en la aplicación práctica del RGPD, ya que podría recurrirse a la misma como cajón de sastre para la no obtención del consentimiento del interesado en determinadas situaciones en las que el mismo resulta de difícil o imposible obtención. Como hemos visto anteriormente, uno de los mayores cambios que introduce el RGPD con respecto a nuestra normativa de protección de datos es el de la eliminación del consentimiento tácito, siendo por tanto la satisfacción del interés legítimo, un elemento clave para considerar la existencia de un tratamiento de datos sin consentimiento del interesado.

Es por esta razón, por la que el RGPD en sus considerandos 47 a 49 establece ejemplos de cuando podríamos encontramos ante un interés legítimo por parte del responsable, aclarando que siempre habrá que realizar una evaluación meticulosa y aplicar la regla de la expectativa legítima o razonable para la consideración de dicho interés legítimo (dicha regla es establecida por el Grupo de trabajo 29 en Opinión nº 6 de 2014).

Así, en el considerando 47 establece la posibilidad de aplicar el interés legítimo cuando exista una relación pertinente y apropiada entre el interesado y el responsable, como por ejemplo las existentes por éste último con clientes y trabajadores, y además se espere por el interesado de forma razonable que dicho tratamiento tendrá lugar (regla de la expectativa razonable). Como ejemplos hace mención al tratamiento de datos con fines de Martketing Directo, Prevención del Fraude, transmisiones de datos dentro del Grupo Empresarial (considerando 48) y las transmisiones de datos para garantizar la seguridad de las redes (considerando 49).

 


PREGUNTAS FRECUENTES:

El considerando 47 establece la posibilidad de que el tratamiento de datos se base en el interés legítimo del responsable cuando existe una relación pertinente y apropiada entre interesado y responsable, como por ejemplo en los supuestos en los que el interesado es cliente o está al servicio del responsable. ¿Es posible aplicar este supuesto a los datos personales de proveedores que prestan servicios al responsable

Los considerandos 47 a 49 desarrollan casos en los que podría existir un interés legítimo que permita el tratamiento. Además, ha de tenerse en cuenta que el considerando 47 establece que hay que hacer una evaluación meticulosa y aplicar la regla de la expectativa legítima razonable del informe del grupo de trabajo 29 número 6 del año 2014, por tanto si en la relación con proveedores hay dicha expectativa razonable y una relación pertinente y apropiada, es posible el tratamiento sin recabar dichos consentimientos; pero es preciso hacer hincapié en que no puede constituir una cláusula absoluta para legitimar tratamiento que no pueden ser legitimados por otra vía. También es preciso advertir que, si el interés no se valora correctamente, el responsable se está arriesgando a una fuerte sanción.