Cumplimiento de una obligación legal en el Reglamento General de Protección de Datos (RGPD) y en la LO 3/2018 de 5 de diciembre (LOPDGDD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 30/01/2019

Tal y como indica el artículo 6.1 del  RGPD el tratamiento solo será lícito si se cumple con algunas de las condiciones indicadas en dicho precepto, y entre ellas se incluye como letra c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento.

Por ello y en base a dicho artículo, el tratamiento de datos personales sobre la base del cumplimiento de una obligación legal aplicable al responsable, se consideraría lícito, al ser esta una base legítima establecida conforme a Derecho, ya sea del RGPD o de otro derecho de la Unión o de los Estados miembros.

Además el Considerando 10 indica que el tratamiento de datos personales para el cumplimiento de una obligación legal, los Estados miembros deben estar facultados para mantener o adoptar disposiciones nacionales a fin de especificar en mayor grado la aplicación de las normas del RGPD. Tambien se reconoce un margen de maniobra para que los Estados miembros especifiquen sus normas, inclusive para el tratamiento de categorías especiales de datos personales («datos sensibles»). En este sentido, el presente Reglamento no excluye el Derecho de los Estados miembros que determina las circunstancias relativas a situaciones específicas de tratamiento, incluida la indicación pormenorizada de las condiciones en las que el tratamiento de datos personales es lícito.

Por lo que respecta a los derechos de los interesados, se hace especial mención en el artículo 17 en cuanto al derecho de supresión, en una doble vertiente:

- por un parte en cuanto a que los datos se tengan que suprimir para cumplir con una obligación legal (art. 17.1.e),

- por otra parte en cuanto a las excepciones, puesto que no será de aplicación dicho derecho cuando sea necesario para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable (art. 17.3.b)

Igualmente, la retención ulterior de los datos personales será lícita cuando sea necesaria para el cumplimiento de una obligación legal.

A su vez, el Considerando 31 del RGPD estipula que las autoridades públicas a las que se comunican datos personales en virtud de una obligación legal para el ejercicio de su misión oficial (como las autoridades fiscales y aduaneras, las unidades de investigación financiera, las autoridades administrativas independientes o los organismos de supervisión de los mercados financieros encargados de la reglamentación y supervisión de los mercados de valores) no deben considerarse destinatarios de datos si reciben datos personales que son necesarios para llevar a cabo una investigación concreta de interés general, de conformidad con el Derecho de la Unión o de los Estados miembros. Las solicitudes de comunicación de las autoridades públicas siempre deben presentarse por escrito, de forma motivada y con carácter ocasional, y no deben referirse a la totalidad de un fichero ni dar lugar a la interconexión de varios ficheros. El tratamiento de datos personales por dichas autoridades públicas debe ser conforme con la normativa en materia de protección de datos que sea de aplicación en función de la finalidad del tratamiento.

    Cuando se realice en cumplimiento de una obligación legal aplicable al responsable del tratamiento no se requiere que cada tratamiento individual se rija por una norma específica. Una norma puede ser suficiente como base para varias operaciones de tratamiento de datos basadas en una obligación legal aplicable al responsable del tratamiento. Además, dicha norma podrá especificar las condiciones generales por las que se rige la licitud del tratamiento de datos personales, establecer especificaciones para la determinación del responsable del tratamiento, el tipo de datos personales objeto de tratamiento, los interesados afectados, las entidades a las que se pueden comunicar los datos personales, las limitaciones de la finalidad, el plazo de conservación de los datos y otras medidas para garantizar un tratamiento lícito y leal.

Para reforzar aún más el control sobre sus propios datos, cuando el tratamiento de los datos personales se efectúe por medios automatizados, debe permitirse asimismo que los interesados que hubieran facilitado datos personales que les conciernan a un responsable del tratamiento los reciban en un formato estructurado, de uso común, de lectura mecánica e interoperable, y los transmitan a otro responsable del tratamiento. Dicho derecho no debe aplicarse, cuando el tratamiento de los datos personales sea necesario para cumplir una obligación legal aplicable al responsable o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable.

 

Por lo que respecta a la LOPDGDD, se regulan las posibles habilitaciones legales para el tratamiento fundadas en el cumplimiento de una obligación legal exigible al responsable, en los términos previstos en el RGPD, cuando así lo prevea una norma de Derecho de la Unión Europea o una ley, que podrá determinar las condiciones generales del tratamiento y los tipos de datos objeto del mismo así como las cesiones que procedan como consecuencia del cumplimiento de la obligación legal. Este es el caso, por ejemplo, de las bases de datos reguladas por ley y gestionadas por autoridades públicas que responden a objetivos específicos de control de riesgos y solvencia, supervisión e inspección del tipo de la Central de Información de Riesgos del Banco de España regulada por la Ley 44/2002, de 22 de noviembre, de Medidas de Reforma del Sistema Financiero, o de los datos, documentos e informaciones de carácter reservado que obren en poder de la Dirección General de Seguros y Fondos de Pensiones de conformidad con lo previsto en la Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras.

Se podrán igualmente imponer condiciones especiales al tratamiento, tales como la adopción de medidas adicionales de seguridad u otras, cuando ello derive del ejercicio de potestades públicas o del cumplimiento de una obligación legal y solo podrá considerarse fundado en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, en los términos previstos en el reglamento europeo, cuando derive de una competencia atribuida por la ley

Por lo que respecta al tratamiento de datos por obligación legal, el artículo 8.1 establece específicamente que el tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una obligación legal exigible al responsable, en los términos previstos en el artículo 6.1.c) del RGPD, cuando así lo prevea una norma de Derecho de la Unión Europea o una norma con rango de ley, que podrá determinar las condiciones generales del tratamiento y los tipos de datos objeto del mismo así como las cesiones que procedan como consecuencia del cumplimiento de la obligación legal. Dicha norma podrá igualmente imponer condiciones especiales al tratamiento, tales como la adopción de medidas adicionales de seguridad u otras establecidas en el capítulo IV del RGPD.

Finalmente en cuanto al tratamiento de datos de contacto, de empresarios individuales y de profesionales liberales, el artículo 19.3 de la LOPDGDD establece que los responsables o encargados del tratamiento a los que se refiere el artículo 77.1 de esta ley orgánica podrán también tratar los datos de contacto y los relativos a la función o puesto desempelado de las personas físicas que presten servicios en una persona jurídica, o los datos de empresarios individuales y profesionals liberales que se refieran a ellos únicamente en dicha condición y no se traten para entablar una relación con los mismos como personas físicas, cuando ello se derive de una obligación legal o sea necesario para el ejercicio de sus competencias.

 

No hay versiones para este comentario

Tratamiento de datos personales
Datos personales
Responsable del tratamiento
Protección de datos
Interés publico
Poderes públicos
Datos sensibles
Tratamiento de categorías especiales
Situaciones específicas de tratamiento
Mercado financiero
Actividades de tratamiento de datos
Conservación de datos personales
Banco de España
Fondos de pensiones
Asegurador
Empresario individual
Persona física
Encargado del tratamiento
Persona jurídica

Ley Orgánica 3/2018 de 5 de Dic (Protección de Datos Personales y garantía de los derechos digitales -LOPDGDD-) VIGENTE

Boletín: Boletín Oficial del Estado Número: 294 Fecha de Publicación: 06/12/2018 Fecha de entrada en vigor: 07/12/2018 Órgano Emisor: Jefatura Del Estado

Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) VIGENTE

Boletín: Diario Oficial de la Unión Europea Número: 118 Fecha de Publicación: 04/05/2016 Fecha de entrada en vigor: 24/05/2016 Órgano Emisor: Parlamento Europeo Y Consejo

Ley 20/2015 de 14 de Jul (Ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras) VIGENTE

Boletín: Boletín Oficial del Estado Número: 168 Fecha de Publicación: 15/07/2015 Fecha de entrada en vigor: 01/01/2016 Órgano Emisor: Jefatura Del Estado

Pertenece al Grupo

Documentos relacionados
Ver más documentos relacionados
  • Principio de licitud en el RGPD y en la LOPDGDD

    Orden: Administrativo Fecha última revisión: 21/01/2019

    Como se deduce de la literalidad del articulo 6 del RGPD, el denominado "principio de licitud" se encuentra referenciado junto con los principios de transparencia y lealtad. Ahora bien, esta reseña unificada no impide que pueda ser objeto de anális...

  • Tratamiento de datos con fines de videovigilancia

    Orden: Administrativo Fecha última revisión: 12/02/2019

    En el caso de la videovigilancia, la licitud del tratamiento proviene de la existencia de un interés público, en los términos establecidos en el artículo 6.1.e) del RGPD.El tratamiento con fines de videovigilancia se encuentra regulado en la LOPD...

  • Obligaciones específicas de los encargados del tratamiento de datos de carácter personal en el RGPD y en la LOPDGDD

    Orden: Administrativo Fecha última revisión: 30/01/2019

    El RGPD impone de forma expresa determinadas obligaciones a los encargados del tratamiento de datos de carácter personal (arts. 32, 37 y 40 RGPD). Por su parte la LOPDGDD establece tambien una serie de obligaciones (art. 28, 31 y 34 LOPDGDD). Como...

  • Introducción a la protección de datos

    Orden: Administrativo Fecha última revisión: 07/02/2019

    El nuevo Reglamento General de Protección de Datos de la Unión Europea (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de d...

  • Interés Público como base jurídica para el tratamiento de datos de carácter personal

    Orden: Administrativo Fecha última revisión: 07/02/2019

    Cuando se realice en cumplimiento de una obligación legal aplicable al responsable del tratamiento, o si es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos, el tratamiento debe tene...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados