Principio de compatibilidad en la LO 3/2018 (LOPDGDD) y en el Reglamento general de protección de datos (RGPD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 21/01/2019

Los datos personales deben de ser recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines.

 

 
 

El tratamiento de datos personales con fines distintos de aquellos para los que hayan sido recogidos inicialmente solo debe permitirse cuando sea compatible con los fines de su recogida inicial. En tal caso, no se requiere una base jurídica aparte distinta de la que permitió la obtención de los datos personales.

De acuerdo con el artículo 89, apartado 1 del RGPD, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales ("limitación de la finalidad").

Ahora bien, cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales no esté basado en el consentimiento del interesado o en el Derecho de la Unión o de los Estados miembros que constituya una medida necesaria y proporcional en una sociedad democrática para salvaguardar los objetivos indicados en el artículo 23, apartado 1, el responsable del tratamiento, con objeto de determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos personales, tendrá en cuenta, entre otras cosas (art. 6.4 RGPD):

  1. cualquier relación entre los fines para los cuales se hayan recogido los datos personales y los fines del tratamiento ulterior previsto;
  2. el contexto en que se hayan recogido los datos personales, en particular por lo que respecta a la relación entre los interesados y el responsable del tratamiento;
  3. la naturaleza de los datos personales, en concreto cuando se traten categorías especiales de datos personales, de conformidad con el artículo 9, o datos personales relativos a condenas e infracciones penales, de conformidad con el artículo 10;
  4. las posibles consecuencias para los interesados del tratamiento ulterior previsto;
  5. la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización.

Además si el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, los cometidos y los fines para los cuales se debe considerar compatible y lícito el tratamiento ulterior se pueden determinar y especificar de acuerdo con el Derecho de la Unión o de los Estados miembros. Las operaciones de tratamiento ulterior con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos deben considerarse operaciones de tratamiento lícitas compatibles. La base jurídica establecida en el Derecho de la Unión o de los Estados miembros para el tratamiento de datos personales también puede servir de base jurídica para el tratamiento ulterior. Con objeto de determinar si el fin del tratamiento ulterior es compatible con el fin de la recogida inicial de los datos personales, el responsable del tratamiento, tras haber cumplido todos los requisitos para la licitud del tratamiento original, debe tener en cuenta, entre otras cosas, cualquier relación entre estos fines y los fines del tratamiento ulterior previsto, el contexto en el que se recogieron los datos, en particular las expectativas razonables del interesado basadas en su relación con el responsable en cuanto a su uso posterior, la naturaleza de los datos personales, las consecuencias para los interesados del tratamiento ulterior previsto y la existencia de garantías adecuadas tanto en la operación de tratamiento original como en la operación de tratamiento ulterior prevista.

Es cierto que el propio Reglamento dispone que "Si el interesado dio su consentimiento o el tratamiento se basa en el Derecho de la Unión o de los Estados miembros que constituye una medida necesaria y proporcionada en una sociedad democrática para salvaguardar, en particular, objetivos importantes de interés público general, el responsable debe estar facultado para el tratamiento ulterior de los datos personales, con independencia de la compatibilidad de los fines. En todo caso, se debe garantizar la aplicación de los principios establecidos por el presente Reglamento y, en particular, la información del interesado sobre esos otros fines y sobre sus derechos, incluido el derecho de oposición. La indicación de posibles actos delictivos o amenazas para la seguridad pública por parte del responsable del tratamiento y la transmisión a la autoridad competente de los datos respecto de casos individuales o casos diversos relacionados con un mismo acto delictivo o amenaza para la seguridad pública debe considerarse que es en interés legítimo del responsable. Con todo, debe prohibirse esa transmisión en interés legítimo del responsable o el tratamiento ulterior de datos personales si el tratamiento no es compatible con una obligación de secreto legal, profesional o vinculante por otro concepto".

 El Grupo de Trabajo del artículo 29 en la Opinión 3/2013 analizó el artículo 6.1 (b) de la Directiva 95/46/ derogada, origen del artículo 4.2 de la LOPD. Concretamente, cuando el GT29 trata del concepto de "finalidad incompatible" afirma lo siguiente:

"En lugar de establecer un requisito de compatibilidad, el legislador optó por una doble negación: prohibió la incompatibilidad. Al establecer que cualquier tratamiento posterior está autorizado siempre y cuando no sea incompatible (y si los requisitos de legalidad son simultáneamente cumplidos), parece que los legisladores pretendieron dar algo de flexibilidad en relación al uso posterior. Dicho uso posterior puede encajar de forma cercana con el propósito inicial o puede ser diferente. El hecho de que el tratamiento posterior sea para un fin distinto no significa necesariamente que sea incompatible de forma automática: esto necesita ser evaluado caso por caso..”

Pues bien, en la citada Opinión 3/2013, el Grupo de Trabajo proporciona algunos criterios que pueden ser tenidos en cuenta a la hora de determinar si un tratamiento "distinto" supera el test de "compatibilidad". Entre estos criterios, se mencionan dos que son especialmente relevantes a saber: (a) la relación entre las finalidades para las que los datos fueron recogidos y las del nuevo tratamiento. A mayor relación, mayor compatibilidad; y (b) el contexto en el que los datos fueron recabados y las expectativas razonables del interesado respecto de los nuevos tratamientos. Cuanto más pueda esperarse que ese nuevo tratamiento se produzca, mayor compatibilidad.

 

En relación con lo hasta aquí expuesto, entendemos necesario recordar que cuando –tiempo atrás- el legislador español modificó el término "diferente" (como se incluía en la antigua LORTAD) por "incompatible" en el proceso de redacción de la LOPD, fue para permitir a los responsables del tratamiento "añadir actividades a su objeto inicial", desarrollando productos existentes y comercializando otros nuevos. No resulta baladí tener presente el propósito que movió al legislador a modificar el término "distintas" por "incompatibles" fue permitir que los datos personales inicialmente tratados para una finalidad, pudiesen ser utilizados después para finalidades distintas, siempre y cuando no fueran incompatibles, y ello debido a que las empresas, efectivamente, añaden productos a su actividad de negocio y se deseaba permitir que los datos inicialmente captados pudiesen ser usados también para esos otros productos.

 

En cuanto a la LOPDGDD, se establece, encuanto al tratamiento de datos de salud que el tratamiento de estos datos en la investigación en salud se considerará lícita y compatible la reutilización de datos personales con fines de investigación en materia de salud y biomédica cuando, habiéndose obtenido el consentimiento para una finalidad concreta, se utilicen los datos para finalidades o áreas de investigación relacionadas con el área en la que se integrase científicamente el estudio inicial. Además, se considerará lícita y compatible la reutilización con fines de investigación en salud y biomédica de datos personales recogidos lícitamente con anterioridad a la entrada en vigor de la LO 3/2018 cuando concurra alguna de las circunstancias siguientes:

a) Que dichos datos personales se utilicen para la finalidad concreta para la que se hubiera prestado consentimiento.

b) Que, habiéndose obtenido el consentimiento para una finalidad concreta, se utilicen tales datos para finalidades o áreas de investigación relacionadas con la especialidad médica o investigadora en la que se integrase científicamente el estudio inicial.

Igualmente se establece que la utilización de los datos para una finalidad que no sea compatible con la finalidad para la cual fueron recogidos, sin contar con el consentimiento del afectado o con una base legal para ello, se considera una infracción muy grave, pues supone una vulneración sustancia, y precribirá a los 3 años

 

No hay versiones para este comentario

Datos personales
Responsable del tratamiento
Interés publico
Tratamiento de datos personales
Actividades de tratamiento de datos
Consentimiento del interesado
Amenazas
Categorías especiales de datos
Datos personales relativos a condenas e infracciones penales
Interés legitimo
Poderes públicos

Ley Orgánica 3/2018 de 5 de Dic (Protección de Datos Personales y garantía de los derechos digitales -LOPDGDD-) VIGENTE

Boletín: Boletín Oficial del Estado Número: 294 Fecha de Publicación: 06/12/2018 Fecha de entrada en vigor: 07/12/2018 Órgano Emisor: Jefatura Del Estado

Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) VIGENTE

Boletín: Diario Oficial de la Unión Europea Número: 118 Fecha de Publicación: 04/05/2016 Fecha de entrada en vigor: 24/05/2016 Órgano Emisor: Parlamento Europeo Y Consejo

Pertenece al Grupo

Documentos relacionados
Ver más documentos relacionados
  • Interés Público como base jurídica para el tratamiento de datos de carácter personal

    Orden: Administrativo Fecha última revisión: 07/02/2019

    Cuando se realice en cumplimiento de una obligación legal aplicable al responsable del tratamiento, o si es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos, el tratamiento debe tene...

  • Introducción a la protección de datos

    Orden: Administrativo Fecha última revisión: 07/02/2019

    El nuevo Reglamento General de Protección de Datos de la Unión Europea (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de d...

  • Condiciones aplicables al consentimiento en materia de protección de datos

    Orden: Administrativo Fecha última revisión: 30/01/2019

    Atendiendo a lo expuesto en el tema general sobre el consentimiento, cabe preguntarse ¿cómo debe prestarse ese consentimiento para entender que pueda constituir una base legal que ampare el tratamiento de datos y que –en consecuencia- pueda consi...

  • Categorías especiales de datos en el RGPD y la LOPDGDD

    Orden: Administrativo Fecha última revisión: 23/01/2019

    Los conocidos como “datos especialmente protegidos” que ya preveía la LOPD,  encuentran su encaje en el Reglamento comunitario en lo que se  han venido a denominar  "categorías especiales de datos".Como señala el considerando 51 los datos p...

  • Consentimiento de los interesados en materia de protección de datos

    Orden: Administrativo Fecha última revisión: 28/01/2019

    El "consentimiento del interesado" es definido por el RGPD en su artículo 4.11 como "toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción af...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados