Principio de licitud en el Reglamento general de protección de datos (RGPD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 19/06/2018

Como se deduce de la literalidad del articulo reproducido, el denominado principio de licitud se encuentra referenciado junto con los principios de transparencia y lealtad. Ahora bien, esta reseña unificada no impide que pueda ser objeto de análisis diferenciado.  En este sentido, la propia norma destina un precepto -el  artículo 6 - a regular las condiciones que debe reunir un tratamiento de datos para que pueda ser considerado lícito y la incidencia que la finalidad del tratamiento tiene sobre la licitud.

Atendiendo a lo dispuesto en el apartado 1º del artículo 6 del RGPD, el tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;

e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.

Como vemos, el artículo 6 del Reglamento instituye el consentimiento libre e informado del interesado como la base -pilar esencial- sobre la que pivota la licitud del tratamiento de los datos personales.

Pero el precepto citado, viene también a regular lo que -anteriormente- en el artículo 6.2 de la LOPD se conocían como “excepciones al consentimiento del afectado”.  En este sentido, atendiendo a lo dispuesto en el RGPD, en modo alguno se puede obviar que -en determinas circunstancias o situaciones- resultará posible realizar un tratamiento licito de los datos sin necesidad de recabar el consentimiento.

Así, comprobamos como no es necesario el consentimiento cuando el mismo resulte necesario para:

  •  La ejecución de un contrato.

En este sentido el RGPD recoge lo que anteriormente era denominado como el “mantenimiento de una relación negocial, laboral o administrativa.”

  • El cumplimiento de una obligación legal.

Atendiendo al considerando 41, esta obligación legal debe ser clara precisa y su aplicación previsible para los destinatarios de conformidad con la Jurisprudencia del Tribunal de Justicia de la Unión Europea y del Tribual Europeo de Derechos Humanos.

Por otra parte, el Reglamento no requiere que cada tratamiento individual se rija por una norma específica. Es decir, como señala el considerando 45, una norma puede ser suficiente como base para varias operaciones de tratamiento de datos basadas en una obligación legal aplicable al responsable del tratamiento, o si el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos.

  • La protección de intereses vitales del interesado.

El tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física.  En principio, los datos personales únicamente deben tratarse sobre la base del interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente. 

Sin embargo, el considerando 46 alude -expresamente- a ciertos tipos de tratamiento que pueden responder tanto a motivos importantes de interés público, como a los intereses vitales del interesado, como lo serán por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano.

  • El cumplimiento intereses públicos.

En relación con este supuesto, en virtud de lo expresamente dispuesto en el considerando 45,  resultará necesario garantizar que el tratamiento tenga su base y finalidad en derecho de la UE o en el de los Estados Miembros.

Además, las disposiciones que pudiera establecer los Estados podrán especificar las condiciones generales del Reglamento por las que se rige la licitud del tratamiento de datos personales, establecer especificaciones para la determinación del responsable del tratamiento, el tipo de datos personales objeto de tratamiento, los interesados afectados, las entidades a las que se pueden comunicar los datos personales, las limitaciones de la finalidad, el plazo de conservación de los datos y otras medidas para garantizar un tratamiento lícito y leal.

Debe determinarse también en virtud del Derecho de la Unión o de los Estados miembros si el responsable del tratamiento que realiza una misión en interés público o en el ejercicio de poderes públicos debe ser una autoridad pública u otra persona física o jurídica de Derecho público, o, cuando se haga en interés público, incluidos fines sanitarios como la salud pública, la protección social y la gestión de los servicios de sanidad, de Derecho privado, como una asociación profesional.

  • La satisfacción de un interés legítimo.

Esta previsión parte de la necesidad de establecer el necesario equilibrio entre los intereses del interesado y los del responsable del tratamiento.

En este sentido, hemos de señalar que es jurisprudencia reiterada del TJUE, como resalta su sentencia de 8 de abril de 2014 (asuntos acumulados C-293/12 y C-594/12, apartado 52), que las excepciones a la protección de los datos personales y las restricciones a dicha protección han de establecerse sin sobrepasar los límites de lo estrictamente necesario.

Al objeto de delimitar cuando existirá ese “legítimo interés del responsable” resulta oportuno atender a lo dispuesto en el considerando 47 que literalmente determina:

“..existirá un interés legítimo por parte de un responsable de tratamiento, (o incluso de un responsable al que se puedan comunicar datos personales), siempre y cuando no prevalezcan los intereses o los derechos y libertades del interesado, teniendo en cuenta las expectativas razonables de los interesados basadas en su relación con el responsable.

Tal interés legítimo podría darse, por ejemplo, cuando existe una relación pertinente y apropiada entre el interesado y el responsable, como en situaciones en las que el interesado es cliente o está al servicio del responsable.”

 En cualquier caso, la existencia de un interés legítimo requeriría una evaluación meticulosa, inclusive si un interesado puede prever de forma razonable, en el momento y en el contexto de la recogida de datos personales, que pueda producirse el tratamiento con tal fin. En particular, los intereses y los derechos fundamentales del interesado podrían prevalecer sobre los intereses del responsable del tratamiento cuando se proceda al tratamiento de los datos personales en circunstancias en las que el interesado no espere razonablemente que se realice un tratamiento ulterior.

El Tribunal de Justicia de la Unión Europea ha señalado, en sentencia de 24 de noviembre de 2011 (asuntos acumulados C-468/10 y C-469/10, caso ASNEF), que el indicado artículo 7.f) de la Directiva 95/46  -antecedente normativo del que precepto cuyo análisis nos ocupa- "establece dos requisitos acumulativos para que un tratamiento de datos personales sea lícito, a saber, por una parte, que ese tratamiento de datos personales sea necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, y, por otra parte, que no prevalezcan los derechos y libertades fundamentales del interesado" .

No hay versiones para este comentario

Datos personales
Responsable del tratamiento
Tratamiento de datos personales
Interés publico
Persona física
Interés legitimo
Poderes públicos
Protección de datos
Derechos humanos
Actividades de tratamiento de datos
Conservación de datos personales
Derechos fundamentales
Pertenece al Grupo

Documentos relacionados
Ver más documentos relacionados
  • Objeto y ámbito de aplicación del RGPD

    Orden: Administrativo Fecha última revisión: 30/07/2018

    A partir del 25 de mayo de 2018, con el comienzo con la aplicación del Reglamento general de protección de datos -en adelante RGPD- ,  se instaura un conjunto único de normas directamente aplicables en todos los Estados miembros.NOVEDADES: Real D...

  • Derecho de oposición en el RGPD

    Orden: Administrativo Fecha última revisión: 18/06/2018

    El RGPD reconoce expresamente el derecho del interesado a oponerse -en cualquier momento- por motivos relacionados con su situación particular, a que los datos personales que le conciernan sean objeto de un tratamiento basado en lo dispuesto en el a...

  • Responsable del Tratamiento de Protección de Datos en el RGPD

    Orden: Administrativo Fecha última revisión: 19/06/2018

    Según el art. 4, RGPD, el «responsable del tratamiento» o «responsable» es la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de...

  • Condiciones del consentimiento en el RGPD

    Orden: Administrativo Fecha última revisión: 18/06/2018

    El “consentimiento del interesado” es definido por el RGPD como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tr...

  • Reglamento General de Protección de Datos (RGPD)

    Orden: Administrativo Fecha última revisión: 30/07/2018

    El nuevo Reglamento General de Protección de Datos de la Unión Europea, conocido como «Reglamento General de Protección de Datos» (RGPD), entró en vigor el 25 de mayo de 2016, a pesar de que su aplicación plena ha comenzado el 25 de mayo d...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados