Principio de licitud en el Reglamento general de protección de datos (RGPD) y en la LO 3/2018 (LOPDGDD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 21/01/2019

Como se deduce de la literalidad del articulo 6 del RGPD, el denominado "principio de licitud" se encuentra referenciado junto con los principios de transparencia y lealtad. Ahora bien, esta reseña unificada no impide que pueda ser objeto de análisis diferenciado. En este sentido, la propia norma destina el precepto a regular las condiciones que debe reunir un tratamiento de datos para que pueda ser considerado lícito y la incidencia que la finalidad del tratamiento tiene sobre la licitud. Igualmente en la nueva LOPDGDD se incluyen uan serie de supuestos de tratamiento lícitos.

En la LOPDGDD no se hace una mención expresa en su articulado al citado principio, si bien en el preámbulo se especifica que en el Título IV se recogen «Disposiciones aplicables a tratamientos concretos», incorporando una serie de supuestos que en ningún caso debe considerarse exhaustiva de todos los tratamientos lícitos. Dentro de ellos cabe apreciar, en primer lugar, aquellos respecto de los que el legislador establece una presunción «iuris tantum» de prevalencia del interés legítimo del responsable cuando se lleven a cabo con una serie de requisitos, lo que no excluye la licitud de este tipo de tratamientos cuando no se cumplen estrictamente las condiciones previstas en el texto, si bien en este caso el responsable deberá llevar a cabo la ponderación legalmente exigible, al no presumirse la prevalencia de su interés legítimo. Junto a estos supuestos se recogen otros, tales como la videovigilancia, los ficheros de exclusión publicitaria o los sistemas de denuncias internas en que la licitud del tratamiento proviene de la existencia de un interés público, en los términos establecidos en el artículo 6.1.e) del RGPD. Finalmente, se hace referencia en este Título a la licitud de otros tratamientos regulados en el Capítulo IX del reglamento, como los relacionados con la función estadística o con fines de archivo de interés general. En todo caso, el hecho de que el legislador se refiera a la licitud de los tratamientos no enerva la obligación de los responsables de adoptar todas las medidas de responsabilidad activa establecidas en el Capítulo IV del RGPD y en el Título V de esta ley orgánica.

Además se puntualiza la licitud en cuanto al tratamiento de datos personales, por ejemplo:

- en el caso del consentimiento para el tratamiento de los datos de menores en que solo será lícito si consta el consentimiento del titular de la patria potestad o tutela;

- cuando se cumplan determinados requisitos y salvo prueba en contrario se presumirá lícito el tratamiento de datos personales:

a) relativos al incomplimiento de obligaciones dinerarias, financieras o de crédito

b) incluída su comunicación con carácter previo, que pudieran derivarse del desarrollo de cualquier operación de modificación estructural de sociedades o la aportación o transmisión de negocio o rama de actividad empresarial para el buen fin de la operación y la continuidad de la prestación de servicios

- cuando tenga por objeto evitar el envío de comunicaciones comerciales a quien hubiesen manifestado su negativa u opisición a recibirlas

- se lleve a cabo por las Administraciones Públicas con fines de archivo en interés público, y

- en cuanto a los tratamiento de datos de salud, se considera lícito el uso de datos personales seudonimizados con fines de investigación en salud y, en particular, biomédica

 

Por lo que respecta al RGPD,todo tratamiento de datos personales debe ser lícito y leal. Ya en su artículo 5.1.a) se establece que los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado (principio de licitud, lealtad y transparencia), pasando a regular dicho principio en el apartado 1º del artículo 6 del RGPD, en el que se estipula que el tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;

e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.

Como vemos, el artículo 6 del Reglamento instituye el consentimiento libre e informado del interesado como la base -pilar esencial- sobre la que pivota la licitud del tratamiento de los datos personales. Pero el precepto citado, viene también a regular lo que -anteriormente- en el artículo 6.2 de la LOPD se conocían como "excepciones al consentimiento del afectado". En este sentido, atendiendo a lo dispuesto en el RGPD, en modo alguno se puede obviar que -en determinas circunstancias o situaciones- resultará posible realizar un tratamiento licito de los datos sin necesidad de recabar el consentimiento. Así, comprobamos como no es necesario el consentimiento cuando el mismo resulte necesario para:

  • La ejecución de un contrato. En este sentido el RGPD recoge lo que anteriormente era denominado como el "mantenimiento de una relación negocial, laboral o administrativa".
  • El cumplimiento de una obligación legal. Atendiendo al considerando 41, esta obligación legal debe ser clara precisa y su aplicación previsible para los destinatarios de conformidad con la Jurisprudencia del Tribunal de Justicia de la Unión Europea y del Tribual Europeo de Derechos Humanos.
    Por otra parte, el Reglamento no requiere que cada tratamiento individual se rija por una norma específica. Es decir, como señala el considerando 45, una norma puede ser suficiente como base para varias operaciones de tratamiento de datos basadas en una obligación legal aplicable al responsable del tratamiento, o si el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos.
  • La protección de intereses vitales del interesado. El tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. En principio, los datos personales únicamente deben tratarse sobre la base del interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente.
    Sin embargo, el considerando 46 alude -expresamente- a ciertos tipos de tratamiento que pueden responder tanto a motivos importantes de interés público, como a los intereses vitales del interesado, como lo serán por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano.
  • El cumplimiento intereses públicos. En relación con este supuesto, en virtud de lo expresamente dispuesto en el considerando 45, resultará necesario garantizar que el tratamiento tenga su base y finalidad en derecho de la UE o en el de los Estados Miembros.
    Además, las disposiciones que pudiera establecer los Estados podrán especificar las condiciones generales del Reglamento por las que se rige la licitud del tratamiento de datos personales, establecer especificaciones para la determinación del responsable del tratamiento, el tipo de datos personales objeto de tratamiento, los interesados afectados, las entidades a las que se pueden comunicar los datos personales, las limitaciones de la finalidad, el plazo de conservación de los datos y otras medidas para garantizar un tratamiento lícito y leal.
    Debe determinarse también en virtud del Derecho de la Unión o de los Estados miembros si el responsable del tratamiento que realiza una misión en interés público o en el ejercicio de poderes públicos debe ser una autoridad pública u otra persona física o jurídica de Derecho público, o, cuando se haga en interés público, incluidos fines sanitarios como la salud pública, la protección social y la gestión de los servicios de sanidad, de Derecho privado, como una asociación profesional.
  • La satisfacción de un interés legítimo. Esta previsión parte de la necesidad de establecer el necesario equilibrio entre los intereses del interesado y los del responsable del tratamiento. En este sentido, hemos de señalar que es jurisprudencia reiterada del TJUE, como resalta su sentencia de 8 de abril de 2014 (asuntos acumulados C-293/12 y C-594/12, apartado 52), que las excepciones a la protección de los datos personales y las restricciones a dicha protección han de establecerse sin sobrepasar los límites de lo estrictamente necesario.
    Al objeto de delimitar cuando existirá ese "legítimo interés del responsable" resulta oportuno atender a lo dispuesto en el considerando 47 que literalmente determina: "..existirá un interés legítimo por parte de un responsable de tratamiento, (o incluso de un responsable al que se puedan comunicar datos personales), siempre y cuando no prevalezcan los intereses o los derechos y libertades del interesado, teniendo en cuenta las expectativas razonables de los interesados basadas en su relación con el responsable. Tal interés legítimo podría darse, por ejemplo, cuando existe una relación pertinente y apropiada entre el interesado y el responsable, como en situaciones en las que el interesado es cliente o está al servicio del responsable."
    En cualquier caso, la existencia de un interés legítimo requeriría una evaluación meticulosa, inclusive si un interesado puede prever de forma razonable, en el momento y en el contexto de la recogida de datos personales, que pueda producirse el tratamiento con tal fin. En particular, los intereses y los derechos fundamentales del interesado podrían prevalecer sobre los intereses del responsable del tratamiento cuando se proceda al tratamiento de los datos personales en circunstancias en las que el interesado no espere razonablemente que se realice un tratamiento ulterior.

Además, aunque se disponga del consentimiento inicial, el interesado tendrá derecho a retirar el mismo en cualquier momento, lo que no afectará a la licitud del tratamiento basado en el consentimiento previo a su retirada. Igualmente el RGPD establece que los interesados deben tener derecho a acceder a los datos personales recogidos que le conciernan con el fin de conocer y verificar la licitud del tratamiento.

La aplicación del mecanismo de coherencia para la cooperación entre las autoridades de control debe igualmente cumplir con la condición de licitud en los casos de que se adopte una medida destinada a producir efectos jurídicos, cuando su aplicación sea obligatoria. Igualmente se habilita a los Estados miembros a mantener o introducir disposiciones más específicas, fijando de manera más precisa requisitos específicos de tratamiento y otras medidas que garanticen un tratamiento lícito y equitativo, con inclusión de otras situaciones específicas de tratamiento.

Con respecto al consentimiento de los menores, se considerará lícito el tratamiento de datos de un niño cuando tenga como mínimo 16 años, aunque se habilita a los Estados miembros a establecer una edad inferior si así lo consideran oportuno -> tal es el caso de España, en donde se ha establecido el límite de edad, para que el tratamiento basado en el consentimiento se considere lícito, en 14 años.

 

Finalmente, el Tribunal de Justicia de la Unión Europea ha señalado, en sentencia de 24 de noviembre de 2011 (asuntos acumulados C-468/10 y C-469/10, caso ASNEF), que el indicado artículo 7.f) de la Directiva 95/2046-antecedente normativo del que precepto del RGPD cuyo análisis nos ocupa- "establece dos requisitos acumulativos para que un tratamiento de datos personales sea lícito, a saber, por una parte, que ese tratamiento de datos personales sea necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, y, por otra parte, que no prevalezcan los derechos y libertades fundamentales del interesado" .

No hay versiones para este comentario

Tratamiento de datos personales
Datos personales
Interés publico
Interés legitimo
Responsable del tratamiento
Persona física
Poderes públicos
Presunción iuris tantum
Prueba en contrario
Tutela
Protección de datos
Patria potestad
Modificaciones estructurales
Actividades empresariales
Obligaciones dinerarias
Prestación de servicios
Actividades de tratamiento de datos
Derechos humanos
Conservación de datos personales
Mecanismo de coherencia
Derechos fundamentales
Autoridad de control de datos
Situaciones específicas de tratamiento

Ley Orgánica 3/2018 de 5 de Dic (Protección de Datos Personales y garantía de los derechos digitales -LOPDGDD-) VIGENTE

Boletín: Boletín Oficial del Estado Número: 294 Fecha de Publicación: 06/12/2018 Fecha de entrada en vigor: 07/12/2018 Órgano Emisor: Jefatura Del Estado

Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) VIGENTE

Boletín: Diario Oficial de la Unión Europea Número: 118 Fecha de Publicación: 04/05/2016 Fecha de entrada en vigor: 24/05/2016 Órgano Emisor: Parlamento Europeo Y Consejo

Pertenece al Grupo

Documentos relacionados
Ver más documentos relacionados
  • Cumplimiento de una obligación legal en materia de protección de datos

    Orden: Administrativo Fecha última revisión: 30/01/2019

    Tal y como indica el artículo 6.1 del  RGPD el tratamiento solo será lícito si se cumple con algunas de las condiciones indicadas en dicho precepto, y entre ellas se incluye como letra c) el tratamiento es necesario para el cumplimiento de una ob...

  • Interés Público como base jurídica para el tratamiento de datos de carácter personal

    Orden: Administrativo Fecha última revisión: 07/02/2019

    Cuando se realice en cumplimiento de una obligación legal aplicable al responsable del tratamiento, o si es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos, el tratamiento debe tene...

  • Condiciones aplicables al consentimiento en materia de protección de datos

    Orden: Administrativo Fecha última revisión: 30/01/2019

    Atendiendo a lo expuesto en el tema general sobre el consentimiento, cabe preguntarse ¿cómo debe prestarse ese consentimiento para entender que pueda constituir una base legal que ampare el tratamiento de datos y que –en consecuencia- pueda consi...

  • Tratamiento de datos con fines de videovigilancia

    Orden: Administrativo Fecha última revisión: 12/02/2019

    En el caso de la videovigilancia, la licitud del tratamiento proviene de la existencia de un interés público, en los términos establecidos en el artículo 6.1.e) del RGPD.El tratamiento con fines de videovigilancia se encuentra regulado en la LOPD...

  • Consentimiento de los interesados en materia de protección de datos

    Orden: Administrativo Fecha última revisión: 28/01/2019

    El "consentimiento del interesado" es definido por el RGPD en su artículo 4.11 como "toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción af...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados