Principio de licitud en el Reglamento general de protección de datos (RGPD) y en la LO 3/2018 (LOPDGDD)

Antes de entrar a analizar de manera pormenorizada los distintos principios regidores del tratamiento de datos debemos hacernos la siguiente pregunta:

¿En qué consiste el tratamiento de datos personales?

Según el Diccionario del Español Jurídico de la RAE, el tratamiento de datos personales es el «Conjunto de operaciones o procedimientos técnicos, automatizados o no, que permiten la recogida, registro, organización, conservación, adaptación o modificación, extracción, consulta, utilización, difusión, o cualquier otra forma que facilite el acceso a los datos personales, cotejo o interconexión, así como su bloqueo, supresión o destrucción».

Así, el artículo 5.1.a) del RGPD dispone que los datos personales tienen que ser tratados de manera lícita, leal y transparente en relación con el interesado.

Ahora bien, el tratamiento de datos personales será considerado lícito si se encuentra dentro de alguno de los siguientes supuestos:

a) El interesado da su consentimiento para el tratamiento de sus datos para uno o varios fines específicos.

b) Es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación de medidas precontractuales.

c) Es necesario para el cumplimiento de una obligación legal imputable al responsable del tratamiento.

d) Es necesario para proteger intereses vitales del interesado o de otros particulares.

e) Es necesario para la efectividad de una misión realizada en interés público o en el ejercicio de poderes públicos que se hayan conferido al responsable del tratamiento.

f) Es necesario para satisfacer los intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que los referidos intereses, no prevalezcan sobre los intereses, derechos y libertades fundamentales del interesado, en concreto, cuando el interesado sea un niño.

A TENER EN CUENTA. Lo dispuesto en la letra f) no se aplicará al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones (artículo 6 del RGPD).

CUESTIONES

1. ¿Según el RGPD cómo tienen que ser las medidas legislativas?

Cuando el RGPD hace referencia a una base jurídica o a una medida legislativa «esto no exige necesariamente un acto legislativo adoptado por un parlamento, sin perjuicio de los requisitos de conformidad del ordenamiento constitucional del Estado miembro de que se trate. Sin embargo, dicha base jurídica o medida legislativa debe ser clara y precisa y su aplicación previsible para sus destinatarios, de conformidad con la jurisprudencia del Tribunal de Justicia de la Unión Europea (en lo sucesivo, "Tribunal de Justicia") y del Tribunal Europeo de Derechos Humanos» (considerando 41 del RGPD).

2. ¿Qué intereses se protegen mediante el tratamiento de datos personales?

Según el RGPD, los datos personales solo deben tratarse «sobre la base del interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano» (considerando 46 del RGPD).

3. ¿Cómo se establecerá la finalidad del tratamiento?

De acuerdo con lo establecido por el considerando 45 del RGPD:

«Cuando se realice en cumplimiento de una obligación legal aplicable al responsable del tratamiento, o si es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos, el tratamiento debe tener una base en el Derecho de la Unión o de los Estados miembros. El presente Reglamento no requiere que cada tratamiento individual se rija por una norma específica. Una norma puede ser suficiente como base para varias operaciones de tratamiento de datos basadas en una obligación legal aplicable al responsable del tratamiento, o si el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos. La finalidad del tratamiento también debe determinase en virtud del Derecho de la Unión o de los Estados miembros».

Asimismo, la referida norma podría «(...) especificar las condiciones generales del presente Reglamento por las que se rige la licitud del tratamiento de datos personales, establecer especificaciones para la determinación del responsable del tratamiento, el tipo de datos personales objeto de tratamiento, los interesados afectados, las entidades a las que se pueden comunicar los datos personales, las limitaciones de la finalidad, el plazo de conservación de los datos y otras medidas para garantizar un tratamiento lícito y leal».

También debe especificarse en virtud del derecho de la Unión o de los Estados miembros «si el responsable del tratamiento que realiza una misión en interés público o en el ejercicio de poderes públicos debe ser una autoridad pública u otra persona física o jurídica de Derecho público, o, cuando se haga en interés público, incluidos fines sanitarios como la salud pública, la protección social y la gestión de los servicios de sanidad, de Derecho privado, como una asociación profesional».

A mayor abundamiento, el Tribunal de Justicia de la Unión Europea en su sentencia núm. C-293/12, C-594/12, de 8 de abril de 2014, ECLI:EU:C:2014:238, declara que:

«En lo que respecta al derecho a la intimidad, la protección de este derecho fundamental exige en cualquier caso, conforme a la jurisprudencia reiterada del Tribunal de Justicia, que las excepciones a la protección de los datos personales y las restricciones a dicha protección se establezcan sin sobrepasar los límites de lo estrictamente necesario».

4. ¿Qué preceptos del RGPD se refieren a la licitud en el tratamiento de datos personales?

El RGPD hace referencia a la licitud en el tratamiento de datos personales en los siguientes artículos:

- Principios relativos al tratamiento [artículo 5.1.a) del RGPD].

- Licitud del tratamiento (artículo 6 del RGPD).

- Condiciones para el consentimiento (artículo 7.3 del RGPD).

- Información que deberá facilitarse cuando los datos personales se obtengan del interesado [artículo 13.2.c) del RGPD].

- Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado [artículo 14.2.d) del RGPD].

- Derecho a la limitación del tratamiento (artículo 18 del RGPD).

5. ¿Qué artículos de la LOPDGDD tratan la licitud del tratamiento de datos personales?

La LOPDGDD hace referencia a la licitud del tratamiento de datos personales en los siguientes preceptos:

- Consentimiento de los menores de edad (artículo 7 de la LOPDGDD).

- Sistema de información crediticia (artículo 20 de la LOPDGDD).

- Tratamiento relacionados con la realización de determinadas operaciones mercantiles (artículo 21 de la LOPDGDD).

- Sistema de exclusión publicitaria (artículo 23 de la LOPDGDD).

- Tratamiento de datos con fines de archivo en interés público por parte de las Administraciones Públicas (artículo 26 de la LOPDGDD).

- Tratamientos contrarios al Reglamento (UE) 2016/679 (artículo 59 de la LOPDGDD).

- Tratamientos de datos de salud (D.A. 17.ª de la LOPDGDD).

Un ejemplo ilustrativo del establecimiento de condiciones para que el tratamiento de datos personales sea considerado lícito, es el llamado «caso ASNEF», en el que el Tribunal de Justicia de la Unión Europa, en su sentencia núm. C-468/10, de 24 de noviembre de 2011, ECLI:EU:C:2011:777, aclara que:

«El artículo 7, letra f), de la Directiva 95/46, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, establece dos requisitos acumulativos para que un tratamiento de datos personales sea lícito, a saber, por una parte, que ese tratamiento de datos personales sea necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, y, por otra parte, que no prevalezcan los derechos y libertades fundamentales del interesado. El segundo de esos requisitos exige una ponderación de los derechos e intereses en conflicto, que dependerá, en principio, de las circunstancias concretas del caso particular de que se trate y en cuyo marco la persona o institución que efectúe la ponderación deberá tener en cuenta la importancia de los derechos que los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea confieren al interesado».