Tratamientos que no requieren identificación en el Reglamento General de Protección de Datos (RGPD) y la LO 3/2018 (LOPDGDD)

Función del responsable en el tratamiento que no requiere identificación

Artículo 11 del RGPD 

«1. Si los fines para los cuales un responsable trata datos personales no requieren o ya no requieren la identificación de un interesado por el responsable, este no estará obligado a mantener, obtener o tratar información adicional con vistas a identificar al interesado con la única finalidad de cumplir el presente Reglamento.

2. Cuando, en los casos a que se refiere el apartado 1 del presente artículo, el responsable sea capaz de demostrar que no está en condiciones de identificar al interesado, le informará en consecuencia, de ser posible. En tales casos no se aplicarán los artículos 15 a 20, excepto cuando el interesado, a efectos del ejercicio de sus derechos en virtud de dichos artículos, facilite información adicional que permita su identificación».

En síntesis, cuando los fines para los cuales un responsable trata los datos personales no requieren la identificación del interesado, aquel no tendrá obligación de mantener, obtener y tratar información adicional.

Ahora bien, cuando en el supuesto anterior, el responsable demuestre que no está en condiciones de identificar al interesado, le informará, de ser posible, de ese extremo. En dichos casos, no serán de aplicación los artículos 15 a 20 del RGPD, excepto cuando el interesado proporcione información adicional que posibilite su identificación.

Además, el considerando 57 del mismo texto legal dispone que si los datos personales objeto de tratamiento por un responsable no le permiten identificar a una persona física:

«(...) el responsable no debe estar obligado a obtener información adicional para identificar al interesado con la única finalidad de cumplir cualquier disposición del presente Reglamento. No obstante, el responsable del tratamiento no debe negarse a recibir información adicional facilitada por el interesado a fin de respaldarle en el ejercicio de sus derechos. La identificación debe incluir la identificación digital de un interesado, por ejemplo mediante un mecanismo de autenticación, como las mismas credenciales, empleadas por el interesado para abrir una sesión en el servicio en línea ofrecido por el responsable».

Sin perjuicio de lo anterior, cuando el responsable del tratamiento dude razonablemente de la identidad de la persona física que realiza la solicitud de alguno de los derechos contenidos en los artículos 15 a 21 del RGPD, podrá solicitar que se facilite la información adicional necesaria para confirmar la identidad del interesado (artículo 12.6 del RGPD).

CUESTIONES

1. ¿Cuáles son los derechos contenidos en los artículos 15 a 21 del RGPD ?

Los derechos contenidos en estos artículos son los siguientes:

- Derecho de acceso del interesado (artículo 15 del RGPD).

- Derecho de rectificación (artículo 16 del RGPD).

- Derecho de supresión (artículo 17 del RGPD).

- Derecho a la limitación del tratamiento (artículo 18 del RGPD).

- Obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento (artículo 19 del RGPD).

- Derecho a la portabilidad de los datos (artículo 20 del RGPD).

- Derecho de oposición (artículo 21 del RGPD).

2. ¿Cómo deberán mantenerse los datos personales?

Los datos personales serán «mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado ("limitación del plazo de conservación")» [artículo 5.1.e) del RGPD].

3. ¿A qué garantías estará sujeto el tratamiento con fines de archivo?

El tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos estará sometido a las garantías oportunas de acuerdo con el RGPD, «(...) para los derechos y las libertades de los interesados. Dichas garantías harán que se disponga de medidas técnicas y organizativas, en particular para garantizar el respeto del principio de minimización de los datos personales. Tales medidas podrán incluir la seudonimización, siempre que de esa forma puedan alcanzarse dichos fines. Siempre que esos fines pueden alcanzarse mediante un tratamiento ulterior que no permita o ya no permita la identificación de los interesados, esos fines se alcanzarán de ese modo» [artículo 89.1 del RGPD].

Por otro lado, aunque la LOPDGDD no estipule expresamente estos tratamientos, sí hace referencia a los mismos dentro de la regulación de su régimen sancionador, calificando como:

a) Infracción leve: «d) No atender los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de los datos en tratamientos en los que no se requiere la identificación del afectado, cuando este, para el ejercicio de esos derechos, haya facilitado información adicional que permita su identificación, salvo que resultase de aplicación lo dispuesto en el artículo 73 c) de esta ley orgánica» [artículo 74.d) de la LOPDGDD].

b) Infracción grave: «c) El impedimento o la obstaculización o la no atención reiterada de los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de los datos en tratamientos en los que no se requiere la identificación del afectado, cuando este, para el ejercicio de esos derechos, haya facilitado información adicional que permita su identificación» [artículo 73.c) de la LOPDGDD].