Cualquier tratamiento de datos personales que se lleve a cabo deberá ser lícito, leal y transparente. Pero, ¿qué se entiende por lícito? Tanto el RGPD como la LOPDGDD, relacionan la licitud con la lealtad, y la lealtad con la transparencia, siendo su máximo exponente: la información. Por ello, para que el tratamiento sea lícito es necesario informar al afectado de forma accesible, fácil de entender y empleando un lenguaje sencillo y claro. Además, la información deberá ser facilitada, generalmente, en el momento de la obtención de los datos personales.
«Toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro» Considerando 39 RGPD.
No obstante lo anterior, cumplir con el deber de información es sólo una parte del tratamiento lícito, sino que además debe ampararse en una de las bases jurídicas que lo legitima.
«Para que el tratamiento sea lícito, los datos personales deben ser tratados con el consentimiento del interesado o sobre alguna otra base legítima establecida conforme a Derecho» Considerando 40 RGPD.
Actualmente, el RGPD establece seis supuestos que legitiman el tratamiento de datos personales:
- El consentimiento del interesado.
- Interés legítimo del responsable.
- Por una necesidad contractual.
- Protección de intereses vitales del titular.
- Para el cumplimiento de una obligación legal.
- Causas de interés público.
El consentimiento, ¿sigue ostentando el papel principal?
Si bien es cierto, el consentimiento ha sido la base jurídica usada por excelencia, tanto en la actualidad como con la aplicación de la anterior normativa. Sin embargo, los requisitos a la hora de obtener y/o prestar el consentimiento son muy distintos. Con el RGPD, decimos adiós a la posibilidad de utilizar el consentimiento tácito, dejando claro que no son válidas, entre otras, las siguientes fórmulas de obtención: las casillas ya marcadas, el silencio o la inacción. De ahora en adelante, debe consistir en una manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.
A continuación, se analizan los elementos necesarios para que el consentimiento sea válido, según la guía de sobre el consentimiento elaborada por el antiguo Grupo de Trabajo del artículo 29:
De la anterior definición, y siguiendo las pautas establecidas por el Grupo de Trabajo del Artículo 29, el consentimiento debe ser:
- El consentimiento debe implicar un control total de los datos por parte del usuario. Por ello, no se considerará libre, entre otras causas, cuando: i) haya sido condicionado para la consecución de otros fines no necesarios para el cumplimiento de un contrato, ii) su revocación implique consecuencias negativas y iii) no se haya obtenido por separado para la finalidad del tratamiento que se realice.
- Específico. El consentimiento se obtiene para la persecución de fines específicos y no ambiguos. Cuando el tratamiento tenga varios fines, el usuario debe consentir cada uno de ellos.
- Una vez más, es importante cumplir con el principio de transparencia y con el deber de informar, facilitando al usuario la información pertinente al efecto (información básica o de primera capa).
- Debe ser obtenido antes de iniciar el tratamiento de datos.
- Inequívoco. Manifestado antes de iniciar el tratamiento de datos, mediante una clara acción afirmativa y evitando incluir su obtención en la misma fórmula que la aceptación de las condiciones generales de contratación.
Por último, para el tratamiento de determinadas categorías de datos, o para la elaboración de perfiles o cuando se adopten decisiones automatizadas, se hace absolutamente necesario recabar el consentimiento explícito (firmas, enviar un formulario, email, etc.).
¿Es el interés legítimo una nueva figura creada por el RGPD?
La respuesta es NO. Quizás no haya sido una de las bases jurídicas más conocidas anteriormente pero, desde luego, hoy es gran protagonista.
El Grupo de Trabajo del artículo 29, en el Dictamen 06/2014, se refirió al interés legítimo, en aras de la Directiva 95/46/CE, como el «fundamento jurídico [que] permite el tratamiento necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran protección». Es decir, tras ponderar el interés legítimo del responsable y los intereses y derecho fundamentales del interesado, estos últimos no pueden prevalecer sobre el primero, siendo en este caso un tratamiento de datos lícito.
Por ello, cumpliendo los requisitos de ponderación, el interés legítimo es uno de los supuestos que legitima el tratamiento de datos personales.
Ahora bien, ¿cuáles son los requisitos de la regla de ponderación?
En el mismo Dictamen citado anteriormente, se estipulaba que la regla de ponderación requiere tener en consideración los factores relativos a: “a) evaluación del interés legítimo del responsable del tratamiento; b) impacto sobre los interesados; c) equilibrio provisional y d) garantías adicionales aplicadas por el responsable del tratamiento para impedir cualquier impacto indebido sobre los interesados”.
En el siguiente enlace, se puede observar un ejemplo práctico en el que la AEPD resuelve una consulta sobre la procedencia o no de la aplicación del interés legítimo como base jurídica lícita (acceso a informe jurídico).
Ejemplo de interés legítimo contemplados en la norma
«El tratamiento de datos de carácter personal estrictamente necesario para la prevención del fraude constituye también un interés legítimo del responsable del tratamiento de que se trate. El tratamiento de datos personales con fines de mercadotecnia directa puede considerarse realizado por interés legítimo» Considerando 47 RGPD.
«Constituye un interés legítimo del responsable del tratamiento interesado el tratamiento de datos personales en la medida estrictamente necesaria y proporcionada para garantizar la seguridad de la red y de la información» Considerando 49 RGPD.
En la LOPDGDD, en los artículos 19 y ss., se estipulan también varios supuestos amparados en el interés legítimo, como son, entre otras:
- El tratamiento de datos de contacto de personas físicas que prestan servicio en personas jurídicas, siempre con fines de localización profesional o por asuntos de índole profesional.
- El tratamiento de datos de empresarios individuales o de profesionales liberales, siempre que el tratamiento guarde relación con su actividad y no como persona física.
- El tratamiento de datos personales relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito por sistemas comunes de información crediticia.
- El tratamiento de datos relacionado con operaciones de reestructuración societaria o transmisiones de negocio.
- El tratamiento con fines de videovigilancia.
- Será lícito el tratamiento de datos personales que tenga por objeto evitar el envío de comunicaciones comerciales a quienes hubiesen manifestado su negativa u oposición a recibirlas.