El responsable del fichero debe controlar y autorizar las comunicaciones o cesiones de datos personales a terceros a fin de que las mismas se realicen de acuerdo con la ley.
La cesión o comunicación de datos es un tratamiento de datos que supone revelarlos a una persona diferente del titular de los datos (es un acceso a la información por parte de un tercero, siempre que éste no tenga la consideración de encargado del tratamiento).
Cómo tiene que ser el consentimiento y en qué casos no es necesario solicitarlo
A) Si es para ceder datos personales que no tienen la consideración de sensibles o especialmente protegidos
Por ejemplo, nombre, apellidos, DNI, dirección postal y electrónica, número de teléfono, características físicas, voz, fotografías u otras imágenes.
- Es necesario el consentimiento inequívoco: cualquier acción u omisión que muestre que se ha consentido (salvo que no haga falta de acuerdo con lo que dispone la ley).
- Casos en los que no es necesario el consentimiento:
- Cuando la cesión esté autorizada en una ley.
- Cuando la cesión tenga lugar entre Administraciones públicas en alguno de los casos siguientes:
- Que el objeto de la cesión sea el tratamiento de los datos con finalidades históricas, estadísticas o científicas.
- Que los datos personales hayan sido recogidos o elaborados por una Administración pública con destino a otra Administración pública.
- Que la comunicación se lleve a cabo para el ejercicio de competencias idénticas o que se refieran a las mismas materias.
- Cuando los datos se recojan de fuentes accesibles al público y el responsable del fichero o el tercero a quien se comuniquen los datos tenga un interés legítimo para tratarlos o saberlos, siempre que no se vulneren los derechos y las libertades fundamentales de la persona. Las Administraciones públicas sólo pueden comunicar datos recogidos de fuentes accesibles al público a responsables de ficheros de titularidad privada cuando lo autorice una ley.
- Cuando la cesión responda a la libre y legítima aceptación de una relación jurídica que comporte la comunicación de los datos (que comporte la conexión del tratamiento con ficheros de terceros). La comunicación sólo es legítima si se limita a la finalidad que la justifica.
- Cuando la comunicación se dirija al Defensor del Pueblo o al Síndic de Greuges, al Ministerio Fiscal, a los jueces y tribunales o al Tribunal de Cuentas o la Sindicatura de Cuentas, siempre que la comunicación se lleve a cabo en el ámbito de las funciones que la ley les atribuye expresamente.
- Cuando los datos personales sean recogidos y tratados por la policía para prevenir un peligro real, para garantizar la seguridad pública o para reprimir infracciones penales.
B) Si es para ceder datos personales que tienen la consideración de sensibles o especialmente protegidos
1) Si hacen referencia al origen racial o étnico, la salud y la vida sexual
- Es necesario el consentimiento expreso (salvo que no haga falta de acuerdo con lo que dispone la ley).
- Casos en los que no es necesario el consentimiento:
- Cuando por razones de interés general así lo disponga una ley.
- Cuando el tratamiento sea necesario:
- Para llevar a cabo la prevención o el diagnóstico médicos, la prestación de asistencia sanitaria o de tratamientos médicos o la gestión de servicios sanitarios, siempre que los haga un profesional sanitario sujeto al secreto profesional u otra persona sujeta a una obligación equivalente de secreto.
- Para salvaguardar el interés vital de la persona afectada o de otra persona, en caso de que la persona afectada esté física o jurídicamente incapacitada para dar el consentimiento.
- Cuando los datos personales sean recogidos y tratados por la policía y exclusivamente en los casos en que sea absolutamente necesario para las finalidades de una investigación concreta.
- Respecto a los datos de salud, además: para solucionar una urgencia que requiera acceder a un fichero o para hacer estudios epidemiológicos.
2) Si revelan la ideología, la afiliación sindical, la religión y las creencias
- Es necesario el consentimiento expreso y por escrito.
- Casos en los que no es necesario el consentimiento:
- Cuando los datos personales sean recogidos y tratados por la policía y exclusivamente en los casos en que sea absolutamente necesario para las finalidades de una investigación concreta.
Cómo hay que solicitar y obtener el consentimiento, y posibilidad de revocarlo
Cómo hay que solicitarlo:
En los casos en que sea suficiente el consentimiento inequívoco, hay que dar treinta días a la persona a quien se solicita, para que se pueda oponer al tratamiento, y hay que advertirla de que, si no dice nada, se entiende que consiente. Hay que facilitarle un medio sencillo y gratuito para hacerlo, como, por ejemplo, un envío prefranqueado al responsable del tratamiento, una llamada a un número de teléfono gratuito o a través del servicio de atención al público. Esta información debe ser claramente visible, y si hay constancia de que la comunicación se ha devuelto, no se puede hacer el tratamiento. No se puede solicitar el consentimiento siguiendo este procedimiento respecto a los mismos tratamientos y finalidades en intervalos inferiores a un año.
Cómo hay que obtenerlo:
- Si son menores de 14 años, hay que solicitar el consentimiento a los padres o tutores. A los menores sólo se les puede pedir el nombre y los apellidos, y la dirección de los padres o tutores para solicitarles el consentimiento.
- Si son mayores de 14 años, pueden consentir por sí mismos, salvo que una ley disponga lo contrario. Hay que utilizar un lenguaje sencillo y no se les puede pedir información sobre los otros miembros de la familia, ni referente a la profesión ni de tipo económico.
- La solicitud del consentimiento tiene que hacer referencia a uno o varios tratamientos concretos, y debe determinar la finalidad para la que se pide y las condiciones del tratamiento o los tratamientos. En la cesión, además, hay que hacer referencia al tipo de actividad del tercero (si no, el consentimiento es nulo).
- Si en el marco de una relación contractual se quiere solicitar el consentimiento para tratar y comunicar los datos con una finalidad que no esté relacionada directamente con esta relación contractual, hay que permitir que la persona pueda manifestar expresamente su negativa al tratamiento. Por ejemplo, se puede incluir en el propio contrato una casilla claramente visible y que no esté ya marcada.
Cómo se puede revocar:
Consultar el apartado Derecho a revocar el consentimiento.
Requisitos, además del consentimiento, para ceder datos personales
Hay que acreditar que la comunicación de los datos es para llevar a cabo finalidades directamente relacionadas con las funciones legítimas de quien los cede y de quien los recibe. Este interés legítimo del responsable o del cesionario no puede vulnerar el interés o los derechos y las libertades fundamentales de la persona.
Casos en los que no es necesario aplicar la normativa de protección de datos en la cesión de información
En los casos en que sea posible llevar a cabo la finalidad de la comunicación anonimizando o disociando la información, de modo que no se puedan relacionar los datos con una persona física en concreto, hay que hacerlo así y no es necesario tener en cuenta lo establecido en la normativa de protección de datos.