Identificar la base jurídica que permeti el tractament

Supòsits

Per complir amb un dels principis de protecció de dades, el de licitud del tractament, cal comptar amb una base jurídica per poder tractar les dades personals. Així, només podràs tractar-les si es dona algun dels supòsits següents:

• Consentiment: comptar amb el consentiment de la persona titular de les dades. Ha de ser vàlid: inequívoc, específic, informat i lliure.
• Contracte: que el tractament de dades sigui necessari per executar un contracte en què la persona titular de les dades n’és part o per aplicar mesures precontractuals a petició d’ella.
• Obligació legal del responsable: que el tractament sigui necessari per complir una obligació legal de l’entitat responsable del tractament.
• Interessos vitals: que sigui necessari per protegir interessos vitals de la persona titular de les dades o d’una altra persona.
• Missió d’interès públic: que sigui necessari per complir una missió realitzada en interès públic o en l’exercici de poders públics atorgats a l’entitat responsable del tractament.
• Interessos legítims del responsable: que sigui necessari per satisfer interessos legítims perseguits per l’entitat responsable del tractament o per un tercer. Es podrà emprar aquesta base jurídica per tractar les dades sempre que no prevalguin interessos o drets i llibertats fonamentals de la persona titular de les dades que requereixin la protecció de dades personals, en particular quan sigui menor. Cal apuntar que aquesta base jurídica no es pot aplicar en tractaments efectuats per les autoritats públiques en l’exercici de les seves funcions.

I si són categories especials de dades?

Si el tractament afecta categories especials de dades, que fan referència a dades especialment protegides relatives a la salut o la vida sexual, la ideologia, les opinions polítiques, etc., a més de necessitar una base jurídica de les regulades a l’RGPD, cal que es doni algun dels supòsits següents:

• Consentiment: el tractament s’efectua amb el consentiment explícit de la persona titular de les dades, tret que el dret de la UE o de l’estat membre no ho permeti.
• Obligacions o drets laborals: el tractament és necessari per complir obligacions o exercir drets en l’àmbit laboral, si així ho autoritza el dret de la UE o de l’estat membre, o un conveni col·lectiu.
• Interessos vitals: el tractament és necessari per protegir interessos vitals de la persona titular de les dades o d’un tercer, si la persona interessada no té capacitat per consentir-ho.
• Entitats sense ànim de lucre: el tractament s’efectua en l’àmbit de les activitats legítimes d’una entitat sense ànim de lucre amb finalitat política, filosòfica, religiosa o sindical i es refereix als membres actuals o antics de l’entitat, o a persones que mantenen contactes regulars amb l’entitat en relació amb les seves finalitats.
• Dades ja publicades: el tractament es refereix a dades que la persona titular ha fet manifestament públiques.
• Reclamacions: el tractament és necessari per formular, exercir o defensar reclamacions o quan els tribunals actuen en l’exercici de la seva funció judicial.
• Interès públic: el tractament és necessari per raons d’interès públic essencial, en base al Dret de la UE o de l’estat membre.
• Àmbit sanitari: el tractament és necessari per a finalitats de medicina preventiva i del treball, diagnòstic mèdic i prestació i gestió d’assistència sanitària, sempre que el tractament el facin professionals sanitaris subjectes a secret professional o una altra persona subjecta al deure de confidencialitat.
• Salut pública: el tractament és necessari per raons d’interès públic en l’àmbit de la salut pública, en base al Dret de la UE o de l’estat membre.
• Arxiu, investigació científica o històrica, o finalitats estadístiques: el tractament és necessari per a finalitats d’arxiu en interès públic, d’investigació científica o històrica o finalitats estadístiques, en base al Dret de la UE o de l’estat membre.

Cal afegir que les dades personals relatives a condemnes i infraccions penals, encara que no es consideren categories especials de dades, només es poden tractar sota la supervisió de les autoritats públiques o quan ho autoritza el dret de la UE o de l’estat membre, que ha d’establir garanties adequades per als drets i llibertats de les persones titulars de les dades.

Recorda, que l’RGPD ha introduït noves categories especials de dades. A part de les dades especialment protegides que ja preveia l’LOPD, que ara s’anomenen “categories especials de dades”, el Reglament n’inclou dues de noves: 

• Dades genètiques: dades personals relatives a les característiques genètiques heretades o adquirides d’una persona física, que proporcionen una informació única sobre la fisiologia o la salut d’aquesta persona, obtingudes en particular de l’anàlisi d’una mostra biològica. 

• Dades biomètriques: dades personals obtingudes a partir d’un tractament tècnic específic, relatives a les característiques físiques, fisiològiques o conductuals d’una persona física, que permeten o confirmen la identificació única d’aquesta persona (imatges facials, dades dactiloscòpiques, etc.).

Tractaments basats en el consentiment

Quan la base jurídica del tractament sigui el consentiment, l’RGPD requereix que la persona interessada el presti mitjançant una declaració inequívoca o una acció afirmativa clara. Als efectes del Reglament, les caselles ja marcades, el consentiment tàcit o la inacció no constitueixen un consentiment vàlid.

• Què succeeix amb els tractaments que s’efectuen sobre la base del consentiment per omissió?

Aquestes formes de consentiment no són compatibles amb l’RGPD, ja que es basen en la inacció de la persona interessada. L’RGPD també assenyala que els tractaments basats en el consentiment iniciats abans de l’aplicació del Reglament continuaran sent legítims, sempre que aquest consentiment s’hagués prestat de la manera que preveu el mateix RGPD, és a dir mitjançant una manifestació o acció afirmativa.

• En quines situacions cal que el consentiment sigui explícit?

L’RGPD preveu algunes situacions en què el consentiment ha de ser explícit. Aquesta garantia addicional afecta els casos següents:

1. Tractament de categories especials de dades
2. Adopció de decisions automatitzades
3. Transferències internacionals

Encara que les diferències entre el consentiment inequívoc, tal com el defineix l’RGPD, i el consentiment explícit poden semblar difícils d’apreciar, hi ha situacions en què el consentiment pot ser inequívoc i atorgar-se de forma implícita. 

• Consentiment dels menors

D’acord amb la Llei orgànica de protecció de dades personals i garantia de drets digitals (LOPDGDD), els menors podran consentir el tractament de les seves dades personals a partir dels 14 anys, excepte que una norma amb rang de llei exigeixi l’assistència dels titulars de la potestat parental o tutela. En el cas dels menors de 14 anys, serà necessari el consentiment dels titulars de la pàtria potestat o tutela.

A més, el llenguatge utilitzat per informar-los ha de ser especialment comprensible en el cas de menors.