Identificar la base jurídica que permita el tratamiento

Supuestos

Para cumplir con uno de los principios de protección de datos, el de licitud del tratamiento, es necesario contar con una base jurídica para poder tratar los datos personales. Así, solo podrás tratarlos si se da alguno de los siguientes supuestos:

• Consentimiento: contar con el consentimiento de la persona titular de los datos. Debe ser válido: inequívoco, específico, informado y libre.
• Contrato: que el tratamiento de datos sea necesario para ejecutar un contrato en el que la persona titular de los datos es parte o para aplicar medidas precontractuales a petición de ella.
• Obligación legal del responsable: que el tratamiento sea necesario para cumplir una obligación legal de la entidad responsable del tratamiento.
• Intereses vitales: que sea necesario para proteger intereses vitales de la persona titular de los datos o de otra persona.
• Misión de interés público: que sea necesario para cumplir una misión realizada en interés público o en el ejercicio de poderes públicos otorgados a la entidad responsable del tratamiento.
• Intereses legítimos del responsable: que sea necesario para satisfacer intereses legítimos perseguidos por la entidad responsable del tratamiento o por un tercero. Se podrá utilizar esta base jurídica para tratar los datos siempre que no prevalezcan intereses o derechos y libertades fundamentales de la persona titular de los datos que requieran la protección de datos personales, en particular cuando sea menor. Cabe apuntar que esta base jurídica no puede aplicarse en tratamientos efectuados por las autoridades públicas en el ejercicio de sus funciones.

¿Y si son categorías especiales de datos?

Si el tratamiento afecta a categorías especiales de datos, que hacen referencia a datos especialmente protegidos relativos a la salud o la vida sexual, la ideología, las opiniones políticas, etc., además de necesitar una base jurídica de las reguladas en el RGPD, es necesario que se dé alguno de los siguientes supuestos:

• Consentimiento: el tratamiento se efectúa con el consentimiento explícito de la persona titular de los datos, salvo que el derecho de la UE o del Estado miembro no lo permita.
• Obligaciones o derechos laborales: el tratamiento es necesario para cumplir obligaciones o ejercitar derechos en el ámbito laboral, si así lo autoriza el derecho de la UE o del estado miembro, o un convenio colectivo.
• Intereses vitales: el tratamiento es necesario para proteger intereses vitales de la persona titular de los datos o de un tercero, si la persona interesada no tiene capacidad para consentirlo.
• Entidades sin ánimo de lucro: el tratamiento se efectúa en el ámbito de las actividades legítimas de una entidad sin ánimo de lucro con finalidad política, filosófica, religiosa o sindical y se refiere a los miembros actuales o antiguos de la entidad, o a personas que mantienen contactos regulares con la entidad en relación con sus fines.
• Datos ya publicados: el tratamiento se refiere a datos que la persona titular ha hecho manifiestamente públicos.
• Reclamaciones: el tratamiento será necesario para formular, ejercer o defender reclamaciones o cuando los tribunales actúen en el ejercicio de su función judicial.
• Interés público: el tratamiento es necesario por razones de interés público esencial, en base al Derecho de la UE o del Estado miembro.
• Ámbito sanitario: el tratamiento es necesario para fines de medicina preventiva y del trabajo, diagnóstico médico y prestación y gestión de asistencia sanitaria, siempre que el tratamiento lo realicen profesionales sanitarios sujetos a secreto profesional u otra persona sujeta al deber de confidencialidad.
• Salud pública: el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, en base al Derecho de la UE o del Estado miembro.
• Archivo, investigación científica o histórica, o fines estadísticos: el tratamiento es necesario para fines de archivo en interés público, de investigación científica o histórica o fines estadísticos, en base al Derecho de la UE o del Estado miembro.

Hay que añadir que los datos personales relativos a condenas e infracciones penales, aunque no se consideran categorías especiales de datos, solo pueden tratarse bajo la supervisión de las autoridades públicas o cuando lo autoriza el derecho de la UE o del Estado miembro, que debe establecer garantías adecuadas para los derechos y libertades de las personas titulares de los datos.

Recuerda que el RGPD ha introducido nuevas categorías especiales de datos. Aparte de los datos especialmente protegidos que ya preveía la LOPD, que ahora se llaman “categorías especiales de datos”, el Reglamento incluye dos nuevos tipos de datos: 

• Datos genéticos: datos personales relativos a las características genéticas heredadas o adquiridas de una persona física, que proporcionan una información única sobre la fisiología o la salud de esa persona, obtenidas en particular del análisis de una muestra biológica. 

• Datos biométricos: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física, que permiten o confirman la identificación única de esa persona (imágenes faciales, datos dactiloscópicos, etc.).

Tratamientos basados en el consentimiento

Cuando la base jurídica del tratamiento sea el consentimiento, el RGPD requiere que la persona interesada lo preste mediante una declaración inequívoca o una acción afirmativa clara. A efectos del Reglamento, las casillas ya marcadas, el consentimiento tácito o la inacción no constituyen un consentimiento válido.

• ¿Qué ocurre con los tratamientos que se efectúan sobre la base del consentimiento por omisión?

Estas formas de consentimiento no son compatibles con el RGPD, ya que se basan en la inacción de la persona interesada. El RGPD también señala que los tratamientos basados en el consentimiento iniciados antes de la aplicación del Reglamento continuarán siendo legítimos, siempre que este consentimiento se hubiera prestado de la forma prevista en el propio RGPD, es decir, mediante una manifestación o acción afirmativa.

• ¿En qué situaciones es necesario que el consentimiento sea explícito?

El RGPD prevé algunas situaciones en las que el consentimiento debe ser explícito. Esta garantía adicional afecta a los siguientes casos:

1. Tratamiento de categorías especiales de datos
2. Adopción de decisiones automatizadas
3. Transferencias internacionales

Aunque las diferencias entre el consentimiento inequívoco, tal y como lo define el RGPD, y el consentimiento explícito pueden parecer difíciles de apreciar, existen situaciones en las que el consentimiento puede ser inequívoco y otorgarse de forma implícita. 

 Consentimiento de los menores

De acuerdo con la Ley orgánica de protección de datos personales y garantía de derechos digitales (LOPDGDD), los menores podrán consentir el tratamiento de sus datos personales a partir de los 14 años, salvo que una norma con rango de ley exija la asistencia de los titulares de la potestad parental o tutela. En el caso de los menores de 14 años, será necesario el consentimiento de los titulares de la patria potestad o tutela.

Además, el lenguaje utilizado para informarles debe ser especialmente comprensible en el caso de menores.