Читать книгу Derecho digital - José F. Estévez - Страница 15

El RGPD exige que cualquier tratamiento de datos cumpla determinadas condiciones, para que este sea lícito. Así, el artículo 6 del RGPD señala:

El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física

e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Si analizamos la norma, podemos ver que no únicamente el consentimiento nos legitima para el tratamiento de datos, sino también, otros supuestos tales como la información personal que es necesario manejar para la ejecución de un contrato, ya sea laboral o de prestación de servicios. Ahora bien, esta condición solo nos permite recabar y tratar los datos necesarios para el desarrollo de la relación contractual, si empleamos los datos con otros fines (V.gr. cesión a un tercero o entidad del grupo para que envíe publicidad), tendríamos que valorar si dicha finalidad se puede amparar en otra de los supuestos del artículo 6 u obtener el consentimiento.

La regulación del deber de obtención del consentimiento es una de las facetas más destacadas del RGPD y que más preocupa a las empresas sobre todo por sus implicaciones en la práctica en el momento de la recogida, como para el uso posterior de los datos con otras finalidades y, especialmente, publicitarias o de marketing.

Cuando no resulte aplicable alguna de las excepciones que permiten tratar los datos sin necesidad de obtener el consentimiento (V.gr: ejecución de un contrato, cumplimiento de una obligación legal, interés legítimo, etc.), el consentimiento de los afectados deberá ser obtenido a través de un acto afirmativo y claro, que refleje una manifestación de la voluntad libre, específica, informada e inequívoca del interesado (artículo 6 y siguientes RGPD).

Esto es, tal y como señala la AEPD en su Guía del RGPD para responsables del tratamiento, desaparece el concepto de consentimiento tácito, entendido como la inacción del interesado. En este sentido, no se considerarían válidas las fórmulas de obtención del consentimiento en las que se ofrece la posibilidad al interesado de no consentir, esto es, “si no se pone en contacto con nosotros en un plazo determinado, entendemos que consiente el tratamiento de sus datos”.

Por su parte, si se considera válido que el consentimiento sea inequívoco, pero se manifieste de manera implícita, esto es, que se advierta al interesado que la realización de una determinada acción o conducta implica el consentimiento. De este modo, el consentimiento requiere de una acción por parte del interesado para que resulte válido, desapareciendo por tanto la posibilidad de obtener el consentimiento del interesado mediante inacción u omisión. Por su parte, las categorías especiales de datos (la recogidas en el párrafo anterior más los datos biométrico y los datos genéticos) requerirán del consentimiento explícito del interesado, de conformidad con el artículo 9 del RGPD.

Por su parte, el Considerando (32) del RGPD explica que el consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines, y que cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos.

El consentimiento, en todo caso, podrá ser revocado por el interesado en cualquier momento.

Es posible que el tratamiento de los datos esté amparado en el interés legítimo del responsable, ahora bien, lo cierto es que para determinar si existe dicho interés es necesario hacer una ponderación de los intereses en juego –esto es lo de la empresa u organización responsable- y los derechos y libertados de los afectados.

En este sentido, el considerando (47) del RGPD establece lo siguiente:

“El interés legítimo de un responsable del tratamiento, incluso el de un responsable al que se puedan comunicar datos personales, o de un tercero, puede constituir una base jurídica para el tratamiento, siempre que no prevalezcan los intereses o los derechos y libertades del interesado, teniendo en cuenta las expectativas razonables de los interesados basadas en su relación con el responsable. Tal interés legítimo podría darse, por ejemplo, cuando existe una relación pertinente y apropiada entre el interesado y el responsable, como en situaciones en las que el interesado es cliente o está al servicio del responsable. E n cualquier caso, la existencia de un interés legítimo requeriría una evaluación meticulosa, inclusive si un interesado puede prever de forma razonable, en el momento y en el contexto de la recogida de datos personales, que pueda producirse el tratamiento con tal fin. En particular, los intereses y los derechos fundamentales del interesado podrían prevalecer sobre los intereses del responsable del tratamiento cuando se proceda al tratamiento de los datos personales en circunstancias en las que el interesado no espere razonablemente que se realice un tratamiento ulterior.”

Como se puede ver, la definición de interés legítimo queda pendiente de la evaluación que realicemos del mismo, así como de lo que considere expectativa razonable de los afectados.