Legislació

Base de legitimació per al tractament de dades personals

El Reglament Europeu de Protecció de Dades manté els principis ja recollits tant a la Directiva 95/46/CE com a la LOPD, consistent en que tot tractament de dades personals exigeix una base jurídica que ho legitimi.

Legitimació

El tractament només serà lícit si es compleix al menys una de les següents condicions:

· Consentiment de l’afectat.

· Existència d’una relació contractual.

· Existència d’un interès legítim prevalent del responsable o de tercers als que es cedeixen o comuniquen dades personals.

· Justificat en una necessitat vital de l’interessat.

· Quan resulti una obligació legal per al responsable del tractament.

· Existeixi un interès públic o es derivi de l’exercici de poders públics.

 

Principi de consentiment

Tal i com es defineix a l’article 4.11 del RGPD, el consentiment de l’interessat és tota manifestació de voluntat lliure, específica, informada i inequívoca per a que l’interessat accepta, ja sigui mitjançant una declaració o una clara acció afirmativa, el tractament de dades personals que el concerneixen. Es descarta, per tant, la validesa del consentiment tàcit.

S’aclareix al Considerant 32 que el silenci, les caselles prèviament seleccionades o la inacció no constitueixen un consentiment vàlid. Per una altra banda, quan el tractament tingui vàries finalitat, ha de constar el consentiment per a totes elles.

Per altra banda, el consentiment de l’afectat al projecte de reforma de la LOPD, va en el mateix sentit que l’exposat.

 

Legitimació basada en interés legítim

L’article 6.1 f) del RGPD, assenyala que el tractament serà lícit si és necessari per a la satisfacció d’interessos legítims perseguits pel responsable del tractament o per un tercer, sempre que sobre aquests interessos no prevalguin els interessos o els drets i llibertats fonamentals de l’interessat que requereixin la protecció de dades personals, en particular quan l’interessat sigui un menor d’edat.

L’article 35.7 del RGPD, per a la seva part, contempla que les avaluacions d’impacte de protecció de dades han d’incloure “una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento”.

El considerant 47 del RGPD es refereix a aquesta figura, destacant que l’existència d’un interès legítim requeriria una avaluació meticulosa considerant-se que constitueix un interès legítim els tractament de dades: necessaris per a la prevenció de fraus o amb finalitats de màrqueting directe.