Legislación

Base de legitimación para el tratamiento de datos personales

El Reglamento Europeo de Protección de Datos mantiene los principios ya recogidos tanto en la Directiva 95/46/CE, como en la LOPD, consistente en que todo tratamiento de datos personales exige una base jurídica que lo legitime

Legitimación

El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

· Consentimiento de afectado.

· Existencia de una relación contractual.

· Existencia de un interés legítimo prevalente del responsable o de terceros a los que se ceden o comunican los datos personales.

· Justificado en una necesidad vital del interesado.

· Cuando resulte una obligación legal para el responsable del tratamiento.

· Exista un interés público o se derive del ejercicio de poderes públicos.

 

Principio de consentimiento

Tal y como se define en el artículo 4.11 del RGPD, el consentimiento del interesado es toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen. Se descarta, por tanto, la validez del consentimiento tácito.

Se aclara en el Considerando (32) que el silencio, las casillas previamente seleccionadas o la inacción no constituyen un consentimiento válido. Por otro lado, cuando el tratamiento tenga varias finalidades, debe constar el consentimiento para todos ellos.

Por su parte el consentimiento del afectado en el proyecto de reforma de la LOPD, en el mismo sentido que lo expuesto.

 

Legitimación basada en el interés legítimo

El artículo 6.1 f) del RGPD, señala que el tratamiento será lícito si es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un menor de edad.

El artículo 35.7.a del RGPD, por su parte, contempla que las evaluaciones de impacto de protección de datos deben incluir “una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento”.

El Considerando (47) del RGPD se refiere a esta figura, destacando que la existencia de un interés legítimo requeriría una evaluación meticulosa considerándose que constituye un interés legítimo los tratamientos de datos: necesarios para la prevención del fraude o con fines de mercadotecnia directa.