La normativa actual en matèria de protecció de dades: Reglament (UE) 2016/679 del parlament europeu i del consell, de 27 d’abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades (RGPD) i la llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals (LOPDGDD), recullen en el seu Capítol II i en el Títol II respectivament, els Principis de protecció de dades entre els quals es troba la licitud del tractament.
El RGPD, manté el principi que tot tractament de dades ha d’estar sostingut per una base legitimadora, contingudes en l’article 6.1 del RGPD i que recordem són:
- Consentiment de l’interessat
- Execució d’un contracte o aplicació de mesures precontractuals a petició de l’interessat
- Compliment d’una obligació legal per part del responsable del tractament
- Protecció d’interessos vitals
- Compliment d’una missió realitzada en interès públic o en exercici de poders públics conferit al responsable del tractament
- Satisfacció d’interessos legítims perseguits pel responsable del tractament sempre que aquests no prevalguin als interessos o drets i llibertats de l’interessat
Consentiment
El consentiment, recull el RGPD en el seu article 4, és tota manifestació de voluntat lliure, específica, informada i inequívoca per la qual l’interessat accepta, ja sigui mitjançant una declaració o una clara acció afirmativa, el tractament de dades personals que el concerneixen.
L’exemple clar de sol·licitud de consentiment són les caselles que qualsevol web ens demana marcar per a validar o no, si acceptem que ens enviïn emails comercials.
Recordem que el consentiment es dona per a una finalitat concreta i que en el cas que existeixin una pluralitat de finalitats caldrà que constin de manera específica per que el consentiment que donem s’atorgui per a totes aquestes finalitats.
Execució d’un contracte
El tractament de dades basat en l’execució d’un contracte ve donat per la necessitat i legitimitat de l’ús de dades relatives al compliment de la finalitat objecte del contracte que uneix a totes dues parts.
Cal remarcar que el tractament de dades per a finalitats del tractament que surtin d’aquesta execució contractual haurà de ser consentit.
Per exemple, la realització de les nòmines dels treballadors ve legitimada per l’execució del contracte laboral que uneix a totes dues parts.
Obligació legal
Es donarà quan sigui necessari el tractament de les dades personals per al compliment d’una obligació legal aplicable al responsable del tractament que ha recaptat les dades, com per exemple l’obligació de conservació de les dades per obligació de mantenir els contractes laborals durant 5 anys sobre la base de la Llei sobre Infraccions i Sancions en l’Ordre Social.
Protecció interessos vitals
Es dóna quan el tractament sigui necessari per a protegir interessos vitals de l’interessat o d’una altra persona física. El considerant 46 del RGPD estableix com a exemples el tractament necessari per a finalitats humanitàries, inclòs el control d’epidèmies i la seva propagació, o en situacions d’emergència humanitària, sobretot en cas de catàstrofes naturals o d’origen humà.
En el dia a dia més pròxim, aquesta legitimitat la trobaríem quan un metge hagi de tractar-nos en urgències i pugui accedir a les nostres dades i historial clínic per un interès vital, ja que si l’interessat està inconscient i no pot explicar què li passa, el metge no deixarà de tractar-lo sobre la base de la protecció dels interessos vitals.
Interès públic o exercici de poders públics
El tractament de les dades és necessari en compliment d’una missió realitzada en interès públic o en l’exercici de poders públics conferits al responsable del tractament.
Un exemple seria la petició per part de centres educatius del Certificat negatiu del Registre central de delinqüents sexuals, per a tots aquells que treballin amb menors.
Interès legítim
El considerant 47 del RGPD ens diu que l’interès legítim d’un responsable del tractament o d’un tercer, pot constituir una base jurídica pel tractament, sempre que no prevalguin els interessos o els drets i llibertats de l’interessat. L’existència d’un interès legítim requereix una avaluació meticulosa, inclús si un interessat pot preveure de forma raonable, en el moment i en el context de la recollida de dades personals, que pugui produir-se el tractament amb tal fi. En particular, els interessos i els drets fonamentals de l’interessat podrien prevaldre sobre els interessos del responsable del tractament quan es procedeixi al tractament de les dades personals en circumstàncies en les quals l’interessat no esperi raonablement que es realitzi un tractament ulterior.
L’exemple més clar és la videovigilància de treballadors, ja que serveix per a preservar la seguretat de les persones i béns, així com de les instal·lacions.
És a dir, la ponderació o avaluació de l’equilibri entre l’interès legítim de l’empresari per a protegir la seva empresa, com a responsable del tractament, requereix que:
- La finalitat del tractament sigui legítima,
- el tractament de les dades personals sigui proporcional a la finalitat per a la qual es tracten les dades personals i
- l’interessat, té dret a oposar-se al tractament per raons legítimes.
Les fonts accessibles al públic són base legitimadora del tractament?
Com es fa patent amb les bases legitimadores recollides pel RGPD, la font accessible al públic avui dia no és un concepte legal com el que existia en la LOPD 15/1999, ni tampoc podem dir que el fet que les dades apareguin en aquest tipus de fonts legitimi sense més el tractament.
El RGPD només parla de fonts d’accés al públic en regular el dret a la informació en el cas que les dades no s’hagin recollit de l’interessat.
El fet que una dada sigui accessible per qualsevol pot ser tingut en compte a l’hora de realitzar la ponderació de l’article 6.1 f) (satisfacció de l’interès legítim sempre que no prevalguin els drets i llibertats de l’interessat), però no implica que necessàriament el tractament vagi a ser lícit ja que s’han de respectar els restants principis del RGPD.
La Sentència del Tribunal de Justícia de la Unió Europea de 4 de maig de 2017 en l’assumpte C-13/16, recull, recordant els requisits acumulatius que marcava l’article 7 f) de la Directiva 95/46 que, perquè el tractament de dades personals resulti legítim: primer que el responsable o tercer a qui es comuniqui les dades persegueixin un interès legítim; segon, que el tractament sigui necessari per a la satisfacció d’un interès legítim; tercer que no prevalguin els drets i llibertats de l’interessat.
El RGPD requereix que per a l’existència d’interès legítim hi hagi una ponderació per a poder prevaldre l’interès legítim del responsable sobre els interessos, drets i llibertats de l’interessat.
Amb el RGPD protegeix més el fet que per a usar l’interès legítim no s’han de veure afectats els interessos, drets i llibertats de l’interessat.
Si necessites més informació sobre la licitud del tractament, no dubtis en posar-te en contacte amb nosaltres, t’informarem sense cap mena de compromís.