¿Qué normativa me autoriza a tratar datos personales?
La normativa aplicable al tratamiento de datos de carácter personal actualmente es el Reglamento Europeo 2016/679 (RGPD) y la Ley Orgánica 03/2018 de
Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD). Pero dicha normativa, más que autorizar el tratamiento de datos, establece límites, principios, medidas de seguridad, responsabilidades y obligaciones para los responsables, encargados o intervinientes en el tratamiento de dichos datos personales.
¿Solo puedo tratar datos personales si el titular me otorga su consentimiento?
Como principio general, tanto el
RGPD como la
LOPDGDD establecen que para recopilar o tratar de cualquier forma datos de carácter personal se requiere el consentimiento expreso del titular (
Artículo 6.1 RGPD “
El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones: a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos” y
Art. 6 de la LOPDGDD “
De conformidad con lo dispuesto en el artículo 4.11 del Reglamento (UE) 2016/679, se entiende por consentimiento del afectado toda manifestación de voluntad libre, específica, informada e inequívoca por la que este acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.2. Cuando se pretenda fundar el tratamiento de los datos en el consentimiento del afectado para una pluralidad de finalidades será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para todas ellas”.
Pero también se prevén otros supuestos que legitiman el tratamiento de datos personales.
¿Cuáles son las otras bases de legitimación que establece la normativa?
De acuerdo con la normativa vigente, el tratamiento será lícito si se cumple al menos una de las siguientes condiciones:
- el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
- el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
- el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
- el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
- el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
- el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.
Todas estas bases de legitimación son válidas, todas tienen la misma fuerza legal, por lo que teniendo la certeza de que cumplimos estrictamente con al menos una de ellas, sería suficiente para acreditar la licitud del tratamiento de datos.
Actualmente es obligatorio informar al afectado en qué basamos el tratamiento de sus datos, es decir, la base que nos legitima a realizar dicho tratamiento, por lo que en cada caso será necesario realizar un análisis detallado para ver cual es la aplicable e informarle a la persona titular de dichos datos.
En ATEA COMPLIANCE contamos con profesionales especialistas en protección de datos, que prestan asesoramiento jurídico personalizado a aquellas empresas que quieran cumplir con dicha normativa, ofreciendo así un servicio integral de alto nivel.