Bases legitimadoras para el tratamiento de datos de carácter personal

Para que se pueda realizar el tratamiento de los datos personales hay que tener en cuenta, en todo momento, que se deberá disponer de la legitimidad necesaria para poder tratar dichos datos personales.

Como ya hemos comentado en otras entradas, no puede suceder que se traten los datos de todo el mundo, sin ton ni son, sino que, como veremos, cualquier persona que realice un tratamiento de datos personales debe estar “autorizado” (por decirlo de alguna manera) a realizar dicho tratamiento. Para ello dispone la ley de unas bases de legitimación concretas que se encuentran encuadradas en el artículo 6 del RGPD.

En primer lugar, existe legitimación para el tratamiento cuando el interesado (la persona cuyos datos se están recabando) da su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos.

Sin embargo, este consentimiento expreso del interesado tiene sus matizaciones. Anteriormente a la entrada en vigor del RGPD y la LOPDGDD, se recogía el consentimiento de los interesados mediante formularios con casillas premarcadas de aceptación del tratamiento de los datos, mientras que hoy en día el interesado debe realizar una clara acción afirmativa al tratamiento de sus datos. Se descarta así, por tanto, el consentimiento tácito (no me quejo de que tratan mis datos y de este modo consiento tácitamente que lo hagan) y las cláusulas premarcadas en los formularios (por ejemplo, las típicas casillas de “acepto el envío de comunicaciones comerciales a través de la newsletter” que antes venían marcadas por defecto y tenías que realizar una acción efectiva de desmarcarlas).

Todos esos consentimientos que en un momento fuero correctos, actualmente hay perdido toda validez y deben volver a ser recabados de acuerdo a las nuevas exigencias indicadas en la normativa en vigor. ¿Te acuerdas hace aproximadamente un año cuando empezaron a llegar masivamente emails de gente pidiéndote que les dieses de nuevo el consentimiento para el envío de comunicaciones electrónicas o para mantenerte en su base de datos? Pues era por esto…

Aunque recabar el consentimiento sea un acto tedioso, siempre será lo más seguro para una empresa a la hora de tratar datos de los afectados. En cambio, existen otra serie de supuestos que permiten el tratamiento de los datos del interesado sin que sea necesario que este dé su consentimiento expreso, bien porque sería excesivo recoger dicho consentimiento, o bien porque puede resultar imposible o de difícil consecución.

Por tanto, existen algunas bases legitimadoras distintas del consentimiento. Una de ellas consiste en el tratamiento necesario para ejecutar un contrato. Obviamente si voy a contratar la prestación de unos servicios, la empresa con la que contrato tendrá que saber como mínimo mi nombre y DNI para poder dar forma al contrato así como cualquier otro dato mínimamente indispensable para realizar la prestación del servicio.

Asimismo, se está legitimado para el tratamiento de datos cuando el mismo sea necesario porque exista una ley aplicable que obligue a que se recaben ciertos datos como puede ser la Ley de Prevención de Blanqueo de Capitales y Financiación del Terrorismo, o la Ley de Prevención de Riesgos Laborales, entre otras. Aquí también se encuadraría el registro de la jornada que ahora está tan de moda.

También es posible el tratamiento sin necesidad de recabar el consentimiento cuando aquel sea necesario para proteger intereses vitales del interesado o de otra persona. Este sería el ejemplo de una persona que se encuentra en estado crítico y es llevada al hospital. Claramente la persona que le atiende mientras se desangra no le va a decir “disculpe, hasta que no me firme este consentimiento no le puedo atender”. De igual modo sucedería si se diesen circunstancias de catástrofes naturales o epidemias.

Por otro lado, se pueden tratar datos personales cuando dicho tratamiento sea necesario para cumplir con alguna misión de interés público como pueden ser fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos, entre otros.

Por último, es posible recabar los datos cuando el tratamiento sea necesario para satisfacer intereses legítimos de la persona que los va a tratar y siempre que sobre este interés no prevalezcan los intereses o derechos y libertades del interesado. Este sería, por ejemplo, el caso de una persona que va a un restaurante y a la hora de pagar pide que le hagan una factura y el camarero le pide unos datos para ponerlos en la misma. Obviamente no le va a recabar el consentimiento para ese mero trámite.

Sin embargo, este interés legítimo de responsable no es el salvavidas al que agarrarse cuando no se disponga de otra base legitimadora para el tratamiento. Habrá que realizar un verdadero acto de ponderación entre los intereses perseguidos por el responsable y los de los afectados.

A modo de resumen, el consentimiento del afectado sería, por llamarlo de algún modo, la base legitimadora comodín: cuando no se pueda encuadrar el tratamiento en ninguna de las otras bases legitimadoras, se deberá proceder a la firma de dicho consentimiento.

Por todo ello, si realizas el tratamiento de datos y el mismo no se puede encuadrar dentro de alguna de las bases legitimadoras mencionadas, seguramente sea un tratamiento ilícito, aunque siempre puedes subsanarlo mediante la firma de un consentimiento expreso del afectado.