En muchos de nuestros artículos sobre protección de datos hacemos mención de las bases legitimadoras del RGPD, pero ¿qué son estas bases legitimadoras?, ¿cuándo son de aplicación? En este artículo explicamos todo lo que necesitas saber sobre las bases legitimadoras para el tratamiento de datos personales.
En este artículo hablamos de:
¿Qué son las bases legitimadoras del RGPD?
Las bases legitimadoras del RGPD son las situaciones o supuestos legales que habilitan a un responsable o encargado del tratamiento para realizar un tratamiento de datos personales. Es decir, si no concurre una de esas situaciones o supuestos, el tratamiento sería considerado ilícito, puesto que carece de una causa legal que lo legitime.
Por lo tanto, a la hora de cumplir el RGPD, es fundamental conocer las bases legitimadoras del tratamiento de datos y saber cuándo son de aplicación cada una de ellas, puesto que determinan, cómo hemos dicho, la licitud de dicho tratamiento (recordemos que tratamientos realizados sin base legitimadora o amparados en una base legitimadora incorrecta, es motivo de sanción).
¿Dónde se regulan las bases de legitimación en el RGPD?
Las bases de legitimación del tratamiento del RGPD están reguladas en los considerandos 39 al 56 y en el artículo 6.1 del Reglamento, donde encontramos la lista de bases legitimadoras del tratamiento.
Cabe señalar que siempre que hagamos un tratamiento de datos personales, es necesario documentar la base legitimadora del mismo, además de informar de ello a los interesados cuyos datos van a ser tratados. Siempre debe ser de aplicación una de las bases legitimadoras recogidas en el artículo 6.1.
¿Cuáles son las bases legitimadoras del tratamiento de datos?
A continuación repasamos y detallamos las diferentes bases legitimadoras recogidas en el artículo 6.1. Señalar que el RGPD no prima una base legal sobre otra, sino que, cómo hemos dicho, dependiendo de cada caso, los datos a tratar y la finalidad o finalidades perseguidas, así como quién sea el responsable del tratamiento, la base legitimadora podrá ser una u otra.
- Consentimiento explícito o expreso del interesado: Se produce cuando el propio interesado (titular de los datos) da su consentimiento para el tratamiento de sus datos personales. Para ser lícito, el consentimiento RGPD debe ser libre, informado e inequívoco, y requiere de una acción afirmativa del interesado (no siendo válido el consentimiento tácito o por inacción). El consentimiento siempre debe poder revocarse, si bien eso no eliminará la legitimidad del tratamiento realizado.
- Relación contractual: Es legítimo el tratamiento de datos cuando este es necesario para la ejecución de un contrato en el que responsable e interesado son partes del mismo (por ejemplo, un contrato de trabajo). También resulta legítimo el tratamiento cuando es necesario para llevar a cabo medidas precontractuales necesarias para la celebración del contrato (siguiendo con el ejemplo anterior, la solicitud de datos relativos a la Seguridad Social para hacer el contrato de trabajo).
- Dar cumplimiento a una obligación legal: Hay licitud del tratamiento cuando este se realiza en base a una norma que obligue al responsable o el encargado a ello. Estas obligaciones deben estar previstas en el Derecho de la UE o en una norma con rango de ley (por ejemplo, la empresa debe comunicar los datos de sus trabajadores a la Seguridad Social para darlos de alta).
- Protección de intereses vitales: Se considera lícito el tratamiento de datos personales hecho para proteger los intereses vitales del interesado o de otra persona física (por ejemplo, en una emergencia médica, el tratamiento de datos que realice el hospital).
- Interés público: Se refiere a los tratamientos realizados por autoridades públicas, personas físicas o jurídicas de Derecho Público o cualquier responsable al que se le haya conferido el ejercicio de poderes públicos, en el ejercicio de dichas funciones públicas, siempre que estas estén atribuidas por una norma con rango de ley o del Derecho de la UE (por ejemplo, las labores de videovigilancia desarrolladas por las Fuerzas y Cuerpos de Seguridad del Estado).
- Interés legítimo del responsable del tratamiento: Llegamos a la base legitimadora del RGPD más ambivalente. Si nos atenemos a lo que dice el Reglamento, será lícito todo tratamiento de datos personales necesario para «la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero», siempre que estos intereses no prevalezcan sobre los derechos y libertades fundamentales de los interesados. Por lo tanto, aunque parezca que estamos ante un cajón de sastre para justificar cualquier tratamiento de datos, lo cierto es que implica la evaluación y estudio de cada tratamiento a realizar, para determinar si ese interés choca o no con los derechos y libertades de los interesados.
¿Qué ocurre con los datos de categorías especiales?
Respecto a los datos de categorías especiales, las bases legitimadoras son las mismas (si bien, el consentimiento aquí siempre debe ser expreso), pero hay que añadirles, además, la concurrencia de una o varias de las circunstancias o condiciones que se contemplan en el artículo 9.2 del RGPD.
De no darse dichas circunstancias, estaríamos ante un tratamiento ilícito de datos especialmente protegidos (origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, tratamiento de datos genéticos, datos biométricos para la identificación de personas, datos relativos a la salud y datos relativos a la vida sexual o la orientación sexual de una persona).
¿Aplicas correctamente las bases legitimadoras del RGPD?
Para llevar a cabo una correcta implantación del RGPD, se deben siempre tener presentes las bases legitimadoras para los tratamientos de datos personales que se van a realizar en el desarrollo de la actividad de la empresa. No hacerlo, cómo ya hemos señalado más arriba, es motivo de sanción, en concreto, el RGPD las considera infracciones muy graves, con sanciones de hasta 20 millones de euros (o el 4% del volumen anual de facturación).
Si no tienes claro qué base legitimadora se aplica a los tratamientos de datos que realizas en tu empresa o negocio o cómo determinar si el interés legítimo es válido o cuándo no es necesario el consentimiento de los interesados, Grupo Atico34 puede ayudarte; nuestros profesionales expertos en protección de datos te asesorarán sobre cualquier duda que puedas tener respecto a la licitud de tus tratamientos y cuándo es de aplicación cada base legitimadora. Ponte en contacto con nosotros para recibir más información.