Conoce Atico34 - Solicita presupuesto
LOPDGDD & RGPD

El uso de datos personales sin consentimiento

¿Siempre necesitamos el consentimiento de los interesados para poder usar o tratar sus datos personales? ¿Cuándo es lícito el uso de datos personales sin consentimiento? En este artículo responderemos estas habituales dudas sobre el consentimiento en la normativa de protección de datos.

¿Se pueden tratar datos personales sin consentimiento?

Sí, se pueden tratar datos personales sin consentimiento de los interesados, puesto que aunque el consentimiento expreso es la principal base legitimadora para el tratamiento de datos personales, el RGPD y la LOPD contemplan esta posibilidad dentro de una serie de excepciones basadas en el interés legítimo, siempre y cuando esté no entre en conflicto con los derechos fundamentales de los interesados y así lo reconozca la legislación vigente del Estado miembro.

¿Cuándo podemos tratar datos personales sin consentimiento?

Para saber cuándo la utilización de datos personales sin consentimiento es lícita, debemos acudir tanto al artículo 6 del RGPD como a los artículos 6 y 8 de la LOPD, que es donde se establecen estos supuestos.

Así, podremos usar datos personales sin consentimiento de los interesados cuando:

  • El tratamiento sea necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación de medidas precontractuales (por ejemplo, al negociar el contrato de una póliza de seguros).
  • El tratamiento responde al cumplimiento de una obligación legal del responsable del tratamiento (por ejemplo, los hoteles deben guardar un registro de sus clientes).
  • El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física.
  • El tratamiento es necesario para cumplir una misión en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento (por ejemplo, la elaboración de estadísticas que realiza el INE).
  • El tratamiento es necesario en virtud del interés legítimo del responsable del tratamiento o de un tercero, siempre que este interés legítimo no prevalezca sobre los derechos fundamentales del interesado, especialmente cuando este sea un niño.

Cabe señalar que el concepto de interés legítimo del responsable del tratamiento es el que más dudas puede hacer surgir y siempre que acudamos a esta base legitimadora para usar datos personales sin consentimiento, deberemos poder justificarlo debidamente. Un ejemplo de ello lo tenemos en la videovigilancia.

La normativa permite la instalación de cámaras de videovigilancia, por ejemplo, en locales comerciales o centros de trabajo, sin necesidad de recabar el consentimiento expreso de clientes o empleados, puesto que se legitima en el derecho a proteger los bienes y mantener la seguridad o controlar la actividad laboral del dueño del comercio o del empleador, aunque siempre debe informarse de su presencia y eliminar las imágenes pasado un mes, tal y como establece el plazo de conservación de datos personales para cámaras de seguridad.

Aparte de la normativa de protección de datos, la Ley de Transparencia también permite hacer uso y difundir datos personales sin consentimiento de cargos públicos, basándonos en el interés legítimo general y el derecho a la información.

En el caso de noticias, para usar en ellas determinados datos personales de personajes públicos o de relevancia, como son el nombre y los apellidos, tampoco es necesario el consentimiento. Sí lo será en el caso de personas desconocidas o anónimas, pudiendo recurrir al uso de sus iniciales.

tarifas proteccion datos

¿Podemos ceder datos personales de terceros sin su consentimiento?

Salvo que esté contemplado en los supuestos que hemos visto en el apartado anterior, la cesión de datos personales de terceros sin su consentimiento a otras personas o entidades no está permitida por la normativa.

Dar datos personales sin consentimiento del interesado a otra entidad o persona física es motivo de denuncia ante la AEPD, tanto si quien cede los datos es una persona física como una jurídica. Los interesados siempre deben ser informados si sus datos van a ser cedidos a terceros y dar su consentimiento para ello.

¿Qué ocurre si son datos de categorías especiales?

Los datos de categorías especiales recogidos en el artículo 9 del RGPD no pueden tratarse nunca, salvo que el interesado haya dado su consentimiento expreso para ello. Solo podrían tratarse sin consentimiento del interesado cuando concurra alguna de las circunstancias recogidas en el artículo 9.2, letras b, c, d, e, f, g, h, i, j.

La LOPD va un poco más allá y explícitamente dice que el consentimiento no es suficiente base legitimadora para poder tratar datos de categorías especiales y que, junto a este, debe concurrir una de las causas del artículo que hemos citado en el párrafo anterior.

Por ejemplo, y de acuerdo a la letra e de ese artículo, se podrían tratar datos relativos a las opiniones políticas de un interesado, cuando este las ha hecho manifiestamente públicas, como puede ser en unas declaraciones en un medio de comunicación.

Dentro de estas consideraciones debemos tener en cuenta qué dice la ley de protección de datos médicos y la protección de datos en la administración pública, puesto que hay circunstancias que permiten el uso de datos personales sin consentimiento en situaciones de emergencia sanitaria y de seguridad ciudadana, aunque el tratamiento siempre debe ser proporcional al objetivo perseguido.

Consecuencias por usar, tratar o difundir datos personales sin consentimiento

Las consecuencias por usar, tratar o difundir datos personales sin consentimiento son la denuncia y la sanción administrativa (sin perjuicio de que los afectados inicien un procedimiento penal o civil, si se han vulnerado derechos fundamentales y causado perjuicios o daños morales).

Las sanciones en protección de datos relacionadas con el uso de datos personales sin consentimiento varían en función de la gravedad de la infracción cometida, el número de interesados afectados y la duración en el tiempo de la infracción. Por citar algunos ejemplos:

  • Multa de hasta 40.000 euros por infracciones leves como incumplir con el derecho de acceso a los datos o no informar cómo se obtuvieron estos.
  • Multa entre 40.001 y 300.000 euros por infracciones graves, como tratar los datos de menores de 14 años sin el consentimiento de sus padres o tutores legales.
  • Multa entre 300.001 o 20 millones de euros por infracciones muy graves, como publicar o difundir datos personales sin consentimiento del interesado o hacer uso de datos personales de salud sin consentimiento.

En definitiva, aunque es posible hacer uso de datos personales sin consentimiento de los interesados, debemos siempre asegurarnos de que contamos con la base legitimadora suficiente para ello, de lo contrario podríamos enfrentarnos a serias sanciones de la AEPD.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.