Este artículo es una continuación de nuestro blog anterior sobre el consentimiento en virtud del RGPD, en el que explicamos brevemente cómo funciona el consentimiento y cuáles son sus limitaciones. Mencionamos brevemente que el consentimiento no siempre es necesario, y que los datos personales a veces pueden procesarse legalmente sin el consentimiento del interesado.
Hoy examinaremos detenidamente todas las demás bases jurídicas para el tratamiento de datos con arreglo al RGPD. Es material suficiente para escribir un libro, así que lo haremos lo más breve y directo posible.
- ¿Qué es una base jurídica?
- ¿Cuáles son las bases jurídicas del RGPD?
- ¿Qué base jurídica elegir?
- Las bases jurídicas
- Reflexiones finales
Entremos en materia.
¿Qué es una base jurídica?
En pocas palabras: para tratar los datos legalmente1, debe basarse en uno de los seis fundamentos jurídicos enumerados en el artículo 6 del GDPR. Desde un punto de vista práctico, considere estas condiciones como requisitos alternativos que deben cumplirse cuando sea necesario procesar datos.
¿Cuáles son las bases jurídicas del RGPD?
El art. 6(1) enumera seis bases jurídicas:
- consentimiento
- la ejecución de un contrato
- el cumplimiento de una obligación legal
- el interés vital del interesado o de otra persona física
- cumplimiento de una misión de interés público/ejercicio de poderes públicos
- el interés legítimo del responsable del tratamiento
Estas bases jurídicas vienen acompañadas de requisitos específicos, que pueden considerarse un conjunto de "pros y contras". Por ejemplo, el consentimiento debe ser libre, específico, informado e inequívoco"2. Si no pueden cumplirse estos requisitos, debe utilizarse otro motivo. A veces se dispone de dos o más motivos, mientras que otras veces no se dispone de ningún motivo, en cuyo caso los datos no pueden tratarse.
Cabe señalar que no existe un orden de prioridad entre los motivos jurídicos. Por ejemplo, un responsable del tratamiento es libre de elegir entre el consentimiento (enumerado en primer lugar) y el interés legítimo (enumerado en último lugar), siempre que puedan cumplirse los requisitos de cada fundamento en ese supuesto concreto.
¿Qué base jurídica elegir?
Como ya hemos dicho, cada motivo conlleva unos requisitos específicos. A veces, sólo hay uno disponible, por lo que no tiene elección. Otras veces puede permitirse el lujo de elegir entre dos o más.
Cada fundamento jurídico tiene sus pros y sus contras. Por ejemplo, supongamos que puede elegir entre el consentimiento y el interés legítimo. Si opta por el consentimiento, tendrá que recabar los datos en primer lugar. También debe asegurarse de que se cumplen los requisitos del consentimiento (dado libremente, con conocimiento de causa, específico e inequívoco). Por último, debe ser consciente de que el consentimiento puede ser retirado y estar preparado para hacer frente a esa posibilidad.
Si en lugar de ello se basa en el interés legítimo, no necesita recabar el consentimiento y no tiene que preocuparse de que éste pueda ser retirado posteriormente. Pero tendrá que sopesar su interés con los derechos del interesado, y el interesado puede oponerse al tratamiento (más información al respecto más adelante).
Se trata, pues, de evaluar caso por caso. Por ejemplo, si el tratamiento es muy invasivo, el interés legítimo puede ser difícil de equilibrar y el consentimiento puede ser la mejor opción. Por otro lado, si le preocupa mucho la retirada del consentimiento, puede que prefiera considerar el interés legítimo. En realidad, no existe una solución única para todos los casos, lo que lo hace divertido.
Dicho esto, todos los motivos tienen requisitos específicos y, en consecuencia, algunos están más al alcance de determinados responsables del tratamiento. Las empresas y otras entidades privadas suelen basarse en el consentimiento, el contrato y el interés legítimo. Por otro lado, las entidades públicas suelen basarse en la obligación legal o en el interés público/autoridad3.
Las bases jurídicas
Ya hemos hablado del consentimiento, así que veremos los demás fundamentos. Hay mucho que decir sobre los fundamentos jurídicos, y aquí sólo podemos arañar la superficie.
Contrato
Según el Art. 6(1)(b) del GDPR, puede tratar datos cuando el tratamiento sea "necesario para la ejecución de un contrato" con el interesado o para celebrar un contrato a petición de éste. Por ejemplo, si va a enviar mercancías a un cliente, necesita una dirección de entrega e información de contacto para asegurarse de que el envío se realiza correctamente. Puede tratar estos datos en función de la ejecución de su contrato con el cliente.
El contrato es una base jurídica cómoda y sin complicaciones. Por otro lado, es bastante restrictiva en cuanto a los datos que pueden tratarse porque la noción de necesidad debe interpretarse estrictamente y en referencia al objeto real del contrato.
En otras palabras, no se puede prever en un contrato el tratamiento de datos innecesarios como excusa conveniente para acogerse a este fundamento jurídico. Las APD no le permitirán engañar así al sistema. Dicho esto, no siempre está claro si el tratamiento de determinados datos es esencial para un contrato, por lo que puede haber algunas zonas grises en la práctica.
Es necesario aclarar los motivos del contrato y el consentimiento. Para que quede claro: consentir el contrato y consentir el tratamiento de los datos no es lo mismo. Aun así, cuando el tratamiento forma parte de un contrato, es una buena idea identificar explícitamente la base jurídica para el tratamiento de los datos, por si acaso. Esto puede evitar algunos quebraderos de cabeza en el futuro y ayuda al responsable del tratamiento a cumplir sus obligaciones de transparencia en virtud del artículo 13 de la Directiva. 13.
Actualización: el Consejo Europeo de Protección de Datos ha resuelto recientemente tres casos muy sonados relacionados con Meta. Los casos giraban en torno a la ejecución del contrato como base jurídica, y el Consejo se limitó principalmente a aclarar lo que ya estaba bien establecido: la noción de necesidad debe interpretarse estrictamente. Analizamos las decisiones en profundidad porque probablemente tendrán un impacto importante en la publicidad dirigida.
Interés legítimo
En virtud del art. 6(1)(f), los datos pueden tratarse cuando sea necesario para perseguir un interés legítimo del responsable del tratamiento o de un tercero. Por ejemplo, una empresa puede instalar cámaras de vigilancia en sus locales basándose en su interés legítimo en proteger su propiedad.
El concepto de interés legítimo es muy amplio. Puede abarcar el interés de una persona por proteger su propiedad, el interés de una empresa por gestionar su negocio o anunciar un producto, el interés de una ONG por perseguir objetivos humanitarios y el interés de un sitio web por generar ingresos publicitarios. Incluso un interés general puede invocarse a veces para invocar un interés legítimo.
En consecuencia, el interés legítimo es un motivo muy flexible y puede utilizarse para muchos fines. Pero esta flexibilidad conlleva una limitación específica (y una carga de cumplimiento): el responsable del tratamiento debe asegurarse de que su interés no prevalece sobre los intereses, derechos y libertades de los interesados.
Esta evaluación suele denominarse ponderación. En pocas palabras, la ponderación consta de tres preguntas#4 ¿es legítimo el interés? ¿Es necesario el tratamiento? ¿Tiene el tratamiento un impacto desproporcionado en la posición del interesado?
Parece sencillo, pero es bastante complicado. La ponderación es una evaluación caso por caso y debe tener en cuenta muchas variables. Volviendo a nuestro ejemplo: ¿están las cámaras activas todo el tiempo o sólo fuera del horario laboral? ¿Las cámaras están colocadas en el aparcamiento de la empresa o dentro del lugar de trabajo, donde pueden captar imágenes de los empleados mientras trabajan? ¿Graban las cámaras imágenes de los peatones que circulan por la calle? Todas estas cuestiones son pertinentes para sopesar el interés legítimo.
En la práctica, el responsable del tratamiento suele llevar a cabo la prueba de sopesamiento mediante la elaboración de una evaluación (evaluación del interés legítimo o EIL). Aunque no es obligatorio en virtud del GDPR, una evaluación por escrito es la forma más fácil para el controlador de demostrar que hicieron sus deberes con respecto al equilibrio5.
Hay mucho más que decir sobre el equilibrio6, y no podemos profundizar demasiado aquí. Pero la conclusión es que el equilibrio es delicado, y debe tenerlo en cuenta cuando decida basarse en el interés legítimo. Por otra parte, el interés legítimo es un motivo muy flexible, por lo que puede ser su única opción en algunos casos.
Dos últimos puntos. En primer lugar, el RGPD establece que las autoridades públicas no pueden invocar este motivo en el desempeño de sus funciones7. En segundo lugar, el interesado tiene derecho a oponerse al tratamiento de sus datos por motivos de interés legítimo8. En particular, este derecho funciona como un mecanismo de exclusión voluntaria del tratamiento de datos personales para mercadotecnia directa9. No vamos a entrar en más detalles, pero si tiene curiosidad, el sitio web de la ICO es una buena fuente de información sobre este tema (no hay diferencia entre el GDPR y el GDPR del Reino Unido en este sentido).
Obligación legal
En virtud del art. 6(1)(c), los datos personales pueden tratarse cuando el tratamiento "sea necesario para el cumplimiento de una obligación legal." Por ejemplo, un banco puede tratar los datos personales de sus clientes para cumplir las obligaciones que le impone la normativa contra el blanqueo de capitales.
El art. 6(3) especifica además que la fuente de una obligación legal debe ser la legislación de la UE o de un Estado miembro. La noción de Derecho es amplia e incluye normas como actos administrativos o resoluciones judiciales10. Con independencia de ello, esta "ley" debe cumplir los requisitos específicos establecidos por el RGPD. Esto significa que los Estados miembros no pueden hacer lícito ningún tratamiento de datos personales simplemente creando una ley para ese fin.
Al igual que el cumplimiento de un contrato, la obligación legal es un motivo relativamente sencillo, pero también muy restrictivo en cuanto a los datos que pueden tratarse.
Interés vital
En virtud del artículo 6, apartado 1, letra d), los datos pueden tratarse para proteger el interés vital del interesado o de otra persona. Por ejemplo, si un empleado se encuentra en peligro inminente, el empresario puede facilitar a las fuerzas públicas los datos del GPS de la empresa para que puedan encontrarlo y actuar lo antes posible.
En este contexto, interés vital significa que se está produciendo una situación que pone en peligro la vida. Se trata de un motivo bastante excepcional y no es algo que se utilizaría para el tratamiento cotidiano de datos.
Interés público o ejercicio de un poder público
Este es un motivo largo: según el Art. 6(1)(e), los datos pueden tratarse cuando sean "necesarios para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido al responsable del tratamiento". Por ejemplo, un colegio público puede tratar las notas de los alumnos en función de su misión pública de fomento de la educación. La Agencia Tributaria puede tratar sus datos personales al realizar una inspección porque puede hacerlo en virtud de la ley.
Este motivo lo suelen utilizar las autoridades y entidades públicas, ya que es más flexible que la obligación legal. También pueden utilizarlo las entidades privadas, pero sólo en determinados casos, por ejemplo, cuando una empresa privada presta un servicio público en virtud de un contrato público.
Por último, el derecho de oposición que hemos mencionado antes también se aplica al tratamiento de datos basado en el interés público/autoridad11.
Reflexiones finales
Tratar correctamente los datos personales es importante. Aún así, las directrices y leyes no siempre son fáciles de entender GDPR. Hemos intentado crear una visión de conjunto para ofrecer un poco más de claridad sobre las diferentes bases jurídicas para la recopilación de datos. El GDPR ha establecido los límites de lo que es posible y lo que no. Como empresa, debe cumplir estas leyes para proteger la privacidad de sus clientes. Tener una comprensión clara de estas bases legales reduce los riesgos de su empresa de demandas y violaciones de datos.
Incluso si el GDPR no existiera y no hubiera leyes que violar en materia de protección de datos, las organizaciones están moralmente obligadas a manejar los datos de los visitantes de su sitio web de manera responsable. Al menos, esto es lo que creemos en Simple Analytics.
Por eso hemos creado una alternativa a Google Analytics que da prioridad a la privacidad y que no utiliza cookies ni recopila datos personales, al tiempo que obtiene información procesable de los visitantes de su sitio web.
Creemos en la creación de una web independiente que sea amigable para los visitantes del sitio web al tiempo que proporciona los conocimientos que necesita para dirigir su negocio. Si está de acuerdo con esto, no dude en probarnos.
#1 Este es el principio de legalidad establecido por el Art. 5(1)(a) GDPR [^2]: Art. 4(11) GDPR. [^3]: Las entidades públicas suelen disfrutar de cierto grado de desequilibrio de poder con el interesado, lo que significa que el consentimiento no siempre se da libremente, como exige el art. 4(11) GDPR. El art. 6 también establece que las autoridades públicas (que es más específico que las entidades públicas) no pueden basarse en el interés legítimo cuando podrían basarse en el interés público/autoridad en su lugar [^4]: Esta es la prueba de tres partes desarrollada por el TJUE (TJUE - C-13/16 - Rīgas satiksme) [^5]: Véase el art. 5(2) (responsabilidad), así como el 24 del RGPD (responsabilidad del responsable del tratamiento) [^6]: Si quieres saber más sobre el interés legítimo, el ICO del Reino Unido ofrece información muy accesible en su página web [^7]: Art. 6(1) GDPR. [^8]: 21 GDPR. Lo mismo ocurre con el tratamiento basado en el artículo 6(1)(e). [^9]: 21(3) GDPR. [^10]: Kuner y otros, Commentary On The EU General Data Protection Regulation (GDPR). A Commentary, 2020, p. 333. [^11]: 21 GDPR.