Considere qué base jurídica permitirá el tratamiento de datos personales
Home » Geolocalización » Reconocer las oportunidades – comprensión del negocio y plan de protección de datos » Considere qué base jurídica permitirá el tratamiento de datos personales

Los últimos borradores del Reglamento sobre privacidad electrónica incluyen varias bases jurídicas que podrían servir para legitimar el tratamiento de datos. En general, es probable que el consentimiento siga desempeñando un papel fundamental en el tratamiento de datos a través de las comunicaciones electrónicas. Sin embargo, el artículo 8 de la versión del Reglamento sobre privacidad electrónica del Consejo[1] incluye bases alternativas para el uso de las capacidades de procesamiento y almacenamiento de los equipos terminales y la recogida de información de los equipos terminales de los usuarios finales, incluso en lo que respecta a su software y hardware:

  • A) es necesario con el único fin de prestar un servicio de comunicaciones electrónicas
  • C) es estrictamente necesario para prestar un servicio específicamente solicitado por el usuario final;
  • D) es necesaria con el único fin de medir la audiencia, siempre que dicha medición sea realizada por el proveedor del servicio solicitado por el usuario final, o por un tercero, o por terceros conjuntamente con el proveedor del servicio solicitado o en su nombre, siempre que, en su caso, se cumplan las condiciones establecidas en los artículos 26 o 28 del Reglamento (UE) 2016/679;
  • DA) es necesario para mantener o restablecer la seguridad de los servicios de la sociedad de la información o de los equipos terminales del usuario final, evitar el fraude o prevenir o detectar fallos técnicos durante el tiempo necesario para ello; o
  • E) es necesario para una actualización del software, siempre que se den determinadas circunstancias.

Si el tratamiento sólo implica la recogida de información emitida por el equipo terminal del usuario final para permitirle conectarse a otro dispositivo y, o a un equipo de red, estará permitido si se dan condiciones como las incluidas en el artículo 8. 2 del proyecto de Reglamento sobre la privacidad en las comunicaciones electrónicas (es decir, (a) se realiza exclusivamente para, y sólo durante el tiempo necesario, establecer o mantener una conexión; o (b) el usuario final ha dado su consentimiento; o (c) es necesario para fines estadísticos que se limitan en el tiempo y en el espacio a lo necesario para este fin y los datos se hacen anónimos o se borran tan pronto como dejan de ser necesarios para este fin, (d) es necesario para prestar un servicio solicitado por el usuario final. ) y se han aplicado con éxito las correspondientes garantías (Véase el artículo 8.2 (d) del proyecto de Reglamento sobre la privacidad electrónica[2].

Cuadro 2: reutilización de datos personales

Una de las cuestiones más controvertidas en materia de protección de datos es la reutilización de los datos personales y la posibilidad de proceder a un tratamiento lícito sobre esta base. Esta cuestión ha sido objeto de un profundo análisis en documentos como el Dictamen conjunto 3/2021 del CEPD y el SEPD sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la gobernanza europea de datos (Ley de Gobernanza de Datos). En resumen, el CEPD y el SEPD reiteran que todo el tratamiento de datos personales a que se refiere la propuesta deberá realizarse en pleno cumplimiento del RGPD y, por tanto, ir acompañado de las oportunas garantías de protección de datos. Esto significa que la reutilización de los datos personales debe respetar siempre los principios de licitud, lealtad y transparencia, así como la limitación de la finalidad, la minimización de los datos, la exactitud, la limitación del almacenamiento, la integridad y la confidencialidad, de conformidad con el artículo 5 del RGPD (73). El proyecto de Reglamento sobre privacidad electrónica del Consejo incluye una cláusula dedicada a esta cuestión, el artículo 8, letras g) y h).

Además, también puede ocurrir que los datos se traten finalmente con una base jurídica alternativa, como el interés público. Esto no es en absoluto imposible si las circunstancias lo recomiendan y el tratamiento se basa en el Derecho de la Unión o de los Estados miembros que prevé medidas adecuadas y específicas para salvaguardar los derechos y libertades del interesado. Sin embargo, los desarrolladores deben tener en cuenta que estas bases alternativas sólo son aplicables si el responsable del tratamiento es una autoridad pública. Además, la regulación del interés público puede ser diferente en cada Estado miembro. Los responsables del tratamiento deben ser muy conscientes de esta circunstancia.

Por otra parte, los datos personales pueden reutilizarse para fines compatibles con los que se recogieron originalmente. Así, en principio, el desarrollador podría utilizar los datos ya disponibles para desarrollar el dispositivo, sin recoger nuevos datos. Sin embargo, el responsable del tratamiento debe garantizar y documentar cuidadosamente que esta finalidad es realmente compatible con la original (véase la parte de estas Directrices relativa al uso compatible de los datos).[3]

Además, los datos personales también pueden reutilizarse tras ser sometidos a un proceso de anonimización. Es decir, los datos personales previamente existentes pueden convertirse en datos no personales. Esto deja el tratamiento fuera del ámbito de aplicación del RGPD. Sin embargo, puede entrar en el ámbito de aplicación del Reglamento sobre la privacidad electrónica cuando éste entre en vigor. En este caso, se permitirá el uso posterior de datos anónimos. A este respecto, el responsable del tratamiento debe tener en cuenta que el proceso técnico consistente en someter los datos personales a una técnica de anonimización constituye en sí mismo un tratamiento de datos personales. Este tratamiento puede considerarse compatible con la finalidad original del tratamiento a condición de que el proceso produzca información verdaderamente anonimizada, en el sentido definido por el antiguo Grupo de Trabajo del Artículo 29.[4] (vea las secciones “Anonimización” y “Pseudonimización” en la parte “Conceptos Principales” de estas Directrices)

La base jurídica que proporciona el fundamento legal para el uso de los datos de localización/proximidad debe, en cualquier caso, incorporar garantías significativas. Debe incluirse una especificación clara de la finalidad y limitaciones explícitas relativas al uso posterior de los datos personales, así como una identificación clara del responsable o responsables del tratamiento. También deben identificarse las categorías de datos, así como las entidades (y los fines para los que pueden revelarse los datos personales). En caso de que los datos se utilicen para más de un fin, el responsable del tratamiento debe vincular qué categorías de datos se utilizan para qué fines. Además de todo lo anterior, es importante establecer y comunicar el periodo de tiempo durante el cual se conservarán los datos. Además, la información no debe utilizarse para determinar la naturaleza o las características de un usuario final o para construir un perfil de éste. Dependiendo del nivel de interferencia, deben incorporarse garantías adicionales, teniendo en cuenta la naturaleza, el alcance y los fines del tratamiento. Véase, a este respecto, el artículo 8 del Reglamento sobre la privacidad electrónica.

Lista de control: bases legales legitimadoras del tratamiento

 Los desarrolladores han comprobado que disponen de una base jurídica que permite el tratamiento lícito de los datos

 Los responsables del tratamiento han comprobado el marco normativo nacional o de la UE relativo al uso de los datos personales.

 Si los datos personales se utilizan para fines compatibles, el responsable del tratamiento ha realizado la prueba de compatibilidad y se ha asegurado de que los usos son compatibles.

 Si los datos se utilizan para una finalidad distinta de la buscada inicialmente, la herramienta está diseñada para informar al usuario sobre este uso.

 La herramienta está diseñada para permitir la reutilización de los datos personales sólo cuando se basa en la legislación de la Unión o de los Estados miembros que establece una lista de fines claramente compatibles para los que el tratamiento posterior puede ser autorizado legalmente o constituye una medida necesaria y proporcionada en una sociedad democrática

 

 

  1. https://data.consilium.europa.eu/doc/document/ST-6087-2021-INIT/en/pdf
  2. https://data.consilium.europa.eu/doc/document/ST-6087-2021-INIT/en/pdf
  3. Dictamen conjunto 3/2021 del CEPD y el SEPD sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la gobernanza europea de datos (Ley de Gobernanza de Datos), P. 77, disponible en: https://edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opinion-032021-proposal_es
  4. Grupo de Trabajo del Artículo 29, Dictamen 5/2014 sobre técnicas de anonimización Adoptado el 10 de abril de 2014, Pp. 7-8., disponible en: https://www.aepd.es/sites/default/files/2019-12/wp216-es.pdf.

 

Ir al contenido