Según el RGPD, el tratamiento legal requiere una base jurídica. Si el tratamiento incluye el tipo de actividades que se recogen en la Directiva sobre privacidad electrónica (y en el futuro Reglamento sobre privacidad electrónica), las disposiciones de esta nueva herramienta se aplicarán tan pronto como se adopte. La IdCdebe ser capaz de distinguir entre los diferentes individuos que utilizan el mismo sistema, de modo que no puedan conocer las actividades de los demás sin una base legal que justifique dicho tratamiento (muy probablemente el consentimiento). La confianza entre los actores debe basarse en la autenticación de cada herramienta de la IdCantes de la comunicación y el acceso a los datos. Evitar que objetos y usuarios no autorizados accedan a un sistema puede mejorar la confidencialidad y, por tanto, aumentar la confianza de los usuarios. Por lo tanto, la definición de la base jurídica que se aplica a dicho tratamiento es clave, para garantizar la legalidad del mismo. En la actualidad, existen varias bases jurídicas para el tratamiento de datos que podrían aplicarse bien a la IdC. Estas son: el consentimiento, la ejecución de un contrato, el interés legítimo y, por supuesto, el interés público, cuando hablamos de investigación científica e innovación.
El proyecto de Reglamento[1] sobre la privacidad electrónica considera que el consentimiento es la base principal para el tratamiento legal de los datos en el contexto de las comunicaciones electrónicas, circunstancia que se aplica, por ejemplo, en el caso de los dispositivos de IdCconectados a la web. Sin embargo, cuando un responsable del tratamiento pretende tratar datos personales que son de hecho necesarios para la ejecución de un contrato, el consentimiento no es la base jurídica más recomendable y el tratamiento debería basarse en el artículo 6, apartado 1, letra b).
El interés legítimo, por su parte, es la base jurídica más flexible para el tratamiento, pero no se puede dar por sentado que sea siempre la más adecuada. La Oficina del Comisario de Información consideró que es probable que sea la más adecuada cuando los responsables del tratamiento utilizan los datos de las personas de forma razonable y con un impacto mínimo sobre la privacidad, o cuando existe una justificación imperiosa para el tratamiento.[2] Sin embargo, puede ocurrir que los criterios utilizados por las Autoridades de Protección de Datos de los Estados miembros de la UE sean bastante diferentes. Por lo tanto, es mejor que pregunte a su DPD sobre esta cuestión.
Una cuestión previa: ¡no olvide que el tratamiento de datos de categorías especiales está prohibido! Antes de tratar los datos, los responsables del tratamiento deben asegurarse de que no se trata de datos de categorías especiales. Si no es así, deberán recordar que el artículo 9.1 del RGPD veta dicho tratamiento, salvo que se dé alguna de las circunstancias descritas en el artículo 9.2. Además, los responsables del tratamiento deben tener en cuenta que la mayoría de estas circunstancias (el consentimiento es una excepción) requieren que dicho tratamiento se realice sobre la base del Derecho de la Unión o de los Estados miembros, que prevé medidas adecuadas y específicas para salvaguardar los derechos y las libertades del interesado. Estas salvaguardas pueden ser la seudonimización, el secreto profesional o incluso mecanismos más complejos si se prevé la transferencia de datos personales a un tercer país o a una organización internacional (véase el artículo 46 del RGPD). |
- https://data.consilium.europa.eu/doc/document/ST-6087-2021-INIT/en/pdf ↑
- ICO: Intereses legítimos, en: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/legitimate-interests/ ↑