Artículos y considerandos relacionados
Home » RGPD » Principios » Legalidad, equidad y transparencia » Artículos y considerandos relacionados

Legalidad

La definición de legalidad figura en el art. 6(1) del RGPD. Dice lo siguiente:

El tratamiento sólo será lícito si y en la medida en que se aplique al menos una de las siguientes condiciones:

  1. el interesado ha dado su consentimiento al tratamiento de sus datos personales para uno o varios fines específicos;
  2. el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para tomar medidas a petición del interesado antes de celebrar un contrato;
  3. el tratamiento es necesario para el cumplimiento de una obligación legal a la que está sujeto el responsable del tratamiento;
  4. el tratamiento es necesario para proteger los intereses vitales del interesado o de otra persona física;
  5. el tratamiento es necesario para el cumplimiento de una misión de interés público o para el ejercicio del poder público conferido al responsable del tratamiento;
  6. el tratamiento es necesario para los fines de los intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, salvo que sobre dichos intereses prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de los datos personales, en particular cuando el interesado sea un niño.

La letra f) del primer párrafo no se aplicará al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.

Mientras que los fines del tratamiento deben ser específicos y explícitos (véase el art. 5(1)(b), y por lo tanto también suficientemente limitados y específicos, los anteriores son claramente categorías de fines. (En los casos en los que se ha utilizado explícitamente la palabra finalidad, se ha escrito en cursiva). Se denominan comúnmente bases jurídicas [1]y son referencias por su posición en el artículo 6; por ejemplo, el consentimiento sería entonces la base jurídica del art. 6(1)(a).

El RGPD prevé dos artículos que establecen otros requisitos de licitud para dos casos diferentes: los datos sensibles y los datos relativos a las condenas penales. En concreto, son los siguientes:

El art. 9 del RGPD establece que el tratamiento de datos especialmente sensibles está en principio prohibido y enumera 10 excepciones a esta norma. Las excepciones son comparables en su estructura a las bases legales del Art. 6. El artículo especifica que los datos son especialmente sensibles si revelan:

  • origen racial o étnico,
  • opiniones políticas,
  • creencias religiosas o filosóficas,
  • la afiliación sindical,

o son:

  • datos genéticos,
  • datos biométricos con el fin de identificar de forma única a una persona física,
  • datos relativos a la salud, o
  • datos relativos a la vida sexual o a la orientación sexual de una persona física.

Para estos datos se aplican requisitos más estrictos para que su tratamiento se considere lícito. Por ejemplo, en lugar del simple consentimiento del Art. 6(1)(a), el tratamiento de estos datos sensibles requiere un nivel de consentimiento más exigente denominado consentimiento explícito (véase el Art. 9(2)(a) del RGPD).

Al igual que el art. 9 para los datos especialmente sensibles, el artículo 10 del RGPD restringe aún más el tratamiento de “datos relativos a condenas e infracciones penales o medidas de seguridad conexas”. En particular, para que sea lícito, el tratamiento debe “llevarse a cabo únicamente bajo el control de la autoridad oficial o cuando esté autorizado por el Derecho de la Unión o de los Estados miembros, que ofrezca garantías adecuadas para los derechos y libertades de los interesados”.

Hay varios artículos y considerandos del RGPD que especifican el concepto de consentimiento (del art. 6(1)(a) del RGPD) con más detalle. Los más importantes son los siguientes:

  • Art. 4(11) que define el consentimiento;
  • Art. 7 que enumera las condiciones para el consentimiento; y
  • El art. 8 que regula las condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la información.

Teniendo en cuenta que el consentimiento es un concepto complejo, el Comité Europeo de Protección de Datos ha publicado las directrices autorizadas 05/2020 sobre el consentimiento en virtud del Reglamento 2016/679[2].

Además del consentimiento, también el concepto de interés legítimo perseguido por el responsable del tratamiento (del art. 6(1)(f) del RGPD) es difícil de entender. Lo que es crucial aquí es la restricción de “salvo que prevalezcan los intereses o los derechos y libertades fundamentales del interesado”. Esto significa que el interés legítimo del responsable del tratamiento debe equilibrarse con los intereses de los interesados. Para determinar si este es el caso, el responsable del tratamiento tiene que realizar la llamada prueba de equilibrio. La forma de hacerlo se describe en “Principales herramientas y acciones” en la Parte II de estas directrices. Se basa principalmente en el autorizado Dictamen 06/2014 del Grupo de Trabajo del Artículo 29 sobre el concepto de intereses legítimos del responsable del tratamiento en virtud del artículo 7 de la Directiva 95/46/CE[3]. Aunque este dictamen se basa en la Directiva de protección de datos anterior al RGPD, es en general aplicable a la interpretación del art. 6(1)(f) del RGPD. Se recomienda su lectura para profundizar en el tema.

Equidad

Podría decirse que todo el RGPD tiene que ver con la equidad. A continuación, se señalan algunos artículos del RGPD que lo ilustran especialmente bien.

Un ámbito en el que la equidad es evidente es el de los requisitos de transparencia. En este caso, el art. 12(1) establece que los responsables del tratamiento facilitarán la información “al interesado de forma concisa, transparente, inteligible y fácilmente accesible, utilizando un lenguaje claro y sencillo, en particular para cualquier información dirigida específicamente a un niño”. Evidentemente, esto prohíbe la práctica desleal de proporcionar la información requerida en una forma inaccesible para los interesados.

Del mismo modo, el consentimiento no puede ser implícito, sino que requiere una “declaración explícita o mediante una clara acción afirmativa” (véase el art. 4(11) delRGPD). El mismo artículo establece, además, que el consentimiento debe ser libre, específico, informado e inequívoco“. Además, en cualquier momento, sin necesidad de justificación, el interesado debe poder retirar su consentimiento con la misma facilidad con que lo dio. Estos estrictos requisitos para el consentimiento prohíben directamente muchas prácticas de manipulación, incluido el “empujón” [4]a los sujetos de los datos.

Hay varios derechos de los interesados que pueden asociarse directamente con la imparcialidad. Entre ellos se encuentran:

  • El derecho de rectificación (art. 16 del RGPD) para evitar que los interesados sufran consecuencias negativas debido a datos inexactos;
  • El derecho a la restricción del tratamiento (art. 18 del RGPD), que impide a los responsables del tratamiento seguir utilizando los datos que se han declarado inexactos o que corresponden a un tratamiento al que el interesado se ha opuesto;
  • El derecho a la portabilidad de los datos (art. 20 del RGPD) que evita situaciones de bloqueo y una posible pérdida (por ejemplo, de la inversión[5]) cuando los usuarios cambian su relación con el responsable del tratamiento;
  • El derecho de oposición (art. 21 del RGPD) cuando en el caso de una base jurídica del art. 6(1)(f) RGPD, los interesados pueden presentar sus situaciones específicas en las que su interés prevalece sobre los intereses legítimos del responsable del tratamiento;
  • El derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado (art. 22 del RGPD), que también prevé el derecho a obtener la intervención humana por parte del responsable del tratamiento (véase el apartado 3).

Otro indicio de equidad es que el responsable del tratamiento debe tener en cuenta el punto de vista de los interesados. Esto es evidente, por ejemplo, en el considerando 50 del RGPD, que exige tener en cuenta las expectativas razonables de los interesados a la hora de determinar si una finalidad es compatible con el artículo 6, apartado 4. 6(4). También aparece en las evaluaciones de impacto de la protección de datos (artículo 35 del RGPD), en las que los responsables del tratamiento, cuando proceda, deben recabar la opinión de los interesados o de sus representantes (artículo 35, apartado 9, del RGPD).

Transparencia

Varios artículos del RGPD ofrecen más detalles sobre el principio de transparencia. Entre ellos se encuentran los siguientes:

  • Los artículos 12 a 14 describen detalladamente la información que los responsables del tratamiento deben proporcionar por adelantado a los interesados.
  • El art. 15 describe la información que debe proporcionarse a petición de los interesados, incluido el pleno acceso a sus datos.
  • El art. 34 describe cómo debe informarse a los interesados de las violaciones de los datos, cuando es probable que supongan un alto riesgo.
  • El art. 38(4) designa al responsable de la protección de datos del responsable del tratamiento como punto de acceso para los interesados.
  • Los arts. 12 y 19 describen la información que los responsables del tratamiento deben proporcionar a los interesados que ejercen uno de sus derechos.
  • El art. 30 de los registros de tratamiento y 35 de la evaluación de impacto de la protección de datos describen la información que debe facilitarse a las autoridades de control. (Esta última sólo si el tratamiento puede suponer un alto riesgo).
  • El art. 58(1) especifica que los responsables del tratamiento deben ser transparentes ante las autoridades de supervisión, respondiendo (letra a), permitiendo inspecciones y auditorías (letra b), y permitiendo el acceso a sus instalaciones (letra f).
  • El art. 33 describe las notificaciones de infracciones a las autoridades de supervisión.

Teniendo en cuenta la importancia de la transparencia en el RGPD, el Comité Europeo de Protección de Datos ha proporcionado una interpretación autorizada de las obligaciones relacionadas en sus Directrices sobre la transparencia en virtud del Reglamento 2016/679 (wp260rev.01)[6]. Se recomienda su lectura.

 

 

  1. El término base legal se utiliza ampliamente en el RGPD y se recomienda aquí como término preferente. Como alternativa, el RGPD también contiene el término base legal. En la bibliografía, también se utiliza el término base legal.
  2. EDPB, Guidelines 05/2020 on consent under Regulation 2016/679, Version 1.0, Adopted on4 May2020,https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_en (última visita: 22/05/2020).
  3. Artículo 29 Grupo de Trabajo de Protección de Datos, 844/14/ES, WP217, Dictamen 06/2014 sobre el concepto de intereses legítimos del responsable del tratamiento en virtud del artículo 7 de la Directiva 95/46/CE, Adoptado el 9 de abril de 2014, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf (Última visita: 22/05/2020).
  4. Véase, por ejemplo, Weinmann, M., Schneider, C. y Brocke, J.v. Digital Nudging. Bus Inf Syst Eng 58, 433-436 (2016). https://doi.org/10.1007/s12599-016-0453-1 (Última visita: 22/05/2020).
  5. Un ejemplo de posible pérdida de inversión es la colección de fotos personales.
  6. EDPB, Guidelines on Transparency under Regulation 2016/679 (wp260rev.01), https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=622227 (Última visita 22/05/2020).

 

Ir al contenido