Aplicación del GDPR: 2. Licitud del tratamiento


Josep Aragonés Salvat     06/10/2016

Licitud para el tratamiento de datos


El GDPR deja muy claro que el tratamiento de datos personales debe basarse, de forma general, en el consentimiento libre, informado, específico e inequívoco del interesado.

El nuevo Reglamento requiere una declaración o acción positiva del interesado que indique su conformidad con el tratamiento. Y además esta conformidad ha de ser basada en una información concisa, transparente, inteligible y de fácil acceso.

Por ello, para que un tratamiento sea considerado lícito nos basaremos en 3 premisas:

  • Obtención del consentimiento para el tratamiento de datos
  • Información del tratamiento facilitada al interesado
  • Establecer una política de información


Vamos a poner un ejemplo de la licitud del tratamiento con los ficheros de una empresa Responsable del tratamiento:

Fichero Finalidad Consentimiento Información
CLIENTES Y PROVEEDORES Gestión fiscal y contable. Obligación jurídica del Responsable. A disposición del interesado.
CONTACTOS Gestión comercial. Autorización firmada (papel o documento electrónico). En el momento de la obtención de datos.
CONSUMIDORES Gestión de quejas y sugerencias de usuarios de productos o servicios. Por interés del interesado. En el momento de la obtención de datos.
VIDEOVIGILANCIA Captación de imágenes por motivos de seguridad. Icono formalizado (logo videovigilancia) En combinación con icono formalizado visible antes de proceder al tratamiento
PERSONAL Gestión de empleados, nóminas y RR HH. Obligación jurídica del Responsable. En el momento de la obtención de datos.
PRL Prevención de riesgos laborales. Obligación jurídica del Responsable. A disposición del interesado.
SEGURO LABORAL Contratación de seguros para desplazamientos comerciales. Interés legítimo del Responsable del tratamiento En el momento de la transmisión de datos al Destinatario (empresa de seguros).
CURRÍCULUMS Datos de posibles trabajadores de la empresa. Por interés del interesado. En el momento de la obtención de datos.



Qué hacemos con los consentimientos tácitos e informados permitidos por la LOPD


Para adaptarnos al GDPR tenemos que considerar que el consentimiento tácito va a ser prohibido a partir de que se derogue la LOPD, máximo en mayo de 2018, por lo que queda suficiente tiempo para informar a los Responsables del tratamiento para que empiecen a solicitar a los interesados el consentimiento explícito que requiere el Reglamento.

Para la obtención de datos por una obligación legal, no se requiere el consentimiento del interesado, por lo que la obtención de datos para este fin no va a tener ninguna repercusión, pero para comunicarse con el cliente para enviarles información de productos o servicios (siempre que sean personas individuales) sí se va a necesitar el consentimiento explícito y verificable, lo que comportará que el Responsable del tratamiento debe ser capaz de demostrar que el interesado lo ha consentido. Las empresas deberán habituarse a ello porqué el GDPR pretende implementar una cultura de privacidad con el objetivo de protejer los derechos y libertades de los interesados.


Obtención del consentimiento para el tratamiento de datos


Como hemos dicho anteriormente, el consentimiento debe ser libre, informado, específico e inequívoco.

Los requisitos para que un consentimiento sea considerado válido son:

  • Información específica: El consentimiento debe ser específico y basado en información adecuada. No es aceptable el consentimiento genérico sin especificar el propósito exacto de su finalidad.
  • Momento: El consentimiento debe darse antes de que comience el tratamiento.
  • Elección activa: El consentimiento debe ser inequívoco. Debe ser una indicación activa de la voluntad del interesado y no debe dejar ninguna duda en cuanto a su intención.
  • Libremente otorgado: El consentimiento sólo será válido si el interesado está en condiciones de ejercer una elección real y no hay riesgo de engaño, intimidación, coacción o consecuencias negativas importantes si el interesado no da su consentimiento.


Las condiciones para que un consentimiento sea considerado válido son:


Se deben implementar políticas para obtener el consentimiento y dar intrucciones precisas al personal autorizado para el tratamiento de datos y a los Encargados del tratamiento para que las cumplan y las hagan cumplir.

  • Guardar los comprobantes del consentimiento. Si es posible escanearlos para su rápida localización.
  • No condicionar el consentimiento a una prestación de servicios que no requiera el tratamiento de datos.
  • Posibilitar la retirada del consentimiento en cualquier momento y facilitarla de manera que sea tan fácil como el haberlo obtenido.


Cuando no es necesario obtener el consentimiento explícito del interesado:

  • Cuando exista una obligación jurídica a la que esté sujeto el Responsable del tratamiento. Por ejemplo la emisión de una factura.
  • Cuando exista un contrato o precontrato con el interesado que requiera tratar sus datos. El tratamiento será por interés del interesado.
  • Cuando los datos se puedan obtener legítimamente de archivos de acceso público obtenidos de una fuente pública. Los datos son públicos.
  • Cuando el interesado haya hecho manifiestamente públicos sus datos.
  • Cuando exista la necesidad de la protección de los intereses vitales del interesado u otra persona física. Por ejemplo un accidente de tráfico o por motivos de salud.
  • Por un interés legítimo del Responsable del tratamiento o de terceros, siempre que no prevalezcan los intereses o los derechos y libertades del interesado, especialmente si es un niño. Por ejemplo el interés de una empresa en asegurar la salud o la formación de sus trabajadores, o la transmisión de datos dentro de un grupo empresarial para fines administrativos internos.
  • Cuando exista un cometido de interés público fundamentado en la legislación vigente. Por ejemplo la prevención de blanqueo de capitales o lucha contra la pornografía infantil.


Para más información sobre el interés legítimo puede consultarse un artículo de Javier Sempere: Dictamen del Grupo del Artículo 29 sobre tratamiento de datos basados en el interés legítimo.

Resumiendo, el tratamiento será legítimo cuando los datos se obtienen:

INTERESADO

Autorización firmada (papel o documento electrónico).
Autorización confirmada (por medios electrónicos).
Contrato o precontrato (firmado o confirmado).
Por interés del interesado.
Consentimiento informado mediante iconos formalizados.

TERCEROS Datos recibidos como Destinatario de datos de otro Responsable del tratamiento.
Datos obtenidos legítimamente de fuentes públicas.
Datos hechos manifiestamente públicos por el interesado.
SITUACIONES ESPECÍFICAS Protección de los intereses vitales de la persona.
Interés legítimo del Responsable del tratamiento.
Interés público.



Información del tratamiento facilitada al interesado


Tal como indicábamos en el artículo anterior (Aplicación del GDPR: 1. Tratamiento de datos), el principio fundamental del tratamiento es la lealtad y transparencia con el interesado. Aplicando este principio, el Reglamento dispone que se deberá facilitar la información del tratamiento de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, especialmente si va dirigida a niños.

La información se podrá facilitar al interesado de la siguiente forma:

  • Por escrito o por medios electrónicos.
  • Oralmente, si lo solicita expresamente el interesado.
  • En combinación con iconos formalizados que permitan proporcionar de forma visible, inteligible y claramente legible una presentación adecuada del tratamiento de datos previsto. Por ejemplo el logo de videovigilancia.




Qué hacemos con información reflejada en cualquier documento con datos personales que obligaba la LOPD para consentimientos tácitos


Ya no será necesario informar del tratamiento en las diminutas cláusulas que obligaba la LOPD para los consentimientos tácitos. El Reglamento obliga a ser más transparentes, lo que significa que el interesado debe estar claramente informado del tratamiento y que una vez informado no será necesario volver a hacerlo.

Como el consentimiento no podrá ser tácito, sino explicito, y la información facilitada al interesado deberá ser clara y concisa, se podrán eliminar las cláusulas informativas de la LOPD. Aunque la información del tratamiento siempre debe estar a disposición del interesado, no será necesario que se incorporen en los documentos como hasta ahora se venía haciendo.

Contenido de la información al interesado


En los documentos donde se solicite el consentimiento explícito del interesado, el Responsable del tratamiento deberá facilitar, como mínimo, la siguiente información:

  • La base jurídica del tratamiento.
  • La identidad y los datos de contacto del Responsable del tratamiento y del DPO (si existe).
  • Los fines del tratamiento.
  • El plazo de conservación de los datos o los criterios que lo determinen.
  • Los derechos del interesado.
  • El interés legítimo del Responsable del tratamiento, si el tratamiento se basa en este interés.
  • Los Destinatarios de los datos, si se prevé comunicarlos a otro Responsable.


Y para tratamientos específicos se añadirá la siguiente información:

  • Las transferencias internacionales de datos y la existencia o ausencia de una decisión de suficiencia o de garantías apropiadas.
  • Cuando exista un mecanismo automatizado de elaboración de perfiles, deberemos facilitar información sobre la lógica aplicada y las consecuencias previstas para el interesado.
  • Si nos proponemos tratar los datos para otros fines, deberemos facilitar al interesado información de éstos fines.


Y si los datos son obtenidos de fuentes externas (no del interesado), se añadirá la siguiente información:

  • La fuente de procedencia de los datos.
  • Las categorías de datos tratados.


Ejemplo de cómo informar del tratamiento para el fichero CONTACTOS



................ es el Responsable del tratamiento de los datos personales del Interesado y le informa que estos datos serán tratados de conformidad con lo dispuesto en las normativas vigentes en protección de datos personales, el Reglamento (UE) 2016/679 de 27 de abril de 2016 (GDPR), la Ley Orgánica (ES) 15/1999 de 13 de diciembre (LOPD) y el Real Decreto (ES) 1720/2007 de 21 de diciembre (RDLOPD), por lo que se le facilita la siguiente información del tratamiento:

Fin del tratamiento: mantener una relación comercial mediante la comunicación de nuestros productos y servicios.

Legitimación del tratamiento: por consentimiento del interesado.

Criterios de conservación de los datos: se conservarán durante no más tiempo del necesario para mantener el fin del tratamiento y cuando ya no sea necesario para tal fin, se suprimirán con medidas de seguridad adecuadas para garantizar la anonimación de los datos o la destrucción total de los mismos..

Comunicación de los datos: no se comunicarán los datos a ningún destinatario, excepto por obligación legal.

Derechos que asisten al Interesado:
- Derecho a retirar el consentimiento en cualquier momento.
- Derecho de acceso, rectificación y supresión de sus datos y a la limitación u oposición a su tratamiento.
- Derecho a presentar una reclamación ante la Autoridad de control (agpd.es) si considera que el tratamiento no se ajusta a la normativa vigente.

Datos de contacto para ejercer sus derechos: ..........................




Establecer una política de información


El Responsable del tratamiento deberá diseñar políticas concisas, transparentes, sencillas y accesibles para comunicar al interesado los detalles del tratamiento y el ejercicio de los derechos sobre sus datos.

Estas políticas deberían formalizarse en un protocolo de actuación para conocimiento y aplicación del personal autorizado para el tratamiento de datos y de los Encargados del tratamiento para que las cumplan y las hagan cumplir.

La política de información al interesado debería establecer los siguientes procedimientos:

  • Protocolo para dar curso a las solicitudes de los derechos de los interesados y cumplir con los plazos establecidos en el Reglamento para responderlas.
  • Protocolo para la comunicación de la información al interesado:
    • En el momento de la obtención de datos, si se obtienen del interesado.
    • En un plazo máximo de 1 mes, si se obtienen de fuentes externas (o, si es anterior, en la primera comunicación dirigida al interesado).
    • En el momento de la transmisión de datos a un Destinatario (para informarles de la cesión).
  • Protocolo para no ser necesaria la comunicación de la información al interesado:
    • Cuando el tratamiento sea una obligación legal del Responsable del tratamiento (por ejemplo la emisión de facturas).
    • Cuando el interesado ya disponga de la información.
    • Cuando la comunicación sea imposible o suponga un esfuerzo desproporcionado.


Información relacionada



Seguimiento del curso Aplicación del GDPR


Tema anterior: 1. Tratamiento de datos Tema siguiente: 3. Responsabilidad del tratamiento