El considerando 39 del Reglamento General de Protección de Datos (RGPD / GDPR) establece que todo tratamiento de datos personales debe ser lícito. Por su parte, el considerando 40 indica que para que un tratamiento sea lícito, los datos personales deben ser tratados sobre alguna de las bases legitimadoras establecidas conforme a Derecho. Estas bases legitimadoras se convierten por tanto en una pieza fundamental dentro del engranaje de la privacidad y el objetivo del presente artículo es describirlas brevemente y explicar cuándo aplican.
1 ¿Qué son las bases legitimadoras?
A pesar de que el nombre elegido por el legislador puede ser un poco confuso, las bases legitimadoras son simplemente un listado de situaciones o supuestos concretos en los que es posible tratar datos personales. Es decir, esta figura sienta una regla tan sencilla como que un responsable no puede realizar una actividad de tratamiento siempre que quiera, sino cuando esté habilitado para ello. Por tanto, solo cuando exista una base legitimadora (es decir, nos encontremos ante uno de los supuestos establecidos legalmente) podremos proceder al tratamiento de datos.
A modo de ejemplo, la existencia de una ley que nos obligue a realizar un tratamiento de datos sería una base legitimadora. Igualmente, disponer del consentimiento del interesado sería una base legitimadora. La idea es que, en estos casos, podríamos proceder con la actividad de tratamiento precisamente por encontramos en una de las situaciones que habilitan para ello.
2 ¿Cuáles existen y cuándo aplican?
Las principales bases legitimadoras se recogen en el artículo 6, además de en los considerandos 39 y siguientes del RGPD y serían las siguientes:
a) Consentimiento. Tiene lugar cuando el interesado ha otorgado su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos. El consentimiento debe ser libre, informado e inequívoco, sin que la inactividad o las casillas premarcadas sean válidas como manifestación para otorgar consentimiento. Asimismo, el interesado debe tener la posibilidad de retirar el consentimiento de manera sencilla y sin que esto suponga ningún tipo de perjuicio. Esto hace que en la práctica obtener y gestionar el consentimiento no siempre sea sencillo. En un artículo anterior comenté con más profundidad el consentimiento según el RGPD y las dificultades que entraña.
b) Contrato o medidas precontractuales. En los casos en los que se lleve a cabo un contrato en el que el interesado es parte, cualquier tratamiento de datos necesario para su ejecución estará cubierto por esta base legitimadora. Por ejemplo, para ejecutar un contrato de trabajo con un empleado se requieren una serie de datos para poder hacerlo. Esta base legitimadora también incluye los tratamientos necesarios para llevar a cabo medidas previas necesarias para la celebración del contrato.
c) Obligación legal. Téngase en cuenta que el RGPD es bastante claro en que esta base legitimadora se daría cuando existe una “obligación legal” no cuando exista una “habilitación legal”, que es distinto. Es decir, cuando exista una norma que obligue al responsable a llevar a cabo una actividad concreta que conlleve tratamiento de datos, aplicará esta base legitimadora. Un ejemplo sería cuando una entidad está obligada a transmitir información a autoridades públicas, como a la Comisión de Blanqueo de Capitales, las autoridades en materia de seguridad social o la Agencia Tributaria.
d) Intereses vitales. Esta base legitimadora aplicaría cuando fuera necesario para proteger la vida del interesado o de otra persona física. Por ejemplo, esta base legitimadora cubre diversos tratamientos en el ámbito hospitalario y de los servicios de emergencias.
e) Interés público. Esto se daría cuando el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Es decir, es una base legitimadora que se dará principalmente en ámbitos relacionados con la administración pública.
f) Interés legítimo. Esta es probablemente la base legitimadora más oscura y difícil de entender (y, al mismo tiempo, la más práctica en muchas ocasiones). Para poder basar un tratamiento en esta base legitimadora, se deben dar varios elementos:
-Un interés por parte del responsable del tratamiento o un tercero (merece la pena puntualizar que no puede ser una administración pública)
-Que dicho interés sea lícito (es decir, no puede basarse en un hecho ilegal o fraudulento)
-Que, tras la correspondiente evaluación, se determine que los intereses o derechos y libertades de los interesados no prevalezcan sobre dicho interés legítimo
Esto, como se puede observar, da lugar a que las situaciones que se pueden encajar en esta figura sean hasta cierto punto interpretables. El RGPD proporciona en los considerandos algunos ejemplos concretos en los que el interés legítimo podría aplicar, como la prevención del fraude o garantizar la seguridad de la red, pero en cualquier caso es un concepto abierto que debe analizarse caso por caso. A tal efecto, escribí anteriormente un artículo analizando el interés legítimo con más detalle.
Es importante tener en cuenta que las anteriores bases legitimadoras solo serían aplicables cuando nos encontremos ante un tratamiento que no conlleve la utilización de categorías especiales de datos (también conocidos como datos especialmente protegidos o especialmente sensibles). Entre estos se encuentran algunos relativamente comunes como serían datos biométricos, relativos a la salud o afiliación sindical, entre otros. También existen determinadas situaciones en los que es posible tratar este tipo de datos (a las que no llamaría “bases legitimadoras” sino “excepciones”), las cuales se recogen en el artículo 9 GDPR.
Por último, como dato curioso, merece la pena señalar que las bases legitimadoras ya existían en la antigua Directiva de 1995 (Directiva 95/46/CE), que recogía en su artículo 7 un listado bastante similar al que recoge el actual GDPR en su artículo 6. Sin embargo, este artículo no fue transpuesto de la misma forma en los ordenamientos nacionales de los diferentes países y, por ejemplo, en el caso de España, encontrábamos que los distintos supuestos habilitantes estaban desperdigados por diferentes artículos, sentándose un régimen diferente en el que el consentimiento era la principal base legitimadora y el resto podían considerarse como una suerte de excepciones. No únicamente España aplicó este enfoque, pero debe tenerse en cuenta que la naturaleza inicial de esta figura en la Directiva era muy similar a la existente en el GDPR, aunque no en todos los ordenamientos nacionales se hubiera entendido así. Esta es la razón por la que las bases legitimadoras parecen algo “nuevo” que ha introducido el GDPR, aunque realmente no lo son.