¿Qué son las bases de legitimación?

En nuestro artículo anterior hablábamos sobre las principales diferencias que existen entre la actual Ley Orgánica de Protección de Datos (LOPD) y el nuevo Reglamento General de Protección de Datos (RGPD) de la Unión Europea que tomará plena vigencia el próximo 25 de Mayo de 2018.

En esta ocasión vamos a tratar sobre las bases de legitimación para el tratamiento de datos de carácter personal.

Todo tratamiento de datos de carácter personal debe tener una base que lo justifique o legitime. En cuanto a esto el RGPD recoge las mismas bases jurídicas que contiene la directiva 95/46 de la UE y que la actual LOPD contiene y que son:

  • Relación contractual.
  • Intereses vitales del interesado o de otras personas.
  • Obligación legal para el responsable.
  • Interés público o ejercicio de poderes públicos.
  • Intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos.

Esto significa que las organizaciones deben documentar la base legal que legitima cada uno de sus tratamientos de datos y proporcionar información a los interesados en el momento de recoger los datos de los mismos. Además, las organizaciones deben estar en condiciones de demostrar que han ejercido una responsabilidad activa a la hora de proporcionar esta información a los interesados.

En base a lo anterior, ya no es válida la formula tan común hasta ahora de seguir obteniendo el consentimiento por omisión, ya que este debe “inequívoco”.

CONSENTIMIENTO INEQUÍVOCO

Según la “Guía del Reglamento General de Protección de Datos para responsables de tratamiento” elaborado por la Agencia Española de Protección de Datos, junto a la Agencia Catalana de Protección de Datos y la Agencia Vasca de protección de Datos, y que reproducimos íntegramente:

“El consentimiento inequívoco es aquel que se ha prestado mediante una manifestación del interesado o mediante una clara acción afirmativa.

A diferencia del Reglamento de Desarrollo de la LOPD, no se admiten formas de consentimiento tácito o por omisión, ya que se basan en la inacción.”

Hay que tener en cuenta además que, en algunos casos, el consentimiento además de ser inequívoco ha de ser explícito, como, por ejemplo:

  • En el tratamiento de datos sensibles.
  • En la adopción de decisiones automatizadas.
  • En las transferencias internacionales.

Pero ¿qué ocurre con los tratamientos que ya se están realizando y para los cuales se ha obtenido el consentimiento por omisión?. ¿Pueden seguir realizándose?

En este caso es necesario obtener el consentimiento de los interesados para adaptarse a la nueva situación o analizar si el tratamiento en cuestión puede apoyarse en otra base legal que lo legitime.

Descubra como afecta el nuevo reglamento a su organización y que medidas puede tomar para evitar sanciones accediendo a nuestra zona de descargas. Puede encontrar mas información la Agencia Española de Protección de Datos (www.agpd.es) o solicitando información en nuestra zona de contacto

¿PROBLEMAS CON EL CUMPLIMIENTO?

CONSULTANOS