¿Qué es el principio de licitud del tratamiento de datos personales?

El principio de licitud del tratamiento de datos personales puede definirse como la obligación de un responsable del tratamiento de llevarlo a cabo necesariamente en base a alguna de las circunstancias expresamente establecidas legalmente.

En concreto, es el Reglamento (UE) 2016/679 del parlamento europeo y del consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, el RGPD) el que determina las mencionadas circunstancias.

En otras palabras, por aplicación del principio de licitud del tratamiento, se considerará que un tratamiento de datos personales es lícito siempre que se encuentre justificado por alguna de las condiciones que se detallan en la normativa de protección de datos.

El principio de licitud del tratamiento de datos personales es la obligación de un responsable del tratamiento de llevarlo a cabo en base a alguna de las circunstancias establecidas legalmente.

1.- Regulación del principio de licitud del tratamiento de datos personales

El RGPD regula los principios relativos al tratamiento en el artículo 5, entre los que se encuentra el principio de licitud del tratamiento (artículo 5.1.a) RGPD).

Además de este reconocimiento, el principio de licitud del tratamiento se desarrolla en el artículo 6, que es el que se encarga de determinar las condiciones específicas que justifican el tratamiento.

Por otro lado, el principio de licitud del tratamiento se encuentra interpretado de forma más detallada en los Considerandos 40 a 47 del RGPD.

2.- ¿Cuáles son las condiciones que justifican el tratamiento, según el principio de licitud del tratamiento?

Las condiciones o circunstancias que hacen que el tratamiento sea lícito o, en otras palabras, las bases de legitimación del tratamiento son seis:

1. La concurrencia del consentimiento del interesado para el tratamiento para uno o varios fines específicos.
2. Necesidad del tratamiento para ejecutar un contrato en que el interesado es parte, o cuando éste solicite la aplicación de medidas precontractuales.
3. Para el cumplimiento de una obligación legal del responsable del tratamiento.
4. Necesidad para proteger intereses vitales del interesado o de un tercero, que tiene que ser una persona física.
5. Para proteger el interés público o cuando el responsable ejercite poderes públicos que le hayan sido conferidos.
6. Para satisfacer intereses legítimos del responsable o de un tercero, siempre que no prevalezcan los intereses o derechos y libertades fundamentales de los interesados (especialmente si se trata de niños).

2.1.- Consentimiento del interesado

El RGPD define el consentimiento en su artículo 4.11 como una “manifestación de voluntad”, que debe exteriorizarse cumpliendo con determinados requisitos:

• Ha de ser libre;
• Específica;
• Informada; e
• Inequívoca.

Este consentimiento debe ser prestado para cada uno de los tratamientos que se vayan a realizar sobre los datos personales de una persona física. Además, puede prestarse por escrito o mediante una “clara acción afirmativa”.

Cuando vayan a tratarse categorías especiales de datos personales, el consentimiento deberá ser «explícito» en cualquier caso  (artículo 9.2.a) del RGPD).

Por ejemplo, será válido el consentimiento de un usuario de una página web que acepta recibir comunicaciones comerciales mediante la marcación de una casilla ubicada al respecto, siempre que no esté premarcada.

2.2.- Ejecución de un contrato

Se trata del caso en que el tratamiento de datos personales es fundamental para que el contrato, del que el interesado es parte o participa en actos precontractuales, alcance su finalidad.

Por ejemplo, es necesario aportar al empresarios los datos personales, como el nombre y apellido o la dirección postal del trabajador, para poder celebrar un contrato laboral.

2.3.- Obligación legal

Es el caso en que un tratamiento de datos personales debe realizarse por mandato legal o para cumplir con obligaciones establecidas en la Ley.

Por ejemplo, en el caso de que una relación contractual en el marco de una actividad empresarial finalice, la empresa igualmente deberá conservar determinados datos personales para cumplir con sus obligaciones ante la Agencia Tributaria. Lo mismo ocurre en el caso de la necesidad de conservar determinados datos identificativos para cumplir con la normativa de prevención del blanqueo de capitales.

2.4.- Protección de intereses vitales

Son aquellos casos en que la vida o la salud de una persona física, ya sea el interesado o un tercero, dependa de la existencia de este tratamiento.

El Considerando 46 del RGPD establece claramente la excepcionalidad de la aplicación de esta base de legitimación, ya que afirma que el tratamiento únicamente podrá tratarse en base a un interés vital cuando no se pueda hacer a través de una de las otras bases.

Un ejemplo de esto es el acceso a la historia clínica de una persona por parte de un médico, cuando dicha persona no puede prestar su consentimiento para el tratamiento.

2.5.- Interés público o ejercicio de poderes públicos

El Considerando 46 del RGPD nos da pistas de algunos casos que pueden implicar un interés público que justifique el tratamiento de datos personales: satisfacción de fines humanitarios, incluido el control de epidemias y su propagación, o situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano.

La reciente situación de crisis sanitaria vivida por la pandemia de la COVID-19, por ejemplo, ha conllevado algunos tratamientos  de datos de salud de los ciudadanos sin su consentimiento explícito, con la finalidad de controlar la pandemia.

2.6.- Interés legítimo del responsable del tratamiento o de un tercero

El artículo 6 y el Considerando 47 del RGPD especifican que esta base de legitimación del tratamiento implicará, en todo caso, un paso previo: una ponderación meticulosa entre dicho interés legítimo y los intereses y derechos de los afectados por el tratamiento.

Se trata de evaluar, poniendo el tratamiento en contexto, si su realización en base al interés legítimo no vulnera los derechos de los interesados de forma desproporcionada.

El citado Considerando 47 pone un ejemplo de tratamiento basa en interés legítimo: tratamiento con fines de mercadotecnia. Es el caso de la realización de comunicaciones comerciales por parte de una empresa a las personas que pueden convertirse en un cliente.

Pero si quieres profundizar más, continua leyendo

3.- La AEPD y el principio de licitud del tratamiento de datos personales

Si quieres profundizar más sobre el principio de licitud del tratamiento, te recomendamos la lectura de los siguientes recursos publicados por la AEPD:

• Informe de la AEPD en el que, en relación con el COVID-19, se llega a la conclusión de que el RGPD permite el tratamiento de datos de salud sin el consentimiento del interesado. Este tratamiento se basa tanto en el interés público como en el cumplimiento de obligaciones legales en el ámbito laboral.
• Infografía de la AEPD sobre el recabado del consentimiento de menores de edad (1).
• Resolución de la AEPD en la que se sanciona a Twitter International, como prestador de servicio, por la instalación de cookies sin el consentimiento del usuario (2).

Para proteger debidamente tus datos personales o asegurarte de que tu empresa cumple debidamente con la exigente normativa sobre protección de datos personales, es imprescindible estar asesorado por abogados expertos en protección de datos.

Notas a pie de página:
(1)https://www.aepd.es/sites/default/files/2020-12/infografia-consentimiento-menores.pdf
(2)https://www.aepd.es/es/documento/reposicion-ps-00299-2019.pdf