El Reglamento General de Protección de Datos de la UE (RGPD UE) establece una afirmación ambigua de que el tratamiento de datos personales es lícito sólo si, y en la medida en que, esté permitido bajo la ley correspondiente. Cualquier razonamiento para el tratamiento de datos que pueda ofrecer el responsable del tratamiento fuera de ese alcance preciso no tiene base jurídica y se consideraría ilícito.
Las organizaciones algunas veces asumen que necesitan obtener el consentimiento por parte de los interesados para el tratamiento de sus datos. Ello puede parecer una carga administrativa insuperable, pero obtener y gestionar el consentimiento no es obligatorio para todas las actividades de tratamiento de datos personales. El consentimiento es solo una de las maneras de legalizar las actividades de tratamiento cuando otras bases jurídicas se han agotado.
He aquí un resumen de seis bases jurídicas para el tratamiento, reconocidas por el RGPD:
1. Obligaciones de ley y cumplimiento legal
La base más estricta, precisa y óptima para el tratamiento (en lo que concierne al responsable del tratamiento) es la existencia de al menos una prestación legal (Consideranda 39, 40, 41; Artículo 6(1)), solicitando (o justificando) las actividades de tratamiento. La especificación del acto legal y su extracto numerado es obligatoria que sea provisto por el responsable/encargado del tratamiento o durante la recolección de datos antes o durante la recolección de datos. Para conocer más acerca de las diferencias entre responsable y encargado del tratamiento, lea el artículo: Responsable vs encargado en RGPD UE – ¿Cuáles son las diferencias?
Extractos del Considerando 45 y Artículo 6(1)(c), 6(3) permiten el tratamiento si es necesario cumplir con alguna obligación legal bajo las leyes de la UE o leyes de un Estado Miembro.
Existen muchos ejemplos de estas bases jurídicas: registros de empleo, reportes de accidente para los registros de salud & seguridad, etc.
2. Rendimiento contractual
El reconocer los fundamentos de la conducción de operaciones comerciales (por ejemplo, obligaciones contractuales) está representado en la base jurídica (Considerando 44; Artículo 6(1)(b)) que permiten el tratamiento en dos escenarios. Primero, si es necesario para ingresar un nuevo contrato o trabajar bajo el contrato existente con el interesado, es permitido el tratamiento de datos. El segundo escenario es cuando el interesado inicia actividades con el responsable del tratamiento, en cuyo caso se permite aún antes de firmar un contrato. En este caso con las relaciones pre-contractuales (preparando o negociando antes de establecer un contrato), donde el RGPD hace énfasis en que el inicio de los pasos del tratamiento debe hacerse a solicitud del interesado, en vez de ser iniciado por el responsable del tratamiento.
Un ejemplo de ello es el procesar los detalles de una tarjeta de crédito para efectuar un pago. En casos en los cuales aún no existe aún el contrato, como cuando un individuo solicita información a un proveedor de servicio acerca de un servicio particular a través del correo-e o redes sociales, el tratamiento de los datos personales del individuo es permitido para los propósitos de responder la solicitud.
3. Intereses vitales
En situaciones no cubiertas por la ley correspondiente, y en ausencia de un contrato, se permite el tratamiento si es necesario para proteger los intereses vitales (Considerando 46; Artículo 6(1)(d)) del interesado. La condición se puede extender hacia otros individuos (por ejemplo, los hijos del interesado).
Sin embargo, se advierte que se debe tener cuidado con su aplicación, ya que “intereses vitales” normalmente se aplican en situaciones de vida o muerte. Tales situaciones pueden incluir servicios de emergencia que reciban una lista de los nombres y edades de los residentes al responder a una llamada de emergencia.
4. Interés público o actuación bajo autoridad pública oficial
Cuando se ejecuta una tarea por interés público, o en el ejercicio de una autoridad oficial investida en el responsable que requiere el tratamiento de datos personales, ello es permitido de acuerdo con el Considerando 45; Artículo 6(1)(e) del RGPD.
A pesar que el permiso se otorga por defecto, el tratamiento llevado a cabo sobre esta base puede estar sujeto a objeciones por parte de los interesados. Ello se reconoce formalmente, y permite la revisión de los detalles de la situación específica. Básicamente le permite al interesado la posibilidad de cuestionar la definición de interés público esgrimida por el responsable. La objeción puede aceptarse o no, pero debe ser recibida y respondida de manera oportuna.
Un ejemplo de este tipo de tratamiento es que los partidos políticos podrían tener acceso a una copia del registro electoral.
5. Intereses legítimos
Quizás la base legal más ambigua para el tratamiento sea el principio de “intereses legítimos” (Consideranda 47, 48; Artículo 6(1)(f)). En pocas palabras, ofrece la posibilidad de desarrollar una justificación para el tratamiento de los datos que no cae dentro de los modelos legales anteriores. Esta justificación permitiría el tratamiento de los datos mientras se evita el manejo del consentimiento del interesado. Puede aplicar tanto al responsable del tratamiento o al tercero a quien le serán enviados los datos.
Sin embargo, ello aplica sólo en situaciones en las cuales los intereses, derechos o libertades del interesado afectado no anulen los intereses del responsable del tratamiento. Para poder comparar esta serie de intereses potencialmente opuestos, los responsables deben conducir una “prueba de balance” (que será tratada en un artículo aparte).
El RGPD ofrece descripciones vagas de posibles escenarios, que pueden encajar en la base de los intereses legítimos. Los ejemplos incluyen: ciertas relaciones de clientes o servicios entre el responsable y el encargado del tratamiento (con limitaciones concernientes a los contratos de empleo y autoridades públicas). También incluyen los procesos para prevenir el fraude, así como la transmisión de datos personales dentro de los compromisos de los responsables o instituciones afiliadas a un ente central para propósitos administrativos internos. Ello también puede incluir el tratamiento de los datos personales de los clientes o empleados.
6. Consentimiento de los interesados
Finalmente, para los escenarios que no entran en ninguna de las categorías anteriores, a los responsables de tratamiento sólo les queda el último recurso: obtener permiso para procesar los datos personales, por ejemplo a través del consentimiento del interesado (Consideranda 32, 42, 43; Artículo 6(1)(a)).
El consentimiento debe ser exclusive, reflejando la acción discrecional del interesado, en una respuesta positiva y otorgada voluntariamente a la bien estructurada y no ambigua descripción de la actividad de tratamiento. El principio de “opt-in” es obligatorio, lo cual significa que no se puede ejecutar el tratamiento hasta que no confirme el consentimiento. Un responsable del tratamiento debe ser capaz de demostrar que se le otorgó el consentimiento, requiriendo la existencia de una pista de auditoría.
Los que hacen atractiva a esta base legal son los requerimientos del RGPD de validación de la obtención y gestión del consentimiento, y el hecho que, una vez concedido, el consentimiento puede ser retirado en cualquier momento y con la misma facilidad con que fue otorgado.
El RGPD establece la verificación de la edad de los niños y el aseguramiento del consentimiento de los padres o guardianes para la actividad de tratamiento de los datos (con algunas excepciones). Dependiendo de la edad de los niños, podría ser obligatoria la presentación de la información del tratamiento al niño también, en un lenguaje llano que pueda entender con facilidad.
Uno de los escenarios más comunes cuando se gestiona el consentimiento que es obligatorio y no puede ser evitado, es la recolección de la información de contacto del interesado para propósitos de mercadeo, tales como boletines de correo-e. Al no estar cubierto por una ley o regulación legal, ni caer en ninguna de las categorías anteriores, el tratamiento de datos personales sólo para la mejora de los prospectos de negocios del responsable del tratamiento sólo se permite con un consentimiento verificable y válido.
Tantas opciones, y tan poco tiempo…
Teniendo todos estos factores en cuenta, las organizaciones que actúan como responsables del tratamiento deben realizar una revisión detallada de todas sus actividades de tratamiento de datos. Para cada una de ellas, deben determinarse las bases jurídicas, así como conservarse los documentos obligatorios con propósitos de cumplimiento.
Muchas organizaciones deberían tratar de evitar usar el consentimiento, para mitigar el riesgo de negación y retiro, pero esta estrategia evasiva no funcionará en todas las condiciones legales. Con cualquiera de estas seis bases, legalmente fundamentadas y comunicadas de manera transparente, la definición del tratamiento debe hacerse absolutamente.
Haga click acá para la descarga gratuita del Plan de Proyecto para la implementación del RGPD de la UE para conocer cómo cumplir con todos los requerimientos del RGPD.