Tres meses después de la entrada en vigor del Reglamento General de Protección de Datos (RGPD o GDPR en sus siglas en inglés), aún hay mucha confusión sobre cuándo es lícito el tratamiento de datos personales por parte de empresas y organismos públicos. Repasamos caso por caso.
Rafael Hernando, director de Cumplimiento y Recursos Humanos de Alia Tasaciones
Tengo firmado un contrato con un cliente, ¿necesito su consentimiento para enviarle información sobre un nuevo servicio? ¿Puede enviarme un contacto la agencia externa de publicidad? ¿Son de uso público las imágenes subidas en los perfiles de las redes sociales? Cuatro meses después de la entrada en vigor del Reglamento General de Protección de Datos (RGPD o GDPR, en sus siglas en inglés) aún hay mucha confusión sobre cuándo es lícito el tratamiento de datos personales por parte de empresas y organismos públicos. Máxime, cuando el nuevo reglamento europeo pone fin al consentimiento tácito, que tanto spam ha llenado nuestros correos electrónicos, y obliga a ser cuidadosos con la forma de recabar, almacenar, gestionar y compartir los datos personales. Datos que ya no se limitan a los básicos, como nombre o dirección, sino que también incluyen la IP del ordenador o las publicaciones en redes sociales.
Repasemos cada uno de los seis casos que determina el RGPR/GDPR en su artículo 6 sobre la licitud del tratamiento de datos, aterrizando la complicada jerga legal a la práctica real.
Consentimiento expreso
“El interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos”
Dar (tomar) la callada por respuesta para la cesión de datos a terceros o premarcar la casilla para la recepción de información comercial ya no es lícito. Ahora, el consentimiento tiene que ser inequívoco, informado, específico y explícito. Si el interesado no clica, no habrá autorización ninguna. Además, los términos y condiciones de ese consentimiento tienen que estar bien visibles y claros, nada de escondidos y con letra pequeña. Asimismo, deben explicar detalladamente el uso que se va a dar a esos datos, y no pueden ser utilizados para otra cosa. Es decir, que dar permiso para que le envíen a uno publicidad de una marca y acto seguido nos bombardeen con anuncios de enseñas de empresas filiales no es posible, salvo que así me hubiesen informado previamente. Si vamos del terreno virtual al físico, cuando alguien entrega su currículum, éste debe firmar un documento de consentimiento para el trato de sus datos para ese fin concreto o cuando hay una sesión de fotografías en la oficina, los empleados deben consentir su uso.
Contrato
“El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales”.
A la hora de contratar un servicio o pedir un presupuesto, son necesarios los datos, lo que significa que ese documento legitima el consentimiento, pero no para cualquier ámbito. Sí es admitido para, por ejemplo, hacer una oferta relacionada con el servicio suministrado, y para que pueda cumplirse la prestación del servicio contratado, donde además entra en acción el interés legítimo. Lo mismo ocurre cuando una empresa es encargada del tratamiento de los datos como proveedor del responsable de los mismos.
Interés legítimo
“El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño”.
Este punto es el que puede generar más confusión, pues la línea que separa el interés legítimo de los derechos y libertades de las personas no siempre es bien interpretada. Sirva el ejemplo del apartado anterior o también cuando alguien nos da su tarjeta de visita para que podamos contactar con él. No es necesario con nos dé su consentimiento expreso, pues con este gesto nos da una licitud basada en el interés legítimo. Ahora bien, ¿y si un compañero de trabajo necesita este contacto y me pide su teléfono? ¿Puedo dárselo? En este caso, si no vulneramos los derechos y libertades fundamentales del contacto, podríamos dárselo para el desarrollo de la actividad profesional. Ojo, no todos los datos son susceptibles de ser compartidos. El proyecto de ley de la Agencia Española de Protección de Datos (AEPD), que aún está en trámite parlamentario, contempla límites a este tratamiento como por ejemplo con el DNI, que no podría ser compartido. Otro caso que queda amparado por el interés legítimo se produce cuando los datos sean necesarios para prevenir el fraude.
Obligación legal
“El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento”.
No es otra cosa que el cumplimiento de una ley que ampara el tratamiento de esos datos. Por ejemplo, el uso de los datos de los empleados por parte de la Seguridad Social para los seguros sociales o de la Agencia Tributaria, para las retenciones. También queda avalado cuando hay un requerimiento judicial.
Interés vital
“El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física”.
La salud está por encima del consentimiento expreso, y si algún empleado sufre un desmayo, es completamente lícito dar sus datos al personal de emergencias para salvarle la vida.
Interés público
“El tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento”.
Este caso es de aplicación exclusiva en la Administración.
