Bases jurídicas de legitimación del tratamiento en el ámbito de la empresa
| Autor | José Luis Goñi Sein |
| Páginas | 83-109 |
83
CAPÍTULO VII
BASES JURÍDICAS DE LEGITIMACIÓN DEL TRATAMIENTO EN
EL ÁMBITO DE LA EMPRESA
Todo tratamiento de datos personales requiere siempre una base jurí-
dica que lo justifique. Lícitamente solo puede efectuarse el tratamiento
de datos cuando se fundamente en alguna de las bases jurídicas legiti-
madoras. Esas bases legitimadoras son las descritas en el artículo 6 del
RGPD (“Licitud de tratamiento”); a saber:
1) Consentimiento del interesado (6.1.a).
2) La intención de concluir un contrato o su existencia (art. 6.1 b).
3) Cumplimiento de una obligación legal (art.6.1.c).
4) Proteger un interés vital del interesado o de otra persona física
(art. 6.1.d).
5) Existencia de un interés público o ejercicio de poderes públicos
(art. 6.1.e).
6) Satisfacción de un interés legítimo del responsable o de terce-
ros siempre que no prevalezcan los derechos del interesado (art.
6.1.f)76.
El RGPD no establece preferencia jurídica alguna entre los distintos
presupuestos de licitud y no impone, por tanto, que haya una jerarquía
entre ellos. De este modo, el tratamiento se puede justificar en cual-
quiera de las indicadas bases jurídicas de legitimación77.
76
Señala el considerando 40 que para que el tratamiento sea lícito “los datos personales
deben ser tratados con el consentimiento del interesado o sobre alguna otra base legítima
establecida conforme a Derecho, ya sea en el presente Reglamento o en virtud de otro dere-
cho de la Unión o de los Estados miembros a que se refiera el presente Reglamento, incluida
la necesidad de cumplir la obligación legal aplicable al responsable del tratamiento o la
necesidad de ejecutar un contrato en el que sea parte el interesado o con objeto de tomar
medidas a instancia del interesado con anterioridad a la conclusión de un contrato”.
77
MERCADER UGUINA, J.: Protección de datos en las Relaciones Laborales, cit., pág.
115.
84
JOSÉ LUIS GOÑI SEIN
1. EL CONSENTIMIENTO: ESCASA OPERATIVIDAD EN EL ÁMBITO LABORAL
Como primer elemento de legitimación jurídica para el tratamiento
de datos personales, el art. 6 del RGPD menciona el consentimiento,
porque es la principal fuente legitimadora del tratamiento de datos
personales, aunque en el ámbito de las relaciones laborales, como se
observará más adelante, juega un papel verdaderamente secundario,
porque no es necesario cuando se trata de constituir una relación con-
tractual o exista un contrato.
El consentimiento se define en el artículo 4.11 del RGPD y se regula de
forma detallada en los artículos 7 y 8 de la RGPD. El segundo se refie-
re específicamente a las condiciones aplicables al consentimiento del
niño en relación con los servicios de la sociedad de la información, que
tiene escasa o nula relevancia a los efectos de este estudio.
Por consentimiento del interesado se entiende, “toda manifestación de
voluntad libre, específica, informada e inequívoca por la que el interesa-
do acepta, ya sea mediante declaración o una clara acción afirmativa,
el tratamiento de datos personales que le conciernen” (art. 4.11 RGPD).
A diferencia de la Directiva 45/96/CE y de la LOPD, que admitían el
consentimiento tácito, el RGPD requiere ahora una declaración o ac-
ción positiva del interesado que indique su conformidad con el trata-
miento.
El consentimiento debe darse mediante un acto afirmativo claro,
“como una declaración por escrito, inclusive por medios electrónicos,
o una declaración verbal. Esto podría incluir marcar una casilla de un
sitio web en internet, escoger parámetros técnicos para la utilización
de servicios de la sociedad de la información, o cualquier otra declara-
ción o conducta que indique claramente en este contexto que el inte-
resado acepta la propuesta de tratamiento de sus datos personales”78.
El consentimiento tácito ya no será válido. Por tanto, el silencio, las
casillas ya marcadas o la inacción no constituirán consentimiento79.
Así las cláusulas LOPD que se incluían en los documentos (correos
electrónicos, presupuestos, facturas, contratos, etc.) que advertían de
que, si no manifestaba su negativa, se entiende que consiente el trata-
miento de los datos personales, ya no serán válidas.
Para que una empresa pueda utilizar los datos de clientes o usuarios
debe recabar el consentimiento de los mismos. No cabe utilizar casi-
78
Considerando 32 del RGPD.
79
Considerando 32 del RGPD.
Para continuar leyendo
Solicita tu prueba