Uno de los puntos iniciales en el tratado de los datos personales de los interesados lo encontramos en la forma o la manera en la que recabamos los mismos. Es por ello que la forma en la que obtengamos los mismos va a servir de base para su posterior tratamiento.
En este sentido, para que el tratamiento de los datos personales sea lícito deben ser tratados conforme al consentimiento del interesado o a alguna otra base legitimadora establecida en el RGPD.
Concretamente, es el artículo 6 del Reglamento el que establece las bases legitimadoras del tratamiento, las cuales he divido en dos, por un lado el consentimiento del interesado, por otro, que se persiga la consecución de una serie de fines determinados en el RGPD:
El interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
Este consentimiento debe darse mediante un acto afirmativo por parte del interesado, de una manera que el mismo lo manifieste de forma libre, específica, informada e inequívoca que acepta el tratamiento de sus datos.
Por ejemplo, si vamos a recabar el consentimiento en una página web, el consentimiento debe darse libremente por el usuario. Nunca se va a considerar que el interesado ha dado su consentimiento mediante su inacción, el silencio o la selección de casillas ya premarcadas. Así, lo correcto para recabar datos en una página web es que el mismo usuario afirmativamente marque una casilla en la que acepte los términos, la cual no debe estar previamente marcada, y tampoco debemos utilizar la opción de "si continúa navegando acepta la política de privacidad", pues ese consentimiento no es válido para tratar los datos personales del usuario.
Es el responsable el que tiene que demostrar que ha recabado correctamente el consentimiento, por lo que es recomendable el uso de un formulario claro y legible en el cual se comprenda fácilmente la finalidad del tratamiento.
Por último, para tratar datos de menores de edad, la ley fija que el tratamiento de los datos de los menores basado en el consentimiento solo tendrá validez cuando éste sea mayor de catorce años. Sin embargo, los titulares de la patria potestad podrán consentir el tratamiento de datos de los menores de catorce años, fijando el alcance del mismo.
Si el interesado es parte de un contrato o a petición del mismo se van a aplicar medidas precontractuales, el responsable del tratamiento podrá recabar y utilizar esos datos para los fines necesarios a la conclusión del mismo.
Es el caso de o bien una propuesta comercial a petición de un futuro cliente o bien de un cliente actual en un contrato con el mismo, pues sin el tratamiento de esos datos no se puede llevar a cabo la finalidad que se quiere conseguir con el contrato.
En principio, tal y como expone el considerando 46 del RGPD, esta base del tratamiento solo puede utilizarse cuando no pueda basarse manifiestamente en una base jurídica diferente. Expone igualmente algunos ejemplos de utilización de dicha base legitimadora como son los fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano.
El considerando 45 desarrolla ambas bases legitimadoras del tratamiento, exponiendo que debe tener una base en el Derecho de la Unión o de los Estados miembros, sin que cada tratamiento individual se rija por una norma específica. Si no que una norma puede ser suficiente como base para varias operaciones de tratamiento de datos basadas en una obligación legal aplicable al responsable del tratamiento, o si el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos. Igualmente la finalidad del tratamiento también debe determinase en virtud del Derecho de la Unión o de los Estados miembros. Estableciendo las especificaciones, el tipo de datos a recabar, los interesados afectados, las limitaciones de la finalidad, el plazo de conservación de los datos y otras medidas para garantizar un tratamiento lícito y leal.
Es la última de las bases legitimadoras del tratamiento y que en la práctica mayores problemáticas da, debido a la difícil determinación de cuál es el interés legítimo de un responsable del tratamiento. La norma especifica que este interés no debe prevalecer sobre los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
Así mismo, a las autoridades públicas no les es de aplicación dicha limitación de prevalecer sobre los derechos y libertades de los usuarios, pues, supongo, que se entiende que las autoridades actúan siempre en beneficio del interés general.
Esta base legitimadora requiere un estudio caso por caso para poder determinar si existe o no un interés legítimo en el uso de los datos personales, por lo que habrá de determinarse atendiendo a las circunstancias particulares de cada caso.
Un ejemplo de interés legítimo puede ser el ámbito de un grupo empresarial, el cual si puede tener interés en compartir los datos personales que obtenga entre las diferentes entidades del grupo, con fines administrativos, laborales o de gestión de clientes.
En definitiva, y como punto de partida para poder realizar un correcto tratamiento de los datos, es importante que el responsable determine de una manera correcta la base legitimadora para el tratamiento de datos y lo justifique de la manera más adecuada posible, teniendo especial atención en la forma de recabar el consentimiento del interesado.