Tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos: referencia a las fuentes accesibles al público

Tratamiento basado en el consentimiento

Tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos: referencia a las fuentes accesibles al público

 

 

El artículo 8 LOPDGDD regula los supuestos en sus dos apartados:

  1. El tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una obligación legal exigible al responsable, en los términos previstos en el artículo 6.1.c) del Reglamento (UE) 2016/679 (“el tratamiento será lícito si dicho tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento“), cuando así lo prevea una norma de Derecho de la Unión Europea o una norma con rango de ley, que podrá determinar las condiciones generales del tratamiento y los tipos de datos objeto del mismo así como las cesiones que procedan como consecuencia del cumplimiento de la obligación legal. Dicha norma podrá igualmente imponer condiciones especiales al tratamiento, tales como la adopción de medidas adicionales de seguridad u otras establecidas en el capítulo IV del Reglamento (UE) 2016/679.
  2. El tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, en los términos previstos en el artículo 6.1 e) del Reglamento (UE) 2016/679 (“el tratamiento será lícito si dicho tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento“), cuando derive de una competencia atribuida por una norma con rango de ley.

Tal y como indica la AEPD, la expresión “obligación legal” contenida en el artículo 6.1.c) RGPD, equivale, en la regulación española de protección de datos, a “obligación establecida en una norma con rango de ley”.

Con carácter general, la base jurídica del tratamiento en las relaciones con la Administración, en aquellos supuestos en que existe una relación en la que no puede establecerse que exista una situación de equilibrio entre el responsable del tratamiento (la Administración), y el interesado (el administrado) no sería el consentimiento (art. 6.1.a) RGPD), sino, según los casos, el cumplimiento de una obligación legal (art. 6.1.c) RGPD) o el cumplimiento de una misión de interés público o en el ejercicio de poderes públicos (art. 6.1.e) RGPD.´

En cualquier caso, el RGPD excluye de la posibilidad de que los tratamientos realizados por las autoridades públicas en el ejercicio de sus funciones (sin distinguir si dichas funciones están sometidas al derecho público o al privado) puedan tener como base jurídica del tratamiento la letra f) del art. 6.1 RGPD, esto es, el interés legítimo. Ello, sin duda, porque parte de la base, como demuestra el considerando 45 RGPD, de que cuando se realice un tratamiento de datos en cumplimiento de una obligación legal aplicable al responsable del tratamiento o si es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos, dicho tratamiento de tener una base en el Derecho de la Unión o de los Estados miembros. En definitiva, dicho tratamiento de datos estará amparado por la letra e) del art. 6.1 si el derecho aplicable ha atribuido una competencia a la Administración, y no lo estará en caso contrario. Obviamente, dichas potestades pueden desembocar en bases jurídicas específicas; así, por ejemplo, nadie discute que la Administración puede entrar en contratos, bien de derecho público o de derecho privado. En ambos casos dicha potestad de contratar ha de venir establecida por ley, en cuanto que regula la competencia y las facultades del órgano para contratar, pero nada impide que en estos casos el tratamiento pueda basarse en una base jurídica distinta, como es la del art. 6.1.b) RGPD, esto es, que el tratamiento sea necesario para la ejecución de un contrato, por cuanto el art. 6.1, primer inciso, establece que será suficiente para un tratamiento de datos lícito el que concurra al menos una (luego puede haber más de una) de las condiciones que el precepto regula.

Las fuentes de acceso público se mencionan en el artículo 14.2.f) relativo a la información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado:

 

  1. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente respecto del interesado:
  2. f) la fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso público;

 

Sobre las fuentes de acceso público, el GDPR solo describe una mínima explicación en el considerando 61:

 

Se debe facilitar a los interesados la información sobre el tratamiento de sus datos personales en el momento en que se obtengan de ellos o, si se obtienen de otra fuente, en un plazo razonable, dependiendo de las circunstancias del caso … Cuando el origen de los datos personales no pueda facilitarse al interesado por haberse utilizado varias fuentes, debe facilitarse información general.

 

PREGUNTAS DE LOS ASISTENTES A LAS JORNADAS DE LA AEPD, pág. 9:

¿Qué se entiende como fuentes de acceso público? 

  • A día de hoy, con el RGPD en vigor, no puede hablarse de un concepto legal de «fuentes accesibles al público» como el que existía en la LOPD ni de que el hecho de que los datos aparezcan en este tipo de fuentes legitime sin más el tratamiento03. 
  • El RGPD sólo habla de fuentes de acceso público al regular el derecho a la información si los datos no se han recogido del interesado. 
  • El hecho de que un dato sea accesible por cualquiera puede ser tenido en cuenta a la hora de realizar la ponderación del artículo 6.1.f) (como decía la STJUE Asnef), pero no implica necesariamente que el tratamiento vaya a ser lícito, por cuanto se deben respetar los restantes principios del RGPD  

 

Como recordatorio, el Art. 6.1.f) dice:

El tratamiento solo será lícito si el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

 

Por ello, con relación a este último párrafo, la AEPD siempre aboga por la ponderación sobre el interés legítimo, en cuanto a la utilización de esta tipología de datos.