El RGPD mantiene el principio recogido en la Directiva 95/46 de que todo tratamiento de datos necesita apoyarse en una base que lo legitime.

También recoge las mismas bases jurídicas que contenía la Directiva y que reproduce la LOPD:

  • Relación contractual.
  • Intereses vitales del interesado o de otras personas.
  • Obligación legal para el responsable.
  • Interés público o ejercicio de poderes públicos.
  • Intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos.

En ese sentido, el RGPD no implica cambios para los responsables del tratamiento de datos.

Documentar e identificar claramente la base legal sobre la que se desarrollan los tratamientos.

  • Aunque no está expuesto de forma explícita, se deduce de algunos artículos y del principio general de “responsabilidad activa”. Por ejemplo:
    • Hay que incluir la base legal sobre la que se desarrolla el tratamiento al proporcionar la información en el momento de recoger los datos de los interesados.
    • Hay que especificar y documentar los intereses legítimos en que se fundamentan las operaciones de tratamiento en casos como las Evaluaciones de Impacto sobre la Protección de Datos o en determinadas transferencias internacionales.
  • La identificación de la base legal es indispensable para estar en condiciones de demostrar que se cumple con las previsiones del RGPD.
  • La identificación y documentación debe adaptarse al tipo de tratamiento y a las características de las organizaciones.

El consentimiento debe ser “inequívoco”.

El Reglamento impone requisitos más estrictos para obtener el consentimiento válido de las personas para justificar el tratamiento de sus datos personales.

El consentimiento debe ser una “manifestación de voluntad libre, específica, informada e inequívoca del interesado”.

El consentimiento inequívoco es aquel que se ha prestado mediante una manifestación del interesado o mediante una clara acción afirmativa.

A diferencia del Reglamento de Desarrollo de la LOPD, no se admiten formas de consentimiento tácito o por omisión, ya que se basan en la inacción. El silencio, casillas premarcadas o la inactividad no cuentan como consentimiento.

La organización debe conservar también registros para que pueda demostrar que el consentimiento ha sido dado por la persona pertinente.

El consentimiento puede ser inequívoco y otorgarse de forma implícita cuando se deduzca de una acción del interesado (por ejemplo, cuando el interesado continúa navegando por una web y acepta así el que se utilicen cookies para monitorizar su navegación).

Finalmente, el consentimiento debe ser explícito cuando se traten datos personales sensibles, cuando se adopten decisiones automatizadas o se transfieran datos personales fuera de la UE.

Los tratamientos iniciados con anterioridad al inicio de la aplicación del RGPD sobre la base del consentimiento seguirán siendo legítimos siempre que ese consentimiento se hubiera prestado del modo en que prevé el propio RGPD, es decir, mediante una manifestación o acción afirmativa.

Recomendaciones.

  • No seguir obteniendo consentimientos por omisión y revisar esos tratamientos para que, a partir de mayo 2018, se hayan adecuado a las previsiones del RGPD.
  • La adaptación puede llevarse a cabo:
    • Obteniendo un consentimiento de los interesados acorde con las disposiciones del RGPD.
    • Valorando si los tratamientos afectados pueden apoyarse en otra base legal. Como puede ser, entre otras, el interés legítimo del responsable o del cesionario de los datos que prevalezca sobre los derechos del interesado (los interesados deben ser informados y podrán ejercitar los derechos que, como el de oposición, sean específicamente aplicables a la nueva base legal elegida).