Una de las mayores fuentes de malentendidos respecto al nuevo Reglamento General de Protección de Datos (RGPD) ha venido de la figura del consentimiento. Todos aquellos encargados de tratamiento que quieren hacer las cosas bien, la mayoría, necesitan saber con claridad en qué medida el consentimiento es necesario para poder procesar datos personales. En este artículo trataremos de arrojar luz sobre este asunto.

El RGPD ha subido el listón del consentimiento. Para que podamos usarlo como base legal para el tratamiento de datos personales, necesitamos que éste proceda de “un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca”. Esto significa que no valen las casillas premarcadas y otros trucos usados anteriormente. El RGPD también puntualiza que debemos hacer fácil el ejercicio de la retirada del consentimiento así que, del mismo modo que lo damos, lo podemos quitar.

Este énfasis en la claridad y la transparencia ha puesto el foco sobre el consentimiento y ha hecho creer a muchas organizaciones que la única base legal para el tratamiento de datos es el consentimiento.

Así que es necesario aclarar que el consentimiento es una de las bases legales para el tratamiento de datos personales bajo el RGPD, pero no la única.

Las organizaciones tienen más bases legales sobre las que fundamentar sus actividades de tratamiento y deben identificar cuál es la que procede en cada caso dependiendo de las circunstancias.

Por ejemplo, un ayuntamiento necesita procesar datos personales para cobrar el IBI, un banco necesita compartir información de usuarios para prevenir el fraude. En estos dos casos caben bases legales distintas al consentimiento para llevar a cabo el tratamiento de datos, el interés público en el primero y el interés legítimo en el segundo.

Y es que existen hasta cinco bases legales para el tratamiento de datos personales además del consentimiento:

  1. Contrato: cuando el tratamiento de datos sea necesario en el contexto de un contrato.
  2. Obligación legal: cuando se realice en cumplimiento de una obligación legal aplicable al responsable de tratamiento.
  3. Interés vital: el tratamiento de datos es lícito cuando sea necesario para proteger un interés esencial para la vida de las personas.
  4. Interés público: cuando sea necesario para el cumplimiento de una misión realizada en interés público.
  5. Interés legítimo: un responsable de tratamiento puede tener un interés legítimo para el tratamiento de datos siempre que éste no dañe los intereses del interesado o viole sus derechos y libertades. Es el caso por ejemplo de relaciones proveedor-cliente o empresario-empleado. Esta base legal requiere de una evaluación cuidadosa.

Sea cual sea la base que se decida aplicar para el tratamiento de datos personales, es necesario que se pueda demostrar su aplicabilidad de manera sólida ante las autoridades. Una evaluación de impacto se perfila como una herramienta que puede resultar de gran ayuda para entender si se cumplen o no las condiciones para el tratamiento bajo alguno de los supuestos recogidos en la ley.