La base jurídica
El Reglamento General de Protección de Datos conserva el principio establecido en la Directiva 95/46 en virtud del cual todo tratamiento de datos personales debe apoyarse en una base jurídica que lo legitime. Establece, como regla general, que los datos personales deben ser tratados con el consentimiento del interesado, pero admite cualquier otra base legítima conforme a Derecho: relación contractual, intereses vitales del interesado o de terceros, obligación legal para el responsable, interés público, etc. En este aspecto, el RGPD no introduce cambios para los responsables del tratamiento de datos.
Teniendo en cuenta el principio general de “responsabilidad activa” el requisito de apoyar el tratamiento de datos en una base que lo legitime transciende a distintos ámbitos del Reglamento. En este sentido, al cumplir con el deber de informar en la recogida de datos se deberá incluir la base legal sobre la que se desarrolla el tratamiento, así como también se deberá documentar y especificar los intereses legítimos en los que se fundamenta el tratamiento, por ejemplo, en transferencias internacionales concretas.
Como podremos apreciar a lo largo del análisis del nuevo Reglamento, las medidas y requisitos no son fijos, pues las organizaciones deberán tener en cuenta el enfoque de riesgo. Al ser una normativa general de aplicación directa que pretende establecer los cimientos sobre los que se irán desarrollando las normativas internas, la identificación y documentación de la base legal deberá adaptarse al tipo de tratamiento y a las características de las organizaciones, como forma de garantizar una aplicación más real y efectiva en aras a la protección adecuada de los derechos.
El consentimiento “inequívoco”
Aunque el RGPD mantiene el principio basado en la necesidad de que todo tratamiento de datos se apoye en una base que lo legitime, sí introduce cambios cuando esta base legal consiste en el consentimiento del afectado. Con el actual Reglamento de Desarrollo de la LOPD se admiten tanto las acciones como las omisiones siempre que impliquen expresamente la existencia del consentimiento. Se excluye únicamente el consentimiento presunto, esto es, el basado en una interpretación subjetiva de los actos del afectado con lo que da lugar a dudas al no existir un único significado del mismo, es equívoco. Con la aplicación del RGPD nos encontraremos con una exigencia de consentimiento más rigurosa porque, además de excluir el consentimiento presunto, tampoco se admiten formas de consentimiento tácito o por omisión, ya que se basan en la inacción.
Dentro de la exigencia del consentimiento inequívoco existirán dos vertientes: los casos como tratamiento de datos sensibles, adopción de decisiones automatizadas o transferencias internacionales en los que además será necesario que sea explícito (por ejemplo, un “acepto las condiciones”) y los casos en los que podrá otorgarse de forma implícita (por ejemplo, en una web que instale cookies en el navegador y utilice banner informativo, la acción del interesado de continuar navegando por la web lleva implícita la aceptación de las mismas).
Para facilitar la adecuación de los tratamientos a partir de mayo de 2018 la Agencia Española de Protección de Datos recomienda no seguir obteniendo el consentimiento por omisión. La adaptación puede tener lugar obteniendo un consentimiento adecuado al RGPD o valorando si los tratamientos afectados pueden apoyarse en otra base legal