El RGPD mantiene lo establecido en la Directiva 95/46 de que todo tratamiento de datos tiene que apoyarse en una base que lo legitime. El RGPD recoge las bases jurídicas que aparecían en la Directiva y se reproducían en la LOPD, por lo que no supone cambios en este sentido a los responsables:

  • Consentimiento
  • Relación contractual
  • Interés vital del interesado o de otras personas
  • Obligación legal para el Responsable
  • Interés público  o ejercicio de poderes públicos
  • Interese legítimos prevalentes del responsable o de terceros a los que se comunican datos

Recomendación

Justificar e identificar la base legal de los tratamientos, esto se deduce en algunos artículos y en el principio de  responsabilidad activa. Por ejemplo en el momento de la recogida de datos hay que informar acerca de la base legal sobre la que se desarrolla el tratamiento.

Saber identificar la base legal va a ser indispensable para poder demostrar que se está cumpliendo lo que establece el RGPD.

El consentimiento debe de ser “inequívoco”

El actual Reglamento 1720/2007 que desarrolla la LOPD admite la forma de consentimiento tácito, es decir, que es válido por la omisión de la respuesta: se basa en la inacción.

Con la aprobación del RGPD el consentimiento pasa a ser inequívoco, que es aquel que se presta mediante una manifestación del interesado o una clara acción afirmativa. A estos efectos las casillas ya marcadas, el consentimiento tácito o la inacción no constituirán un consentimiento válido.

– El consentimiento será inequívoco y además explícito en aquellas situaciones en las que:

  • Se traten datos sensibles
  • Se adopten decisiones automatizadas
  • Se realicen trasferencias internacionales

– Podrá ser inequívoco el consentimiento y otorgarse de forma implícita si se deduce una acción del interesado, como puede ser si continúa navegando en una página web, habiendo aceptado la política de cookies.

– Los tratamiento de datos que se han iniciado antes del RGPD sólo serán válidos si se ha prestado el consentimiento según lo estipulado en el RGPD, es decir mediante una acción o manifestación afirmativa.

Recomendación

– Comenzar cuanto antes a recabar el consentimiento conforme a lo estipulado en el RGPD, abandonando la recogida de consentimientos tácitos.

– La adaptación de los consentimientos debemos hacerla:

  • Obteniendo un consentimiento de los interesados conforme a lo establecido en el RGPD, es decir, mediante una manifestación o acción afirmativa.
  • Comprobando si existe alguna otra base legal para justificar los tratamientos de los titulares de los datos. Si se contempla esta opción los interesados deberán ser informados pudiendo ejercitar sus derechos.