Tractament de dades basat en el consentiment de l'interessat


Josep Aragonés Salvat     21/01/2021

Licitud del tractament

El consentiment és una de les bases jurídiques que contempla l'article 6.1 del GDPR que habilita per a dur a terme un tractament de dades personals (art. 6.1.a). Però no és l'única, hi ha altres bases jurídiques recollides en el mateix article que ens permeten el tractament de dades personals sense necessitat d'obtenir el consentiment de l'interessat, per exemple, quan el tractament:

  • Quan el tractament és necessari per a l'execució d'un contracte en el qual l'interessat és part (art.6.1.b).
    Per exemple, el cas dels professionals sanitaris, advocats, consultors, assessors o qualsevol professional en la seva prestació de serveis, tot i que el contracte no consti per escrit.
  • Quan el tractament es porta a terme per una obligació legal (art. 6.1.c).
    Per exemple, el tractament de les dades personals dels clients de qualsevol comerç per a l'emissió d'una factura.
  • Quan el tractament és necessari per a la protecció dels interessos vitals de la persona interessada o d'una altra persona física (art. 6.1.d).
    Per exemple, quan necessitem tractar les dades personals d'una persona perquè corre perill la seva vida o la d'una altra persona.
  • Quan el tractament és dut a terme per interès públic (art. 6.1.e).
    Per exemple, el tractament de dades dut a terme per les administracions públiques, els col·legis públics, etc. sempre que la base estigui establerta pel Dret.
  • Quan el tractament és necessari per satisfer l'interès legítim del responsable del tractament o d'un tercer (art. 6.1.f), sempre que sobre aquests interessos no prevalguin els de l'interessat.
    Per exemple, l'interès legítim del propietari d'una web a contestar a les consultes que qualsevol usuari li faci al formulari de contacte de la mateixa.


Condicions per a que el consentiment sigui vàlid

El GDPR defineix el consentiment (art. 4.11) com tota manifestació de voluntat lliure, específica, informada i inequívoca per la qual l'interessat accepta, ja sigui mitjançant una declaració o una clara acció afirmativa, el tractament de les seves dades personals.

  • Quan el tractament es basi en el consentiment de la persona interessada, el responsable haurà de ser capaç de demostrar que aquell va consentir el tractament de les seves dades personals (art. 7.1 GDPR).
  • La sol·licitud de consentiment es presentarà de manera que es distingeixi clarament dels altres assumptes, de manera intel·ligible i de fàcil accés i utilitzant un llenguatge clar i senzill (art. 7.2 GDPR).
  • L'interessat tindrà dret a retirar el seu consentiment en qualsevol moment. La retirada del consentiment no afectarà la licitud del tractament basada en el consentiment previ a la seva retirada (sense efectes retroactius). Abans de donar el seu consentiment, l'interessat ha de ser informat d'això. Serà tan fàcil retirar el consentiment com prestar-lo (art. 7.3 GDPR).

Abans d'obtenir el consentiment s'ha de facilitar a l'interessat la informació del tractament establerta en l'art. 13 GDPR(1) o, al menys, la informació bàsica establerta en l'art. 11 LOPDGDD(2) amb una adreça electrònica o un altre mitjà que permeti accedir de forma senzilla i immediata a la restant informació.


Tractament de dades de menors d'edat

  • El consentiment per a la utilització de dades personals de menors de 14 anys s'atorgarà pels seus pares o tutors legals. Els menors entre 14 i 18 anys podran atorgar el consentiment per a la utilització de les seves dades personals per si mateixos, llevat que una norma específica exigeixi l'assistència dels pares o tutors (art. 7.1 LOPDGDD).
  • El responsable del tractament farà esforços raonables per a verificar en aquests casos que el consentiment va ser donat o autoritzat pel titular de la pàtria potestat o tutela sobre el nen, tenint en compte la tecnologia disponible (art. 8.2 GDPR).
  • Els centres educatius i qualssevol altres que desenvolupin activitats en què participin menors d'edat han de garantir la protecció de l'interès superior de l'infant i els seus drets fonamentals, especialment el dret a la protecció de dades personals, en la publicació o difusió de les seves dades personals a través de serveis de la societat de la informació (art. 92 LOPDGDD).

_________________________________________________________________________________________

(1) Art. 13 GDPR. Informació que s'ha de facilitar quan les dades personals s'obtinguin de l'interessat

1. Quan s'obtinguin d'un interessat dades personals relatives a ell, el responsable del tractament, en el moment en què aquests s'obtinguin, li facilitarà tota la informació indicada a continuació:

a) la identitat i les dades de contacte del responsable i, si escau, del seu representant;

b) les dades de contacte del delegat de protecció de dades, si escau;

c) els caps de el tractament a què es destinen les dades personals i la base jurídica del tractament;

d) quan el tractament es base en l'article 6, apartat 1, lletra f), els interessos legítims del responsable o d'un tercer;

e) els destinataris o les categories de destinataris de les dades personals, si escau;

f) si escau, la intenció del responsable de transferir dades personals a un tercer país o organització internacional i l'existència o absència d'una decisió d'adequació de la Comissió, o, en el cas de les transferències indicades en els articles 46 o 47 o el article 49, apartat 1, paràgraf segon, referència a les garanties adequades o apropiades i als mitjans per obtenir una còpia d'aquestes o a el fet que s'hagin prestat.

2. A més de la informació esmentada a l'apartat 1, el responsable del tractament facilitarà a l'interessat, en el moment en què s'obtinguin les dades personals, la següent informació necessària per garantir un tractament de dades lleial i transparent:

a) el termini durant el qual es conservaran les dades personals o, quan no sigui possible, els criteris utilitzats per determinar aquest termini;

b) l'existència del dret a sol·licitar al responsable del tractament l'accés a les dades personals relatives a l'interessat, i la seva rectificació o supressió, o la limitació del seu tractament, o a oposar-se al tractament, així com el dret a la portabilitat de les dades;

c) quan el tractament estigui basat en l'article 6, apartat 1, lletra a), o l'article 9, apartat 2, lletra a), l'existència del dret a retirar el consentiment en qualsevol moment, sense que això afecti la licitud del tractament basat en el consentiment previ a la seva retirada;

d) el dret a presentar una reclamació davant una autoritat de control;

e) si la comunicació de dades personals és un requisit legal o contractual, o un requisit necessari per a subscriure un contracte, i si l'interessat està obligat a facilitar les dades personals i està informat de les possibles conseqüències que no facilitar aquestes dades;

f) l'existència de decisions automatitzes, inclosa l'elaboració de perfils, a què es refereix l'article 22, apartats 1 i 4, i, al menys en aquests casos, informació significativa sobre la lògica aplicada, així com la importància i les conseqüències previstes d'aquest tractament per a l'interessat.

3. Quan el responsable del tractament projecti el tractament ulterior de dades personals per a un fi que no sigui aquell per al qual es van recollir, proporcionarà a l'interessat, amb anterioritat a aquest tractament ulterior, informació sobre aquest altre cap i a qualsevol informació addicional pertinent d'acord amb l'apartat 2. 4. Les disposicions dels apartats 1, 2 i 3 no són aplicables quan i en la mesura que l'interessat ja disposi de la informació.

(2) Article 11 LOPDGDD. Transparència i informació a l'afectat.

1. Quan les dades personals siguin obtingudes de l'afectat el responsable del tractament podrà donar compliment al deure d'informació que estableix l'article 13 del Reglament (UE) 2016/679 facilitant a l'afectat la informació bàsica a la qual es refereix l'apartat següent i indicant-li una adreça electrònica o un altre mitjà que permeti accedir de forma senzilla i immediata a la restant informació.

2. La informació bàsica a la qual es refereix l'apartat anterior ha de contenir, al menys:

a) La identitat del responsable del tractament i del seu representant, si escau.

b) La finalitat del tractament.

c) La possibilitat d'exercir els drets establerts als articles 15 a 22 del Reglament (UE) 2016/679.

Si les dades obtingudes de l'afectat anessin a ser tractats per a l'elaboració de perfils, la informació bàsica comprendrà així mateix aquesta circumstància. En aquest cas, l'afectat haurà de ser informat del seu dret a oposar-se a l'adopció de decisions individuals automatitzades que produeixin efectes jurídics sobre ell o li afectin significativament de manera similar, quan concorri aquest dret d'acord amb el que preveu l'article 22 del Reglament (UE) 2016/679.

3. Quan les dades personals no hagin estat obtinguts de l'afectat, el responsable podrà donar compliment al deure d'informació que estableix l'article 14 del Reglament (UE) 2016/679 facilitant a aquell la informació bàsica assenyalada en l'apartat anterior, indicant-li una adreça electrònica o altre mitjà que permeti accedir de forma senzilla i immediata a la restant informació.

En aquests supòsits, la informació bàsica inclourà també:

a) Les categories de dades objecte de tractament.

b) Les fonts de les que procedissin les dades.