Última revisión
datos
230 - ¿La finalidad en el tratamiento de datos personales puede ser compatible con una finalidad posterior diferente a la original?
Relacionados:
Vademecum: datos
Fecha última revisión: 24/09/2024
El RGPD limita la finalidad del tratamiento de los datos personales y establece que puede ser, efectivamente, compatible con una finalidad posterior distinta. Su artículo 89.1 establece medidas técnicas y organizativas para garantizar el respeto del principio de minimización de los datos personales; mientras que su artículo 6.4 establece los criterios que hay que tener en cuenta para determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos personales.
«1. Los datos personales serán:
(...)
b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales ("limitación de la finalidad")».
A TENER EN CUENTA. El apartado primero del artículo 89 del RGPD establece que el tratamiento con fines de archivo en interés público, investigación científica, histórica o estadísticos estará sometido «(...) a las garantías adecuadas, con arreglo al presente Reglamento, para los derechos y las libertades de los interesados. Dichas garantías harán que se disponga de medidas técnicas y organizativas, en particular para garantizar el respeto del principio de minimización de los datos personales. Tales medidas podrán incluir la seudonimización, siempre que de esa forma puedan alcanzarse dichos fines. Siempre que esos fines pueden alcanzarse mediante un tratamiento ulterior que no permita o ya no permita la identificación de los interesados, esos fines se alcanzarán de ese modo».
El considerando 32 establece que, cuando el tratamiento tenga varios fines, el consentimiento para el tratamiento de datos debe de darse por el interesado para todos ellos. En caso de que el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta. La prestación del consentimiento debe realizarse de forma individual para cada uno de los fines no siendo suficiente que se haga a través de una acción única, tal como ha señalado la AEPD en la resolución, PS/00377/2018, de 22 de julio de 2019:
«Sin embargo, con este mecanismo de aceptación de todos los tratamientos detallados mediante una acción única, que resulta de la aceptación de la política de privacidad, devendría en inválido el consentimiento prestado por el interesado respecto de la utilización de los datos con finalidades distintas a la ejecución del contrato o relación precontractual y el tratamiento para el cumplimiento de las obligaciones legales aplicables a la reclamada o, lo que es lo mismo, respecto de todos aquellos tratamientos que requieren recabar un consentimiento diferenciado.
De conformidad con los preceptos legales y considerandos expuestos, no se cumple el requisito según el cual “el consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen”. Además, el consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines, por lo que cuando el tratamiento tenga varios fines que requieran la obtención del consentimiento, éste deberá prestarse para todos ellos».
Artículo 6.4 del RGPD
«4. Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales no esté basado en el consentimiento del interesado o en el Derecho de la Unión o de los Estados miembros que constituya una medida necesaria y proporcional en una sociedad democrática para salvaguardar los objetivos indicados en el artículo 23, apartado 1, el responsable del tratamiento, con objeto de determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos personales, tendrá en cuenta, entre otras cosas:
a) cualquier relación entre los fines para los cuales se hayan recogido los datos personales y los fines del tratamiento ulterior previsto;
b) el contexto en que se hayan recogido los datos personales, en particular por lo que respecta a la relación entre los interesados y el responsable del tratamiento;
c) la naturaleza de los datos personales, en concreto cuando se traten categorías especiales de datos personales, de conformidad con el artículo 9, o datos personales relativos a condenas e infracciones penales, de conformidad con el artículo 10;
d) las posibles consecuencias para los interesados del tratamiento ulterior previsto;
e) la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización».
CUESTIONES
1. ¿Qué dispone el apartado primero del artículo 23 del RGPD?
El derecho de la Unión o de los Estados miembros que se aplique al responsable o el encargado del tratamiento podrá limitar, a través de medidas legislativas, el alcance de las obligaciones y de los derechos establecidos en los artículos 12 a 22 y el artículo 34, así como en el artículo 5 en la medida en que sus disposiciones se correspondan con los derechos y obligaciones contemplados en los artículos 12 a 22, cuando tal limitación respete en lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar:
- La seguridad del Estado.
- La defensa.
- La seguridad pública.
- La prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales (protección frente a amenazas a la seguridad pública y su prevención).
- Otros objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular, un interés económico o financiero importante de la Unión o de un Estado miembro (ámbitos fiscal, presupuestario y monetario, la sanidad pública y la seguridad social).
- La protección de la independencia judicial y de los procedimientos judiciales.
- La prevención, la investigación, la detección y el enjuiciamiento de infracciones de normas deontológicas en las profesiones reguladas.
- Una función de supervisión, inspección o reglamentación vinculada, incluso ocasionalmente, con el ejercicio de la autoridad pública en los casos contemplados en las letras a) a e) y g) del apartado primero del artículo 23 del RGPD.
- La protección del interesado o de los derechos y libertades de otros.
- La ejecución de demandas civiles.
2. ¿Qué normas del RGPD se refieren al principio de compatibilidad?
a) Considerando 50 del RGPD:
«(...) Si el interesado dio su consentimiento o el tratamiento se basa en el Derecho de la Unión o de los Estados miembros que constituye una medida necesaria y proporcionada en una sociedad democrática para salvaguardar, en particular, objetivos importantes de interés público general, el responsable debe estar facultado para el tratamiento ulterior de los datos personales, con independencia de la compatibilidad de los fines. En todo caso, se debe garantizar la aplicación de los principios establecidos por el presente Reglamento y, en particular, la información del interesado sobre esos otros fines y sobre sus derechos, incluido el derecho de oposición. La indicación de posibles actos delictivos o amenazas para la seguridad pública por parte del responsable del tratamiento y la transmisión a la autoridad competente de los datos respecto de casos individuales o casos diversos relacionados con un mismo acto delictivo o amenaza para la seguridad pública debe considerarse que es en interés legítimo del responsable. Con todo, debe prohibirse esa transmisión en interés legítimo del responsable o el tratamiento ulterior de datos personales si el tratamiento no es compatible con una obligación de secreto legal, profesional o vinculante por otro concepto».
b) Considerando 68 del RGPD:
«(...) Por lo tanto, no debe aplicarse, cuando el tratamiento de los datos personales sea necesario para cumplir una obligación legal aplicable al responsable o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable. El derecho del interesado a transmitir o recibir datos personales que lo conciernan no debe obligar al responsable a adoptar o mantener sistemas de tratamiento que sean técnicamente compatibles. Cuando un conjunto de datos personales determinado concierna a más de un interesado, el derecho a recibir tales datos se debe entender sin menoscabo de los derechos y libertades de otros interesados de conformidad con el presente Reglamento. Por otra parte, ese derecho no debe menoscabar el derecho del interesado a obtener la supresión de los datos personales y las limitaciones de ese derecho recogidas en el presente Reglamento, y en particular no debe implicar la supresión de los datos personales concernientes al interesado que este haya facilitado para la ejecución de un contrato, en la medida y durante el tiempo en que los datos personales sean necesarios para la ejecución de dicho contrato. El interesado debe tener derecho a que los datos personales se transmitan directamente de un responsable del tratamiento a otro, cuando sea técnicamente posible».
c) Considerando 154 del RGPD:
«(...) En concreto, dicha Directiva no debe aplicarse a los documentos a los que no pueda accederse o cuyo acceso esté limitado en virtud de regímenes de acceso por motivos de protección de datos personales, ni a partes de documentos accesibles en virtud de dichos regímenes que contengan datos personales cuya reutilización haya quedado establecida por ley como incompatible con el Derecho relativo a la protección de las personas físicas con respecto al tratamiento de los datos personales».
3. ¿Es una infracción la utilización de datos con una finalidad no compatible con la de su recogida?
Será considerada infracción muy grave el comportamiento consistente en:
«d) La utilización de los datos para una finalidad que no sea compatible con la finalidad para la cual fueron recogidos, sin contar con el consentimiento del afectado o con una base legal para ello» [artículo 72.1.d) de la LOPDGDD].
A TENER EN CUENTA. Véanse también los siguientes preceptos de la LOPDGDD: