Hoy ponemos fin a la serie de artículos que en este blog hemos ido publicando sobre diferentes aspectos en relación a los «Accesos por cuenta de terceros versus cesión de datos«.
Recordemos que:
«Cesión de datos es el tratamiento de datos, que supone su revelación a una persona distinta del interesado».
La obligación principal ante una cesión de datos es contar con el previo consentimiento del afectado. Para que sea válido el mismo, el titular de los datos deberá conocer la finalidad a que destinarán los datos cuya comunicación autoriza, o al menos el tipo de actividad del cesionario. Es decir, que se deberá informar convenientemente al titular de los datos. Además, el consentimiento para la cesión de los datos tiene carácter revocable.
Sin embargo, ante esta obligación principal cabe aplicar las excepciones descritas en los artículos 11 de la LOPD y 10 del RDLOPD. No será necesario el consentimiento cuando:
a. Lo autorice una norma con rango de ley o una norma de derecho comunitario. A este respecto, el criterio habitual de la AEPD es que esa autorización debe aparecer de forma expresa.
b. La cesión tengan por objeto la satisfacción de un interés legítimo del responsable del tratamiento o del cesionario, siempre y cuando no prevalezca el interés o los derechos y libertades fundamentales de los interesados cuyos datos son objeto de cesión.
c. El tratamiento responda a la libre y legítima aceptación de una relación jurídica, cuyo desarrollo y cumplimiento implique la conexión de dicho tratamiento con ficheros de terceros. Los datos que se habilita ceder, serán sólo los que la finalidad de la cesión justifique.
d. Tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas.
e. Se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.
f. Respecto a la cesión de datos de salud, sea necesaria para solucionar una urgencia que requiera acceder a un fichero, o para realizar los estudios epidemiológicos, de nuevo aquí se limita a que se deberá estar a los términos establecidos en la legislación sobre sanidad estatal o autonómica.
No debemos perder de vista que la AEPD, en diferentes resoluciones, ha mantenido el criterio de que las excepciones deben ser aplicadas de forma restrictiva.
Por último, debemos recordar que a quien se comuniquen los datos de carácter personal se obliga, por el sólo hecho de la comunicación, a la observancia de las disposiciones de la LOPD.