La semana pasada en este mismo blog, analizábamos las características y tipos de consentimiento existentes en materia de protección de datos. Vamos a ver ahora en qué casos no es necesario solicitar el consentimiento del afectado, y cuándo podremos revocar el mismo.
1. Supuestos de tratamientos y cesión de datos sin necesidad de obtener el consentimiento del afectado:
Tanto en la Ley Orgánica de Protección de Datos (LOPD), como en el RD 1720/2007 por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (RDLOPD), se establecen los casos en los que el responsable del fichero no precisa el consentimiento del titular para tratar sus datos, que son:
1. Cuando lo autorice una norma con rango de ley o una norma de derecho comunitario (art. 10.2 a RDLOPD), en concreto cuando se produzcan, uno de los siguientes casos:
a. El tratamiento o la cesión tengan por objeto satisfacer un interés legítimo del responsable del tratamiento o del cesionario y el mismo se encuentre amparado por dichas normas, con la limitación de respetar y garantizar el derecho al honor e intimidad personal y familiar.
b. El tratamiento o la cesión de los datos sean necesarios para que el responsable del tratamiento cumpla un deber que le imponga una de dichas normas.
2. Cuando los datos se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de las competencias. Estas competencias deben estar recogidas en una norma con rango de ley (art. 10.3 a RDLOPD).
3. Cuando se recaben datos para la celebración de un contrato o precontrato o de la existencia de una relación negocial, laboral o administrativa de la que sea parte el afectado y sean necesarios para su mantenimiento o cumplimiento (art.10.3 b RDLOPD).
4. Cuando la finalidad sea proteger un interés vital del interesado necesarios para la prevención o el diagnóstico médicos, para ello será requisito indispensable que dicho tratamiento de datos lo realice un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto (art. 7.6 de la LOPD).
5. Cuando los datos figuren en fuentes accesibles al público y no en todo caso, sólo en los supuestos de satisfacción un interés legítimo por parte del responsable del tratamiento o por el tercero a quien se comuniquen los datos y sin vulnerar los derechos y libertades fundamentales del interesado. En este blog veíamos cuáles son las únicas fuentes accesibles al público válidas (art. 10 2b RDLOP).
6. Cuando la cesión responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control comporte la comunicación de los datos. Pero sólo será legítima en cuanto se limite a la finalidad que la justifique (art. 10.4 a RDLOPD).
7. Cuando el destinatario sea el Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas o a las instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas, siempre y cuando se realice en el ámbito de las funciones que la ley les atribuya expresamente (art. 10.4b del RDLOPD).
8. Y por último, cuando la comunicación de datos se produzca entre las Administraciones públicas, pero sólo en los siguientes supuestos (art. 10.4 c RDLOPD):
a. El objeto del tratamiento sea con fines históricos, estadísticos o científicos.
b. Los datos de carácter personal hayan sido recogidos o elaborados por una Administración pública con destino a otra.
c. La comunicación se realice para el ejercicio de competencias idénticas o que versen sobre las mismas materias.
2. Revocación del consentimiento:
En el artículo 17 del RDLOPD, se establecen qué condiciones y a través de que procedimiento se puede revocar el consentimiento prestado.
En relación a las condiciones, tal y como ha manifestado la Agencia Española de Protección de datos en diferentes informes jurídicos: «con carácter general, el consentimiento del interesado para el tratamiento y cesión de datos, permite, igualmente, la revocación del mismo, esto es, que el interesado pueda exigir el cese en el tratamiento de sus datos mediante su pura y simple manifestación de voluntad».
Respecto del procedimiento, el afectado podrá revocar su consentimiento a través de un medio sencillo, gratuito y que no implique ingreso alguno para el responsable del fichero o tratamiento.
En el reglamento se establece que será conforme a derecho el procedimiento mediante un envío prefranqueado al responsable del tratamiento o la llamada a un número telefónico gratuito o a los servicios de atención al público que el mismo hubiera establecido.
Por último, indicar que no se considerarán conformes a lo dispuesto en la LOPD, los supuestos en que el responsable establezca como medio para que el interesado pueda manifestar su negativa al tratamiento el envío de cartas certificadas o envíos semejantes, la utilización de servicios de telecomunicaciones que implique una tarificación adicional al afectado o cualesquiera otros medios que impliquen un coste adicional al interesado.