Para realizar un tratamiento de datos personales debe existir una base legal que lo ampare. Dichas bases se encuentran en el artículo 6, apartado 1, del RGPD.
La letra c) del citado artículo establece que el tratamiento de datos personales es lícito cuando «sea necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento».
Las actividades de tratamiento se pueden amparar en el cumplimiento de una obligación legal cuando concurren tres requisitos:
1º.- Debe existe una norma con rango de ley que imponga dicha obligación, y como tales se entienden:
- Leyes orgánicas.
- Leyes ordinarias (leyes marco, leyes de armonización, leyes autonómicas, leyes presupuestarias y de acompañamiento).
- Decretos–ley.
- Decretos legislativos.
Además, y por encima de las anteriores, se encuentra la Constitución Española como norma suprema, así como los tratados internacionales, incluido el Derecho de la Unión Europea.
2º.- Dicha norma establecerá la finalidad del tratamiento y podrá prever otras especificaciones, como la determinación del responsable del tratamiento, el tipo de datos personales objeto de tratamiento, los interesados, las entidades a las que se pueden comunicar los datos personales, las limitaciones de la finalidad, el plazo de conservación y otras medidas para garantizar un tratamiento lícito y leal.
3º.- La norma deberá acatar la legislación de protección de datos, incluido el requisito de necesidad, proporcionalidad y limitación de la finalidad.
Un ejemplo de tratamiento de datos personales por obligación legal lo encontramos en la obligación del contribuyente de informar a la Administración Tributaria acerca de «toda clase de datos, informes, antecedentes y justificantes con trascendencia tributaria relacionados con el cumplimiento de sus propias obligaciones tributarias o deducidos de sus relaciones económicas, profesionales o financieras con otras personas» en base al artículo 93, apartado 1, de la Ley 58/2003, de 17 de diciembre, General Tributaria.
Otro ejemplo: en el ámbito del derecho del trabajo, el empresario tiene el deber de protección de los trabajadores frente a los riesgos laborales en base al artículo 14 de la Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales; para ello podrá tratar los datos personales de sus trabajadores.
En este caso no se reconoce el derecho de oposición a los interesados, lo cual resulta lógico, ya que lo contrario supondría otorgar a los afectados una vía para eludir el cumplimiento del Derecho de la Unión o de los Estados miembros (artículo 21 del RGPD).
