Este artículo viene al hilo de una duda recurrente. Cuando hemos recabado los datos personales de una persona física con legitimidad para una finalidad concreta, ¿podemos emplear los mismos datos para otras finalidades distintas?
Podremos tratar los datos personales para finalidades ulteriores cuando concurren las circunstancias referidas por el Grupo de Trabajo del Artículo 29 en su Dictamen sobre la limitación de finalidad, que inspira el artículo 6.4 del RGPD:
- Debe existir una relación entre la finalidad original y las ulteriores.
- El tratamiento ulterior debe encontrarse dentro de las expectativas razonables del interesado, para ello analizaremos el contexto en que se hayan recogido los datos personales.
- Debe tenerse en cuenta la naturaleza de los datos objeto de tratamiento y la sensibilidad de los mismos.
- Debe considerarse el impacto que el tratamiento ulterior va a tener en los interesados, es decir, se evaluará, previamente, el impacto de las consecuencias en sus derechos e intereses.
- Deben considerarse las medidas de protección que el responsable del tratamiento establece, en particular, las medidas técnicas y organizativas, como encriptación, seudonimización, separación funcional, transparencia y oposición al tratamiento.
Ejemplos
La regla general es que está prohibido el envío de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.
La regla general no será de aplicación cuando concurran las siguientes circunstancias:
- Que exista una relación contractual previa.
- Que el responsable del tratamiento hubiera obtenido de forma lícita los datos de contacto del destinatario.
- Que el envío de comunicaciones comerciales se refiera a productos o servicios similares a los que inicialmente fueron objeto de contratación con el cliente.
- Que se ofrezca al destinatario la posibilidad de oponerse al tratamiento de sus datos personales con fines de mercadotecnia mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.
Otro ejemplo es el tratamiento ulterior de los datos con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos. Estos tratamientos posteriores se considerarán a priori compatibles con los fines iniciales. No obstante, deben establecerse salvaguardias adecuadas como la anonimización, el cifrado o la seudonimización de los datos, así como la limitación del acceso a estos.
Conclusión
El RGPD impone al responsable del tratamiento la realización de un test de incompatibilidad de fines, es decir, debe analizarse el tratamiento para concluir si la finalidad posterior no resulta incompatible con la originaria.
La finalidad original y las ulteriores tienen que ser compatibles entre sí, pero cabe una excepción: que el tratamiento ulterior, aun siendo incompatible, constituya una medida necesaria y proporcionada para salvaguardar objetivos importantes de interés público, como por ejemplo cuando el tratamiento es necesario para cumplir fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, como catástrofes naturales o de origen humano. En todo caso, se debe garantizar la aplicación de los principios relativos al tratamiento de datos, que les detallo aquí, y, en particular, la información al interesado sobre esos otros fines y sus derechos, incluido el derecho de oposición. Asimismo, deben contemplarse los elementos que indican el artículo 6.4 del RGPD.
