Sucede habitualmente: no has dado tu consentimiento para recibir publicidad de una tienda y de repente llega a tu bandeja de entrada un anuncio publicitario. ¿Cómo es que esto es una práctica común todavía? ¿Acaso no existe el RGPD o la AEPD para impedirlo? La verdad es que hay varios motivos legalmente válidos para que las empresas envíen esos correos comerciales aun sin consentimiento del usuario. Y la tuya puede utilizarlos también. ¿Quieres saber cuáles son? Continúa leyendo para saberlo. 

¿Cuándo sí se pueden tratar datos sin el consentimiento del usuario? 

Aunque es cierto que el consentimiento del usuario es la base legal más utilizada para tratar datos personales, también es posible hacerlo sin obtener una afirmación del interesado. Pero solo en determinadas circunstancias consideradas por la normativa: 

Cuando existe un contrato previo 

Según el RGPD es posible recoger y tratar los datos de una persona, si este ha adquirido un producto o servicio con tu empresa y los fines del tratamiento están relacionados con ese contrato. Por ejemplo, si tu cliente ha contratado tus servicios de asesoría inmobiliaria, podrías tratar sus datos para enviarle información acerca de posibles oportunidades para él.

Sin embargo, será necesario que en el contrato en cuestión comuniques que se podrían utilizar sus datos personales para tales fines. Además, incluso cuando todavía no haya un contrato, podría ser necesario que trates datos personales sin consentimiento de tus clientes, para poder desarrollar actividades precontractuales. 

Debido a una obligación legal 

Existen otras ocasiones en las que no solo no es necesario requerir el consentimiento del usuario, sino que es hasta obligatorio tratar datos personales para cumplir con algunos requisitos legales.

Por ejemplo, para atender un reclamo del consumidor requerirás datos como su nombre, DNI, correo electrónico, etc.  

Para proteger los intereses vitales de una persona 

Dado el interés que tiene la protección de la vida y la salud de las personas, esta es una ocasión en la que no se requerirá el consentimiento de los usuarios. Este tipo de bases legitimadoras son frecuentemente utilizadas por personal de salud o de aseguradoras en situaciones en las que la persona no se encuentra en condiciones de dar su consentimiento para el tratamiento. 

Por interés público o para ejercicio de los poderes públicos 

También podrás tratar datos sin consentimiento del usuario cuando el interés público prime sobre la privacidad de la persona. Por ejemplo, si eres periodista y requieres informar sobre un caso de asesinatos seriales podrías recabar y publicar los datos de la persona acusada de esos crímenes, sin pedirle autorización para ello. Aunque hay que aclarar que la misma excepción no aplicaría a los datos de las víctimas.

Esta base legitimadora también suele ser usada mucho por las instituciones públicas, que, en el ejercicio de sus funciones, muchas veces requieren los datos personales de los ciudadanos para ejercitar políticas públicas. 

Cuando existe un interés legítimo

Además, existe una base legal que te permite tratar datos debido a los intereses de tu empresa o negocio, del interesado o de un tercero (o de todos ellos a la vez). Suele utilizarse para el marketing online, para enviar anuncios de productos o servicios relacionados con los que el usuario adquirió con anterioridad. Como cuando te compró productos cosméticos y vas a realizar un curso de maquillaje.

Sin embargo, antes de realizar un tratamiento de datos sobre esta base legitimadora, debes realizar una evaluación para asegurarte de que no hay ninguna restricción legal y de que no prevalece el interés del afectado a que sus datos no sean tratados para ese fin. Y, definitivamente, será muy difícil hacerlo cuando se trate de niños o adolescentes.

¿Cuándo no se pueden tratar datos sin el consentimiento del usuario? 

Como hemos visto, en algunos escenarios sí es posible tratar datos personales sin el consentimiento del usuario. Pero la normativa establece que hay ocasiones en las que estas bases legales no son suficientes para hacerlo y son aquellas en las que los datos tratados pertenecen a categorías especiales. Es decir, los que revelan la siguiente información de las personas:

  • Su origen étnico o racial 
  • Sus opiniones políticas 
  • Sus convicciones religiosas o filosóficas 
  • Su afiliación sindical 
  • Su genética 
  • Su biometría (incluye datos como la huella dactilar, el tono de la voz, la forma y color del iris, de la cara, de la retina, la mano, entre otros) 
  • Su estado de salud
  • Su vida u orientación sexual 

Excepciones que permiten tratar datos especiales sin consentimiento del usuario

Pero, conforme al RGPD, también existen circunstancias excepcionales en los que tu empresa puede utilizar este tipo de datos aún sin consentimiento: 

  • Si requieres esos datos para cumplir obligaciones legales y para que tanto el responsable o el interesado puedan acceder a sus derechos laborales y de seguridad social.
  • Si una persona no puede dar su consentimiento por impedimento de salud o legal, pero se necesitan tratar sus datos para proteger su vida o la de otra persona.
  • Si se tratan datos que la persona ha hecho públicos. 
  • Si necesitas los datos para ejercer reclamaciones o tu defensa ante ellas. 

Debes considerar que es esencial asegurar que el tratamiento de datos, y sobre todo los de categoría especial, debe realizarse proveyendo las medidas de seguridad necesarias para salvaguardar los derechos de las personas involucradas. 

¿Qué sanción puede haber si no se cuenta con consentimiento del usuario ni base legitimadora? 

Si no cuentas ni con consentimiento del usuario, ni con algunas de las bases legitimadoras de las que en este artículo te hemos comentado para tratar datos personales, se considera una falta muy grave para la normativa de privacidad. Y, de hecho, puedes ser sancionado con una multa de entre 300.001 a 20 millones € o el 4% de la facturación anual, lo que sea más alto.

El caso de Nude Project 

Recientemente, se hizo conocido el caso de la sanción a la marca de ropa Nude Project. Esta había sido denunciada ante la AEPD por uno de sus clientes por enviarle un correo electrónico con publicidad, pese a que no había dado su consentimiento para ello.  

En este vídeo te contamos cuál fue la situación, cuáles los argumentos de la empresa y cómo resolvió la AEPD.

 

Recomendaciones finales 

Para terminar, debemos recordarte que antes de tratar datos personales sin el consentimiento del usuario es necesario que hagas un análisis para determinar si existe algún riesgo para sus libertades y derechos. Y lo recomendable es que lo hagas bajo la guía de un abogado experto en privacidad. Pide una cita con nuestros abogados para ayudarte a hacerlo.    

Foto de Dulcey Lima en Unsplash