¿Puede un propietario acceder a las cuentas de la comunidad?

Como ya hemos visto, en la gestión de la comunidad de propietarios se tratan datos personales.

Este concepto de datos personales incluye todos aquellos que proporcionen información, cualquiera que sea la clase de esta, sobre una persona física identificada o identificable.

Siguiendo esta línea de pensamiento, en relación con el tema de los movimientos en las cuentas bancarias de la comunidad de propietarios, los datos contenidos en ellas tales como son los datos identificativos de las cuentas corrientes de los vecinos que realizan los pagos, los coeficientes de participación o incluso los vecinos deudores, entre otros, son datos de carácter personal.

Del mismo modo, también es un dato personal aquel que se refiere a los empleados que pueda tener la comunidad así como de los prestadores de servicios profesionales y las cuentas bancarias de ambos.

Es decir, el portero de la comunidad no es menos y sus datos tampoco. Del mismo modo que tampoco lo es el administrador de cuentas o abogado al que se le han pagado los honorarios desde la cuenta de la comunidad. La vecina del 6º B, que no es la presidenta y que a lo mejor no es ni propietaria, no tiene porqué saber el número de cuenta del administrador ni del portero.

En relación con esto, para que el tratamiento de los datos sea lícito será necesario que se dé alguna base legitimadora para el mismo. Teniendo esto en cuenta, el tratamiento de datos que hace la comunidad se basa en su interés legítimo para la finalidad de administración de la comunidad, mientras que puede fundarse en la ejecución de un contrato en el caso de los datos del portero. Sea como fuere, el tratamiento tiene una legitimación clara.

Sin embargo, y aunque la ley permite comunicar los datos personales de un interesado a un tercero para el cumplimiento de intereses legítimos del responsable o para cumplir con una obligación legal del mismo que le habilite para dicha cesión, para el caso de la cesión de los datos a otro vecino no se cumplen estos requisitos pues el hecho de que la vecina del 6º B conozca los datos de cuentas bancarias del resto de propietarios y de los trabajadores de la comunidad, no contribuye a la finalidad de la correcta administración de la comunidad de propietarios.

Y todo esto sin olvidar que entre las obligaciones del responsable está la transparencia de información y por ello deberá tomar las medidas oportunas para facilitar al interesado, es decir, al resto de propietarios de la comunidad y sus trabajadores, la información relativa al tratamiento que se va a realizar sobre sus datos de manera concisa, transparente, inteligible y de fácil acceso y con un lenguaje claro y sencillo.

En este sentido, en ningún momento se ha comunicado a los interesados que sus datos vayan a ser cedidos al resto de propietarios, por lo que no estaría permitida dicha cesión, además de que dicha cesión no tendría ninguna razón de ser.

Lo veas por donde lo veas, estos datos no resultan relevantes para el resto de propietarios y no podría encuadrarse la cesión de los mismos dentro de la actividad de gestión de la comunidad.

Por tanto, como hemos visto, la cesión de los datos personales de los propietarios y del personal de la comunidad que contienen los movimientos bancarios en las cuentas de la comunidad supondría una cesión ilegal de datos, una conducta que es susceptible de ser sancionada conforme a la normativa de protección de datos.

Sin embargo, aunque la exhibición de los datos personales a un vecino no autorizado para verlos resultaría contraria a la normativa de protección de datos, sí que se debe en todo momento mantener informados a los propietarios de los costes asumidos por la comunidad para su mantenimiento con el adecuado desglose de los gastos soportados, claro está.

Las comunidades de propietarios y la protección de datos

Sucede en muchas comunidades de propietarios (empezando por la mía) que no llevan ningún control en materia de protección de datos.

Puede pasar que el presidente sea un señor que no ha oído hablar nunca de la protección de datos, que está ahí porque tuvo la mala suerte de que le tocó por sorteo o porque quiere arreglar algo del edificio y ha visto que el anterior presidente no se ponía las pilas con el tema pero, lo cierto es, que la protección de datos le da absolutamente lo mismo.

En estos casos, el administrador de fincas es el que debería asesorarles sobre este tema, pero también sucede en muchos casos que el administrador de fincas tampoco tiene mucha idea de la protección de datos que el propio presidente.

¿En qué me baso para decir que a las comunidades de propietarios se les aplica la normativa de protección de datos? En que, se quiera o no, una comunidad realiza el tratamiento de datos de personas físicas. Simple y llanamente.

Todos sabemos ya que la comunidad de propietarios, bajo la representación de su presidente, dispone de los datos del resto de vecinos ¿no es así?

Es decir, que para su propia gestión, la comunidad de propietarios dispone de datos personales de los propietarios como pueden ser el nombre, los apellidos, la dirección, el número de cuenta bancaria desde el que realiza el pago de las cuotas de la comunidad, entre otros.

Vamos que tratar, tratan datos y, como ya sabemos, cuando existe tratamiento de datos debe cumplirse con lo dispuesto en la normativa de protección de datos.

Y todo esto sin entrar a hablar de la videovigilancia, porque como la comunidad tenga cámaras de seguridad eso es ya otro tratamiento de datos adicional al derivado de la gestión de la finca.

Pero esto no es así porque lo diga yo, sino que la propia Agencia Española de Protección de Datos (AEPD) en su página de preguntas frecuentes ya resuelve esa cuestión controvertida dentro del apartado “10. COMUNIDADES DE PROPIETARIOS” en el que, en la primera pregunta “10.1.- ¿Se aplica la normativa de protección de datos a las comunidades de propietarios?” habla de la aplicación de esta normativa en las comunidades pues, claramente, se realiza un tratamiento de datos de carácter personal de personas físicas.

Por otro lado, también existe un artículo en el blog de la AEPD, en el que, sin lugar a dudas, se habla de las comunidades de propietarios como responsables del tratamiento, del mismo modo que los administradores de fincas serían encargados, además de indicar una serie de obligaciones que deben llevar ambos a cabo.

Por último, y por si eres una persona escéptica y aun no te fías, te lo digo de otro modo: dado que no hay duda alguna de que los administradores de fincas son encargados del tratamiento, y que no pueden existir como tal por sí mismos pues precisamente la figura del encargado coge los datos que le proporciona el responsable para destinarlos a unos fines del tratamiento que este último le indica, no podría existir la figura de los administradores de fincas como encargados del tratamiento si no hubiese un responsable (la comunidad) que le proporcione los datos que aquel gestiona bajo sus directrices.

Las multas por “pasar” de la protección de datos

Uno de los puntos que más alarma ha creado para las empresas con las salida del nuevo reglamento ha sido el de las sanciones.

Antes de la entrada en vigor del reglamento europeo muchas empresas hacían caso omiso a la protección de datos pues podían permitirse saltársela y pagar unas multas irrisorias por ello (en comparación con su volumen de negocio, claro está, para mi 40.000 euros es dinero, para Google, es calderilla). Esto cambia.

Por un lado, se podrá sancionar con una multa de un máximo de 10 millones de euros o, en caso de tratarse de una empresa, el 2 % del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. ¡Y esta multa es la menos mala!

Estas sanciones se pueden dar por:

  • Vulnerar las obligaciones impuestas tanto para el responsable como para el encargado. Esta vulneración se daría en las siguientes circunstancias:
    • No se recaba el consentimiento del niño en relación con servicios de la sociedad de la información.
    • Se identifica al interesado cuando se realiza el tratamiento de datos que, de acuerdo con los fines para los que se tratan, no requieren de dicha identificación. Es decir, no hace falta que se le identifique, pero se le identifica. Sin más.
    • No se llevan a cabo medidas de responsabilidad proactiva en el tratamiento de los datos como son el registro de actividades de tratamiento, la protección de datos desde el diseño y por defecto, la seguridad de los datos personales, la notificación de una violación de la seguridad de los datos personales a la autoridad de control y al interesado, en su caso, o la evaluación de impacto con su correspondiente consulta previa a la autoridad de control cuando el tratamiento entrañe un alto riesgo.
    • No se llevan a cabo las obligaciones dispuestas en relación con la corresponsabilidad del tratamiento, los representantes del responsable o encargados del tratamiento no establecidos en la Unión Europea, y la regulación de la figura de los encargados del tratamiento según lo dispuesto en el artículo 28 del RGPD.
    • No se da una cooperación con la autoridad de control.
    • No se designa un delegado de protección de datos estando obligado a ello.
  • Vulnerar las obligaciones de certificación por parte de organismos que se dediquen a ello por tener un nivel de pericia tal que han sido acreditados por la autoridad de control para expedir y renovar dichas certificaciones
  • Vulnerar las obligaciones de supervisión de códigos de conducta por parte de los organismos que se dedican a ello por tener un nivel de pericia tal que han sido acreditados por la autoridad de control para realizar dicha supervisión.

Y por otro lado están las sanciones menos buenas, las que pueden llegar hasta un máximo de 20 millones de euros o el 4 % del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

Estas multas se impondrán en los siguientes casos:

  • Por vulnerar los principios básicos del tratamiento. Esta vulneración se da cuando:
    • No se respetan los principio relativos al tratamiento (licitud, lealtad, transparencia, limitación de la finalidad, minimización de datos, exactitud, limitación del plazo de conservación, integridad, confidencialidad y responsabilidad proactiva).
    • No se cumple ninguna de las condiciones para que el tratamiento sea lícito, es decir, no existe una base jurídica que legitime el tratamiento.
    • No se cumplen las condiciones para el consentimiento del interesado para el tratamiento de sus datos personales.
    • Se tratan categorías especiales de datos personales cuando no concurre ninguna de las circunstancias legitimadoras para dicho tratamiento.
  • Por vulnerar los derechos de los interesados, aquellos conocidos como derechos ARCO como siglas de los derechos de Acceso, Rectificación, Cancelación y Oposición, pero que con la entrada en vigor del reglamento aumentaron a unos cuantos más quedando las siglas ligeramente desfasadas. Hoy en día son los siguientes: derecho de acceso, de rectificación, de supresión o derecho al olvido, a la limitación del tratamiento, a la portabilidad de los datos, de oposición y a no ser objeto de decisiones individuales automatizadas, incluyendo la elaboración de perfiles. Lo podríamos llamar ARSOLPON, pero no tiene tanto gancho, así que mejor los seguimos llamando derechos ARCO.
  • Por transferir datos a países ajenos a la Unión Europea y que no dispongan de un nivel de garantía adecuado.
  • Por incumplir alguna obligación en virtud del derecho de los estados miembros en relación con:
    • la libertad de expresión y de información;
    • el acceso público a documentos oficiales;
    • el tratamiento del número nacional de identidad;
    • el tratamiento en el ámbito laboral;
    • las garantías y excepciones aplicables al tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos;
    • las obligaciones de secreto;
    • las normas de protección de datos de iglesias y asociaciones religiosas.
  • Por incumplir una resolución o limitación del tratamiento por parte de la autoridad de control o no facilitarle a esta el acceso en el ejercicio de sus poderes de investigación.

Una vez visto esto, si, las multas son desproporcionadas, pero ten en cuenta que no se le va a poner una multa de 10 millones de euros a una papelería pequeña de barrio, sino que están más bien pensadas para grandes empresas a las que antes de la entrada en vigor del reglamento les importaba tan poco la protección de datos que era casi más beneficioso para ellas a nivel económico el seguir disponiendo a su antojo de los datos y pagar por el mal uso una multa (ridícula en comparación con sus volúmenes de venta) que el hecho de ponerse a hacer las cosas bien.

Ahora, con el aumento considerable en la cuantía de las sanciones, por lo menos se lo piensan dos veces antes de incumplir la normativa de protección de datos.

Responsabilidad proactiva en el tratamiento de datos

Para realizar un tratamiento de datos adecuado cualquier responsable del tratamiento debe tomar una serie de medidas de responsabilidad activa. Ya no sirve aquello de “yo lo hice y ya después me olvidé del tema”.

El nuevo reglamento europeo, nos indica claramente que hay unos principios que son inherentes al tratamiento de los datos, los cuales son la licitud, lealtad y transparencia, la limitación de la finalidad, la minimización de los datos, la exactitud, la limitación del plazo de conservación y la integridad y confidencialidad. Todos estos principios quedan englobados dentro de una única y gran obligación de responsabilidad proactiva. La madre de todos los principios.

Esto quiere decir que cada persona que recabe datos personales será responsable de cumplir con todos esos principios del tratamiento y ser capaz de demostrarlo, por lo que deberá comprobar activamente no sólo que el procedimiento para recabar los datos personales es el adecuado, sino que también deberá tener constancia de que se han analizado los posibles riesgos que conlleva el tratamiento y se ha determinado la seguridad necesaria que se deberá implantar para el correcto tratamiento de cada uno de esos datos.

Registro de actividades de tratamiento

Uno de los cambios que introdujo el RGPD fue la eliminación de los ficheros de datos, pasando esta obligación a ser la de elaborar un registro de cada actividad de tratamiento en la que se señalan los datos recogidos para esa actividad concreta así como la finalidad determinada del tratamiento de esos datos.

Por ello, la primera de las medidas exigidas como parte de la responsabilidad proactiva de aquellos que tratan datos personales es el registro de actividades de tratamiento el cual contendrá la información necesaria según lo dispuesto en el artículo 30 del RGPD.

Análisis de riesgo

Otra de las principales de estas medidas de responsabilidad proactiva sería el análisis de riesgos. Este análisis implica la realización de un estudio de las posibles amenazas o riesgos que puedan tener los datos, en contraposición con la vulneración de sus derechos que sufriría el ciudadano si se llegan a producir dichas amenazas o riesgos.

No todo el tratamiento de datos tiene los mismos riesgos y, por tanto, no siempre se tendrán que establecer las mismas medidas de seguridad. Ahí radica la importancia de realizar este análisis correctamente para poder determinar de manera efectiva las amenazas y riesgos y establecer un protocolo de medidas para paliar los efectos de los mismos.

Medidas de seguridad

Una vez analizados los riesgos, se deberá afrontar la gestión eficaz de los mismos mediante la adopción de las medidas de protección suficientes para eliminarlos o mitigarlos y que no se produzca ninguna de esas amenazas que se han determinado como probables.

En este sentido, se podrá implementar dentro de la organización un protocolo de copias de seguridad, cifrado de datos, formación necesaria de los empleados para el tratamiento seguro de los datos, entre otras medidas.

Protección de datos desde el diseño y por defecto

Como parte de este interés de manifestar la responsabilidad proactiva por aquellos que tratan datos personales, se determina la necesidad de realizar una “protección de datos desde el diseño y por defecto”.

Esto, que bien puede sonar a chino si lo oyes por primera vez, no quiere decir otra cosa que se debe diseñar cómo se van a tratar los datos a la hora de realizar una actividad o prestar un servicio, con carácter previo a la realización de dicha actividad o a la prestación de dicho servicio, de modo que, una vez realizado este diseño de los protocolos para el tratamiento de los datos, se produzca, por defecto, una garantía de protección suficiente de los datos personales recogidos para esa actividad.

Evaluación de impacto relativa a la protección de datos

La evaluación de impacto es, en esencia, el mismo análisis de riesgos que ya hemos mencionado, pero con algunas particularidades pues se realizará cuando sea probable que un tipo de tratamiento (sobre todo si utiliza nuevas tecnologías) por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas.

Esta evaluación de impacto se realizará con carácter previo al tratamiento y podrá englobar varios tratamientos parecidos que entrañen riesgos similares.

Por último, cuando de dicha evaluación se desprenda que el tratamiento podría entrañar un alto riesgo si el responsable no toma las medidas necesarias para mitigarlo, se deberá consultar a la autoridad de control antes de proceder a realizar dicho tratamiento para que esta considere si es viable o no.

Notificación de las violaciones de seguridad

Cuando un responsable del tratamiento sufra una violación de seguridad, que ocasione la destrucción, pérdida o alteración de datos personales o la comunicación o acceso no autorizado a los datos, ésta deberá ser notificada a la Agencia Española de Protección de Datos dentro de un plazo máximo de 72 horas.

Además, cuando la violación de seguridad pueda entrañar un alto riesgo para los derechos o libertades de los interesados se les deberá informar también a ellos de que se ha producido dicha violación de seguridad.

Delegado de protección de datos

Por último, una de las figuras protagonistas desde la entrada en vigor del RGPD, ha sido la del delegado de protección de datos, el cual actuará cuando se realicen determinados tratamientos de datos. El nombramiento de esta figura podrá ser voluntario, aunque existen ciertas organizaciones y empresas que, por el tratamiento que realizan, están obligados a tener un delegado de protección de datos.

El artículo 34 de la LOPDGDD hace una lista bastante exhaustiva que podéis consultar con los tipos de tratamientos que implican la necesidad de nombrar un delegado de protección de datos.

La obligación de informar a los usuarios del tratamiento de sus datos

En base al principio de transparencia encuadrado en el RGPD como uno de los principios relativos al tratamiento, a la hora de acceder a cualquier dato de carácter personal habrá que informar al interesado, entre otras cosas, de que se están utilizando sus datos, quién lo está haciendo, con qué fin y durante cuanto tiempo. Esta información deberá ser clara y veraz y estar en todo momento a disposición del interesado para que pueda comprobarla.

Para hacer esto posible, se realizará por parte del responsable una acción efectiva de informar al interesado a través de lo que se conoce como un “deber de informar” que contendrá toda la información básica que se indica en los artículos 13 y 14 del RGPD y 11 de la LOPDGDD.

En primer lugar, deberán indicarse los datos del responsable del tratamiento para que el afectado sepa en todo momento quién es la persona, física o jurídica, que va a tratar sus datos.

De igual modo, si ese responsable tiene un delegado de protección de datos también le informará al afectado de la existencia e identidad del mismo.

Por otro lado, se señalará la finalidad del tratamiento, es decir, el fin de la recogida de los datos. La finalidad no será la misma para todas las actuaciones de una empresa y, por tanto, habrá que definirla bien para cada actividad de tratamiento. Así, por ejemplo, un colegio recabará los datos de sus alumnos con la finalidad de realizar una formación educativa, mientras que por otro lado tendrá acceso a los datos de sus empleados para la finalidad de la realización de nóminas.

Además, se le indicará al interesado cual es la base jurídica para realizar dicho tratamiento pudiendo ser ésta el consentimiento, la ejecución de un contrato, una obligación legal del responsable, la persecución de intereses vitales del afectado o de terceros, el interés público, o el interés legítimo del responsable.

Asimismo, habrá que señalar el plazo de conservación de los datos. Antiguamente estos plazos permanecían indeterminados y se conservaban los datos indefinidamente. Hoy en día no es válido ese argumento de muchas empresas de “no sé cuanto tiempo voy a necesitar disponer de estos datos, mejor me los guardo por si acaso”. No, si no se tiene un conocimiento preciso del tiempo que se va a necesitar conservar los datos puede señalarse algún criterio que determine su eliminación, como puede ser, por ejemplo, un mes desde la solicitud de baja del servicio.

Por otra parte, un asunto de gran importancia es la información al afectado de la posibilidad de ejercer sus derechos, cómo hacerlo y ante quién. Esto es lo que antiguamente se conocía como derechos ARCO por tratarse de cuatro derechos: de Acceso, Rectificación, Cancelación y Oposición. Sin embargo, con el RGPD pasaron a ser muchos más: derecho de acceso, rectificación, supresión, limitación del tratamiento, a la portabilidad de los datos, de oposición y a no ser objeto de decisiones automatizadas.

Adicionalmente, se debe informar al afectado de que puede presentar una reclamación ante la autoridad de control que en el caso de España es la Agencia Española de Protección de Datos (AEPD).

Sin embargo, aquí no queda todo pues para aquellas ocasiones en las que se vayan a ceder los datos personales de un tercero, también se deberá informar al interesado sobre quién será el destinatario de esos datos. Del mismo modo, si se realizaran transferencias internacionales de datos, se deberá informar al afectado. Asimismo, si resultara que se realizan decisiones automatizadas o se elaboran perfiles de los interesados, deberán los interesados ser informados de estos hechos.

Por último, también puede suceder que dicho tratamiento sea necesario por tratarse de un requisito legal o contractual, en cuyo caso se deberá informar al interesado de esta obligación y de las posibles consecuencias que puede conllevar el hecho de que no facilite sus datos.

En resumen, informar, informar, informar…

Como hemos comprobado, por tanto, la necesidad de informar a los afectados sobre los datos que se tratan y porqué supone que se cambien todas las clausulas de información a los interesados y se vuelva a recabar aquel consentimiento que se obtuvo antaño y que hoy en día está incompleto y desfasado. Cumplir con este deber es tedioso y puede parecer un esfuerzo desproporcionado para algo que no creemos que sea tan importante, pero leyendo las guías que pone la AEPD a disposición de los ciudadanos y siguiendo el esquema que aquí hemos visto, se hace relativamente fácil, así que ¡no lo dejes pasar!

Bases legitimadoras para el tratamiento de datos de carácter personal

Para que se pueda realizar el tratamiento de los datos personales hay que tener en cuenta, en todo momento, que se deberá disponer de la legitimidad necesaria para poder tratar dichos datos personales.

Como ya hemos comentado en otras entradas, no puede suceder que se traten los datos de todo el mundo, sin ton ni son, sino que, como veremos, cualquier persona que realice un tratamiento de datos personales debe estar “autorizado” (por decirlo de alguna manera) a realizar dicho tratamiento. Para ello dispone la ley de unas bases de legitimación concretas que se encuentran encuadradas en el artículo 6 del RGPD.

En primer lugar, existe legitimación para el tratamiento cuando el interesado (la persona cuyos datos se están recabando) da su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos.

Sin embargo, este consentimiento expreso del interesado tiene sus matizaciones. Anteriormente a la entrada en vigor del RGPD y la LOPDGDD, se recogía el consentimiento de los interesados mediante formularios con casillas premarcadas de aceptación del tratamiento de los datos, mientras que hoy en día el interesado debe realizar una clara acción afirmativa al tratamiento de sus datos. Se descarta así, por tanto, el consentimiento tácito (no me quejo de que tratan mis datos y de este modo consiento tácitamente que lo hagan) y las cláusulas premarcadas en los formularios (por ejemplo, las típicas casillas de “acepto el envío de comunicaciones comerciales a través de la newsletter” que antes venían marcadas por defecto y tenías que realizar una acción efectiva de desmarcarlas).

Todos esos consentimientos que en un momento fuero correctos, actualmente hay perdido toda validez y deben volver a ser recabados de acuerdo a las nuevas exigencias indicadas en la normativa en vigor. ¿Te acuerdas hace aproximadamente un año cuando empezaron a llegar masivamente emails de gente pidiéndote que les dieses de nuevo el consentimiento para el envío de comunicaciones electrónicas o para mantenerte en su base de datos? Pues era por esto…

Aunque recabar el consentimiento sea un acto tedioso, siempre será lo más seguro para una empresa a la hora de tratar datos de los afectados. En cambio, existen otra serie de supuestos que permiten el tratamiento de los datos del interesado sin que sea necesario que este dé su consentimiento expreso, bien porque sería excesivo recoger dicho consentimiento, o bien porque puede resultar imposible o de difícil consecución.

Por tanto, existen algunas bases legitimadoras distintas del consentimiento. Una de ellas consiste en el tratamiento necesario para ejecutar un contrato. Obviamente si voy a contratar la prestación de unos servicios, la empresa con la que contrato tendrá que saber como mínimo mi nombre y DNI para poder dar forma al contrato así como cualquier otro dato mínimamente indispensable para realizar la prestación del servicio.

Asimismo, se está legitimado para el tratamiento de datos cuando el mismo sea necesario porque exista una ley aplicable que obligue a que se recaben ciertos datos como puede ser la Ley de Prevención de Blanqueo de Capitales y Financiación del Terrorismo, o la Ley de Prevención de Riesgos Laborales, entre otras. Aquí también se encuadraría el registro de la jornada que ahora está tan de moda.

También es posible el tratamiento sin necesidad de recabar el consentimiento cuando aquel sea necesario para proteger intereses vitales del interesado o de otra persona. Este sería el ejemplo de una persona que se encuentra en estado crítico y es llevada al hospital. Claramente la persona que le atiende mientras se desangra no le va a decir “disculpe, hasta que no me firme este consentimiento no le puedo atender”. De igual modo sucedería si se diesen circunstancias de catástrofes naturales o epidemias.

Por otro lado, se pueden tratar datos personales cuando dicho tratamiento sea necesario para cumplir con alguna misión de interés público como pueden ser fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos, entre otros.

Por último, es posible recabar los datos cuando el tratamiento sea necesario para satisfacer intereses legítimos de la persona que los va a tratar y siempre que sobre este interés no prevalezcan los intereses o derechos y libertades del interesado. Este sería, por ejemplo, el caso de una persona que va a un restaurante y a la hora de pagar pide que le hagan una factura y el camarero le pide unos datos para ponerlos en la misma. Obviamente no le va a recabar el consentimiento para ese mero trámite.

Sin embargo, este interés legítimo de responsable no es el salvavidas al que agarrarse cuando no se disponga de otra base legitimadora para el tratamiento. Habrá que realizar un verdadero acto de ponderación entre los intereses perseguidos por el responsable y los de los afectados.

A modo de resumen, el consentimiento del afectado sería, por llamarlo de algún modo, la base legitimadora comodín: cuando no se pueda encuadrar el tratamiento en ninguna de las otras bases legitimadoras, se deberá proceder a la firma de dicho consentimiento.

Por todo ello, si realizas el tratamiento de datos y el mismo no se puede encuadrar dentro de alguna de las bases legitimadoras mencionadas, seguramente sea un tratamiento ilícito, aunque siempre puedes subsanarlo mediante la firma de un consentimiento expreso del afectado.

¿Qué normativa hay que tener en cuenta cuando se habla de protección de datos?

Con la entrada en vigor del reglamento europeo de protección de datos y de la nueva ley orgánica española de protección de datos, estaría cubierta gran parte de la normativa vigente en materia de protección de datos, pero no sería suficiente para englobarla toda.

Por tanto, para tratar de abarcar lo máximo posible, habría que tener en cuenta:

Sin embargo, con esto no estaría todo pues existen numerosas y variadas disposiciones legales y casi todas ellas hacen referencia en algún que otro apartado, capítulo o artículo, a la normativa vigente en materia de protección de datos. Esto supone, por tanto, que se deba hacer un examen exhaustivo de la materia para cada caso concreto.