El Título IV de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (en los sucesivo “LOPDGDD” o la “Ley”), recoge las disposiciones aplicables a tratamientos concretos (arts. 19 a 27) que, tal y como recoge la exposición, “en ningún caso debe considerarse exhaustiva de todos los tratamientos lícitos”.
En primer lugar, se incluyen aquellos tratamientos respecto de los que el legislador establece una presunción iuris tantum de prevalencia del interés legítimo del responsable cuando se lleven a cabo con una serie de requisitos, como el de los datos de contacto, de empresarios individuales y de profesionales liberales; de los sistemas de información crediticia y el de los tratamientos relacionados con la realización de determinadas operaciones mercantiles.
De conformidad con lo dispuesto en el art. 19 de la LOPDGDD se presumirá amparado en el art. 6.1 f) del RGPD el tratamiento de datos de contacto, de empresarios individuales y de profesionales liberales y en su caso los relativos a la función o puesto desempeñado de las personas físicas que presten servicios a una persona jurídica siempre que se refieran únicamente a datos necesarios para su localización y la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.
Las entidades que mantengan el sistema y las acreedoras respecto al tratamiento de los datos referidos a deudores tendrán la condición de corresponsables del tratamiento de datos, siendo de aplicación lo dispuesto en el artículo 26 del Reglamento 679/2016. Se presumirá lícito el tratamiento de dichos datos cuando, entre otros requisitos, se mantengan en el sistema mientras persista el incumplimiento con el límite máximo de cinco años desde la fecha de vencimiento de la obligación dineraria, financiera o de crédito. Además, dichos datos solamente podrán ser consultados cuando quien consulte el sistema mantuviese una relación contractual con el afectado que implique el abono de una cuantía pecuniaria o este le hubiera solicitado la celebración de un contrato que suponga financiación, pago aplazado o facturación periódica.
Respecto a los datos relacionados con determinadas operaciones mercantiles se presumirá lícito el tratamiento, salvo prueba en contrario, incluida su comunicación, con carácter previo, que pudieran derivarse de cualquier operación de modificación estructural de sociedades o la aportación o transmisión de negocio o de rama de actividad empresarial siempre que fueran necesarios para el buen fin de la operación y garanticen la continuidad en la prestación de los servicios. Si la operación no llegara a concluirse, la entidad cesionaria deberá suprimir inmediatamente los datos sin necesidad de proceder a su bloqueo.
Junto a estos supuestos se recogen otros tratamientos, como los tratamientos con fines de videovigilancia, los ficheros de exclusión publicitaria o los sistemas de denuncias internas, en los que la licitud del tratamiento proviene de la existencia de un interés público, en los términos establecidos en el artículo 6.1 e) del Reglamento (UE) 2016/679.
En relación con el sistema de denuncias internas (art. 24 LOPDGDD), la Ley considera lícito el acceso por otras personas o incluso su comunicación a terceros cuando sea necesario para la adopción de medidas disciplinarias o la tramitación de procedimientos judiciales si procede. La información de los datos de quienes formulen la comunicación y de los empleados y de terceros podrán mantenerse durante un plazo máximo de tres meses desde su introducción en el sistema. No obstante, una vez transcurrido dicho plazo los datos deberán suprimirse, salvo que la finalidad sea dejar evidencia del funcionamiento del modelo de prevención de comisión de delitos pro la persona jurídica. Aquellas denuncias a las que no se hayan dado trámite deberán constar de forma anonimizada, sin que sea obligatorio su bloqueo.
Por otra parte, la LOPDGDD contempla el tratamiento con fines de videovigilancia cuya finalidad sea preservar la seguridad de las personas, bienes e instalaciones. La captación de imágenes en la vía pública en ningún caso podrá suponer la captación de imágenes del interior de un domicilio privado. Las imágenes deberán suprimirse en el plazo máximo de un mes desde su captación, salvo para acreditar la comisión de actos que atentes contra la seguridad, en cuyo caso deberán ser puestas a disposición de la autoridad competente en el plazo máximo de setenta y dos horas desde que se tuviera conocimiento. El deber de información (art. 12 RGPD) se entenderá cumplido con la colocación de un dispositivo en un lugar suficientemente visible que recoja, al menos, el tratamiento, la identidad del responsable y la posibilidad de ejercitar los derechos. En cuanto al tratamiento de estos datos en el ámbito laboral se estará a lo dispuesto en el art. 89 de la Ley.
Finalmente, el Título IV prevé el tratamiento de datos relacionados con la función estadística o con fines de archivo de interés general, así como el tratamiento de datos relativos a infracciones y sanciones administrativas. Este último supuesto solo será posible cuando, fuera de los supuestos establecidos en el art. 27 de la Ley, sean llevados a cabo por abogados y procuradores cuya finalidad sea recoger la información facilitada por sus clientes para el ejercicio de sus funciones.
