Artículo 46 RGPD. Transferencias mediante garantías adecuadas

Artículo 47 RGPD. Normas corporativas vinculantes

Artículo 49 RGPD. Excepciones para situaciones específicas

1. En ausencia de una decisión de adecuación de conformidad con el artículo 45, apartado 3, o de garantías adecuadas de conformidad con el artículo 46, incluidas las normas corporativas vinculantes, una transferencia o un conjunto de transferencias de datos personales a un tercer país u organización internacional únicamente se realizará si se cumple alguna de las condiciones siguientes:

[…]

Cuando una transferencia no pueda basarse en disposiciones de los artículos 45 o 46, incluidas las disposiciones sobre normas corporativas vinculantes, y no sea aplicable ninguna de las excepciones para situaciones específicas a que se refiere el párrafo primero del presente apartado, solo se podrá llevar a cabo si no es repetitiva, afecta solo a un número limitado de interesados, es necesaria a los fines de intereses legítimos imperiosos perseguidos por el responsable del tratamiento sobre los que no prevalezcan los intereses o derechos y libertades del interesado, y el responsable del tratamiento evaluó todas las circunstancias concurrentes en la transferencia de datos y, basándose en esta evaluación, ofreció garantías apropiadas con respecto a la protección de datos personales. El responsable del tratamiento informará a la autoridad de control de la transferencia. Además de la información a que hacen referencia los artículos 13 y 14, el responsable del tratamiento informará al interesado de la transferencia y de los intereses legítimos imperiosos perseguidos.

[…]

Artículo 6 RGPD. Licitud del tratamiento

1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

[…]

f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

[…]

Artículo 6 RGPD. Licitud del tratamiento

1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

[…]

Artículo 9 RGPD. Tratamiento de categorías especiales de datos personales

1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.

[…]

2. El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes:

a) el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado;

[…]

Artículo 22 RGPD. Decisiones individuales automatizadas, incluida la elaboración de perfiles

1. Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.

Artículo 4 RGPD. Definiciones

A efectos del presente Reglamento se entenderá por:

[…]

4) «elaboración de perfiles»: toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física;

[…]

Artículo 89 RGPD. Garantías y excepciones aplicables al tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos

1. El tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos estará sujeto a las garantías adecuadas, con arreglo al presente Reglamento, para los derechos y las libertades de los interesados. Dichas garantías harán que se disponga de medidas técnicas y organizativas, en particular para garantizar el respeto del principio de minimización de los datos personales. Tales medidas podrán incluir la seudonimización, siempre que de esa forma puedan alcanzarse dichos fines. Siempre que esos fines pueden alcanzarse mediante un tratamiento ulterior que no permita o ya no permita la identificación de los interesados, esos fines se alcanzarán de ese modo.

[…]

Grupo de Trabajo del artículo 29 Directrices sobre la transparencia en virtud del Reglamento (UE) 2016/679

“Resulte imposible”

La situación en que “resulte imposible” en virtud del artículo 14, apartado 5, letra b), facilitar la información es una situación de todo o nada, puesto que una cosa es imposible o no lo es; no existen grados de imposibilidad. Por tanto, si un responsable del tratamiento pretende acogerse a esta exención, debe demostrar los factores que le impiden efectivamente facilitar la información en cuestión a los interesados. Si, después de un periodo determinado, los factores que causaban la “imposibilidad” dejan de existir y el responsable del tratamiento ya puede facilitar la información a los interesados, debe hacerlo inmediatamente. En la práctica, habrá muy pocas ocasiones en las que el responsable del tratamiento pueda demostrar que le resulta efectivamente imposible facilitar la información a los interesados. El siguiente ejemplo demuestra este razonamiento.

Grupo de Trabajo del artículo 29 Directrices sobre la transparencia en virtud del Reglamento (UE) 2016/679

“Esfuerzo desproporcionado”

A la hora de determinar lo que puede constituir imposibilidad o esfuerzo desproporcionado en virtud del artículo 14, apartado 5, letra b), es importante que no existan exenciones comparables en virtud del artículo 13 (cuando los datos personales se obtengan de un interesado). La única diferencia entre las situaciones del artículo 13 y las del artículo 14 es que en este último los datos personales no se obtienen del interesado. De ello se desprende, por tanto, que por lo general la imposibilidad o esfuerzo desproporcionado surgen en virtud de circunstancias que no se aplican si los datos personales se obtienen del interesado. En otras palabras, la imposibilidad o el esfuerzo desproporcionado han de estar directamente unidos al hecho de que los datos personales se obtuvieron de una fuente distinta del interesado.

Grupo de Trabajo del artículo 29 Directrices sobre la transparencia en virtud del Reglamento (UE) 2016/679

Los factores mencionados anteriormente en el considerando 62 (el número de interesados, la antigüedad de los datos y las garantías adecuadas adoptadas) podrían ser indicios de los tipos de cuestiones que contribuyen a que un responsable del tratamiento tenga que realizar un esfuerzo desproporcionado para notificar a un interesado de la información contemplada en el artículo 14 pertinente.

El artículo 14, apartado 5, letra c), contempla no aplicar los requisitos de información del artículo 14, apartados 1, 2 y 4, en la medida en que la obtención o la comunicación de los datos personales “esté expresamente establecida por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento”. Esta exención está supeditada a que la legislación en cuestión establezca “medidas adecuadas para proteger los intereses legítimos del interesado”. Dicha legislación debe estar directamente dirigida al responsable del tratamiento y la obtención o comunicación en cuestión deben ser obligatorias para el responsable. En consecuencia, el responsable del tratamiento debe poder demostrar de qué forma la legislación en cuestión le es aplicable y le obliga a obtener o comunicar los datos personales de que se trate. Si bien corresponde al Derecho de la Unión o de los Estados miembros articular la legislación de tal manera que esta prevea “medidas adecuadas para proteger los intereses legítimos del interesado”, el responsable del tratamiento debe garantizar (y ser capaz de demostrar) que su obtención o comunicación de datos personales cumple dichas medidas. Por otro lado, el responsable del tratamiento debe dejar claro a los interesados que obtiene o comunica los datos personales con arreglo a la legislación en cuestión, a menos que exista una prohibición legal que impida al responsable hacerlo. Esto se ajusta a lo dispuesto en el considerando 41 del RGPD, que afirma que una base jurídica o medida legislativa debe ser clara y precisa y su aplicación previsible para sus destinatarios, de conformidad con la jurisprudencia del Tribunal de Justicia de la Unión Europea y del Tribunal Europeo de Derechos Humanos. Sin embargo, el artículo 14, apartado 5, letra c), no se aplicará cuando el responsable del tratamiento esté obligado a obtener los datos directamente de un interesado, en cuyo caso se aplica el artículo 13. En tal situación, la única exención al amparo del RGPD que exime al responsable de facilitar al interesado información sobre el tratamiento será la recogida en el artículo 13, apartado 4 (esto es, cuando y en la medida en que el interesado ya disponga de la información). No obstante, como se menciona en el apartado 68, los Estados miembros también pueden legislar a escala nacional, conforme al artículo 23, para limitar más específicamente el derecho a transparencia en virtud del artículo 12 y a la información en virtud de los artículos 13 y 14.