Unitat 2: Principis i licitud del tractament de dades de caràcter personal
2.1 Els principis rectors del tractament de dades personals
El RGPD estableix uns principis generals que cal complir per garantir la legitimitat del tractament de dades personals i que en termes generals no comporten un canvi substancial respecte dels que recollia l'antiga LOPD, però que s’han de posar en connexió amb les noves obligacions que estableix el RGPD.
- Principi de responsabilitat proactiva (accountability)
- Principi de licitud, lleialtat i transparència
- Principi de limitació de la finalitat
- Principi de minimització de les dades
- Principi de limitació del termini de conservació
- Principi d’exactitud
- Principi d’integritat i confidencialitat.
1. Principi de responsabilitat proactiva ("accountability")
Aquest principi es considera la principal novetat pel que fa als principis que incorpora el RGPD. La nova regulació estableix que el responsable del tractament ha de prendre les mesures tècniques i organitzatives apropiades per garantir i poder demostrar que el tractament de dades que porta a terme s’adequa al que disposa el RGPD. Per tant, el responsable del tractament no només ha de garantir que compleix el que estableix el RGPD, sinó que ha d’estar en condicions de poder-ho demostrar, tant davant de les persones interessades com de les autoritats de supervisió.
El compliment d’aquest principi obliga el responsable a tenir una actitud proactiva davant els tractaments de dades que porta a terme, ja que per poder determinar quines mesures necessita aplicar ha d'analitzar la naturalesa, l’àmbit, el context i les finalitats del tractament, així com els riscos que aquest pot comportar per als drets i les llibertats de les persones físiques. Entre les mesures aplicables, s'han d'incloure les oportunes polítiques de protecció de dades (art. 24 del RGPD).
Les eines establertes pel RGPD per garantir i demostrar el compliment de les obligacions que estableix, les veurem amb detall en la unitat 4 del blog 2. Són mesures que s'han de revisar i actualitzar quan sigui necessari.
L’adhesió a codis de conducta o a mecanismes de certificació es poden utilitzar com a elements per demostrar el compliment de les obligacions per part del responsable.
Altrament, cal dir que la LOPDGDD, en regular les mesures de responsabilitat proactiva (capítol I del títol V, es refereix tant al responsable com a l'encarregat del tractament.
2. Principi de licitud, lleialtat i transparència
Les dades personals han de ser tractades de manera lícita, lleial i transparent en relació amb la persona interessada.
Deixem ara de banda el principi de licitud, al qual, per la seva transcendència, dedicarem l’apartat 2.2 d’aquesta unitat.
Principi de lleialtat
El RGPD vincula el principi de lleialtat als principis de licitud i transparència: perquè un tractament sigui lleial ha de ser lícit i transparent.
En reiterades ocasions el RGPD associa el principi de lleialtat al principi de transparència, donant a entendre que tractar les dades de manera lleial implica fer-ho amb transparència i a l’inrevés, que tractar-les de manera transparent és fer-ho lleialment. Sempre que parla de lleialtat ho fa unit a la transparència, i és habitual trobar referències al fet que el tractament ha de ser “lleial i transparent”.
Principi de transparència
Com ja hem dit, la transparència es vincula de manera directa al fet que el tractament sigui lícit i lleial.
El RGPD tracta la transparència primer com a principi (capítol II, Principis) i després com a dret (capítol III, Drets de la persona interessada).
El principi de transparència influeix en tots els processos de tractament de dades. És un principi comú a l’exercici de tots els drets de la persona interessada, tot i que es vincula especialment al dret d’informació, al dret que té la persona interessada a estar informada de tot allò que afecta el tractament de les seves dades personals. I no només en el moment de la recollida de les dades, sinó en qualsevol fase del tractament, de manera que pugui conèixer i comprendre què s’està fent amb les seves dades.
Per augmentar la transparència, el RGPD ha ampliat la informació que cal facilitar a la persona interessada.
Analitzarem amb més detall el contingut d’aquest principi quan parlem del dret d’informació en l’apartat 3.1 de la unitat 3.
3. Principi de limitació de la finalitat
Les dades personals s’han de recollir amb finalitats determinades, explícites i legítimes, i no es poden tractar posteriorment “de manera incompatible” amb les finalitats inicials per a les quals van ser recollides (l'antiga LOPD parlava de “finalitats incompatibles”).
El responsable del tractament pot determinar si l’ús de les dades amb una altra finalitat és compatible amb la finalitat inicial, tenint en compte (art. 6 del RGPD):
- La relació entre les finalitats inicials i les finalitats posteriors.
- El context en què s’han recollit les dades, en particular pel que fa a la relació entre les persones interessades i el responsable.
- La naturalesa de les dades personals, en concret si es tracta de categories especials de dades o de dades relatives a condemnes i infraccions penals.
- Les conseqüències per a les persones interessades del tractament posterior.
- L’existència de garanties adequades, com el xifratge o la pseudonimització.
No es consideren incompatibles el tractament de les dades amb finalitats d’arxiu en interès públic, de recerca científica i històrica o finalitats estadístiques.
4. Principi de minimització de les dades
Tot i el nom, no ens trobem davant un principi nou, sinó que és la denominació que el RGPD dona al que en l'antiga LOPD s’entenia com principi de proporcionalitat.
Les dades personals han de ser adequades, pertinents i “limitades al que és necessari” amb relació a les finalitats per a les quals són tractades.
El respecte al principi de minimització de les dades obliga el responsable del tractament a no tractar dades personals en els casos en què per assolir una determinada finalitat no sigui necessari tractar-les. En el cas que sí que calgui, cal tractar només les necessàries i imprescindibles per a una determinada finalitat, de manera que s’atengui a la proporcionalitat i no es tractin dades excessives. Aquest principi també exigeix utilitzar els mecanismes menys intrusius per als drets i les llibertats de les persones.
Un altre vessant d’aquest principi el trobem en la possibilitat d’utilitzar el mecanisme de la pseudonimització, que possibilita el tractament de dades atribuint-los un codi a canvi d’extreure’n determinada informació identificativa. Tot i que continuen tenint la condició de dades personals, aquest mecanisme permet que puguin ser tractades per terceres persones sense que aquestes tinguin accés directe a les dades identificatives, la qual cosa redueix els riscos inherents a qualsevol tractament de dades personals. Permet minimitzar el risc, cosa que no vol dir que aquest desaparegui, però sí que es redueix.
El principi de minimització està estretament lligat al principi de limitació del termini de conservació de les dades, que veurem tot seguit, que és la manifestació del principi de minimització a l’hora de decidir durant quant de temps hem de conservar les dades.
5. Principi de limitació del termini de conservació
Les dades personals s’han de conservar només durant el temps que calgui per assolir la finalitat per a la qual s’han recollit. Només es poden conservar un termini superior si:
- Les dades es conserven dissociades/anonimitzades. En aquest cas, ja no estem davant de dades personals.
- Les dades es conserven amb finalitats d’arxiu en interès públic, de recerca científica o històrica o finalitats estadístiques, sempre que s’apliquin mesures tècniques i organitzatives adequades per protegir els drets i les llibertats de la persona interessada.
El RGPD dona molta importància a aquest principi, fins al punt que determina que el termini de conservació de les dades és un dels aspectes que ha de formar part del contingut de la informació que s’ha de facilitar a la persona interessada, i que, si no és possible concretar-lo (cosa que no sempre és fàcil), s’ha d’informar sobre quins són els criteris utilitzats per determinar el termini de conservació.
6. Principi d’exactitud
Les dades personals han de ser exactes i han d’estar actualitzades. En cas contrari, s’han de rectificar o suprimir sense dilació (el RGPD no estableix un termini concret) i amb totes les mesures raonables (per exemple, si el responsable del tractament havia comunicat prèviament a un tercer les dades rectificades o suprimides, ha de comunicar a aquest tercer la rectificació o supressió de les dades).
L'article 4.2 de la LOPDGDD considera que no és imputable al responsable del tractament la inexactitud de les dades personals, sempre que hagi adoptat totes les mesures raonables perquè se suprimeixin o rectifiquin sense dilació, quan les dades inexactes:
- Les hagi obtingudes el responsable directament de la persona afectada.
- Les hagi obtingudes el responsable d’un mediador o intermediari en cas que les normes aplicables al sector d’activitat a què pertanyi el responsable del tractament estableixin la possibilitat d’intervenció d’un intermediari o mediador que reculli en nom propi les dades de les persones afectades per transmetre-les al responsable. El mediador o intermediari assumeix les responsabilitats que es puguin derivar en el supòsit de la comunicació al responsable de dades que no es corresponguin amb les que hagi facilitat la persona afectada.
- Les sotmeti a tractament el responsable per haver-les rebut d’un altre responsable en virtut de l’exercici per part de la persona afectada del dret a la portabilitat.
- Les obtingui el responsable d’un registre públic.
7. Principi d’integritat i confidencialitat
Tot i que la denominació que li dona el RGPD pugui fer pensar que ens trobem davant de dos principis, es tracta d’un únic principi que ve a ser el que l'antiga LOPD recollia com a principi de seguretat (art. 9).
Altrament, la LOPDGDD també el regula com a deure de confidencialitat dels responsables i encarregats del tractament, així com de totes les persones que intervinguin en qualsevol fase del tractament de les dades personals.
El responsable del tractament ha d’adoptar mesures tècniques o organitzatives per garantir una seguretat adequada que eviti:
- els tractaments no autoritzats o il·lícits
- la pèrdua de dades personals
- la destrucció o dany accidental de la informació.
El RGPD estableix diversos instruments per fer efectiu aquest principi:
- Avaluació del risc: abans d’iniciar un tractament de dades personals, cal avaluar els riscos que aquest pot comportar per als drets i les llibertats de les persones.
- Implantació de mesures tècniques i organitzatives adequades: la determinació de les mesures concretes a implantar ha d'estar vinculada a l’avaluació prèvia del risc que pot tenir el tractament.
- Notificació de les violacions de seguretat: cal notificar a l’autoritat de protecció de dades i a les persones interessades, en determinats casos, els incidents de seguretat que afectin dades personals.
La seguretat dels tractaments ha d’estar documentada i s’han de fer processos de verificació de l’eficàcia de les mesures adoptades. No obstant això, comentarem amb més detall tots aquests elements que estableix el RGPD en la unitat 4 del bloc 2.
2.2 La licitud del tractament
El principi de licitud ja era recollit implícitament en diversos articles de l'antiga LOPD que regulaven les diferents habilitacions per dur a terme un tractament de dades.
A diferència de l'antiga LOPD, el RGPD no disposa habilitacions específiques per a les comunicacions de dades, sinó que estableix les condicions que poden habilitar un tractament de dades personals, que veurem a continuació.
La delimitació de la base jurídica del tractament de dades personals
Perquè un tractament de dades personals sigui lícit, ha de complir una de les condicions següents (art. 6 del RGPD):
- Que disposi del consentiment de la persona afectada per a una o diverses finalitats específiques.
- Que sigui necessari per executar un contracte en què la persona interessada sigui part o per aplicar mesures precontractuals a petició de la persona interessada.
- Que sigui necessari per complir una obligació legal del responsable del tractament.
- Que sigui necessari per protegir interessos vitals de la persona interessada o una altra persona física.
- Que sigui necessari per complir una missió realitzada en interès públic o en l’exercici de poders públics atorgats al responsable del tractament.
- Que sigui necessari per satisfer interessos legítims perseguits pel responsable del tractament o per un tercer, sempre que no prevalguin interessos o drets i llibertats fonamentals de la persona interessada que requereixin la protecció de dades personals, en particular quan la persona interessada sigui un menor.
En el cas de tractaments necessaris per complir una obligació legal (lletra c) o d’una missió realitzada en interès públic o en l’exercici de poders públics (lletra e), la base del tractament ha de ser establerta pel dret de la UE o pel dret de l’Estat membre, que en el nostre cas ha de ser una norma amb rang de llei. La LOPDGG, en l'article 8.2, ho concreta indicant que:
- Per entendre que el tractament de dades personals és necessari per complir una obligació legal, cal que ho disposi una norma de dret de la UE o una norma amb rang de llei, que pot determinar les condicions generals del tractament i els tipus de dades objecte d’aquest tractament, així com les cessions que escaiguin com a conseqüència del compliment de l’obligació legal. Igualment, aquesta norma pot imposar condicions especials al tractament.
- Per entendre que el tractament de dades personals es fonamenta en el compliment d’una missió duta a terme en interès públic o en l’exercici de poders públics, cal que derivi d’una competència atribuïda per una norma amb rang de llei.
L’interès legítim com a circumstància habilitadora (lletra f) no és aplicable als tractaments que portin a terme les autoritats públiques en l’exercici de les seves funcions.
Però, la LOPDGDD, en la disposició addicional desena, estableix que els responsables que enumera l’article 77.1 sí que poden comunicar les dades personals que els sol·licitin subjectes de dret privat quan tinguin el consentiment de les persones afectades o apreciïn que hi ha en els sol·licitants un interès legítim que prevalgui sobre els drets i els interessos de les persones afectades, de conformitat amb el que estableix l’article 6.1.f del RGPD.
Referència especial al consentiment per tractar dades personals
Quan parlem de les diverses causes que habiliten el tractament de dades, hem de fer necessàriament una referència especial al consentiment de la persona interessada (lletra a, art. 6 del RGPD).
De la definició donada en l’apartat 1.2 (unitat 1), veiem que el consentiment no és només una manifestació de voluntat lliure, específica, informada i inequívoca per la qual la persona interessada accepta el tractament de les seves dades personals, com el definia l'antiga LOPD, sinó que el RGPD introdueix una novetat rellevant quant al fet que requereix que aquesta acceptació sigui mitjançant una declaració o una acció afirmativa clara.
El RGPD disposa que no es pot garantir que el consentiment ha estat lliurement prestat en els casos en què hi ha un desequilibri evident entre la persona interessada i el responsable del tractament, en particular quan aquest responsable és una autoritat pública. També determina que no es pot condicionar l’execució d’un contracte al fet que la persona interessada doni el seu consentiment per tractar dades seves que no són necessàries per a aquest contracte.
Els tractaments de dades iniciats abans de l’aplicació del RGPD i que estan basats en el consentiment de la persona interessada, continuen sent legítims si aquest consentiment es va prestar en la manera que estableix el RGPD, és a dir, mitjançant una manifestació o acció afirmativa. Si no és així, cal adequar-se a les noves disposicions.
La LOPDGG, en l'article 6, apartats 2 i 3, afegeix que:
- Si es vol fonamentar el tractament de les dades en el consentiment de la persona afectada per a una pluralitat de finalitats, cal que consti de manera específica i inequívoca que aquest consentiment s’atorga per a cada una d'aquestes.
- No es pot supeditar l’execució del contracte al fet que la persona afectada consenti el tractament de les dades personals per a finalitats que no tinguin relació amb el manteniment, el desenvolupament o el control de la relació contractual.
La sol·licitud del consentiment ha d’utilitzar un llenguatge clar i senzill i s’ha de distingir clarament respecte d’altres qüestions que puguin constar en la declaració escrita on es demana. Si se sol·licita el consentiment per al tractament de les dades amb diferents finalitats, s’ha de poder donar el consentiment de manera separada per a cadascuna.
La persona interessada té dret a retirar el consentiment en qualsevol moment, sense que això afecti la licitud del tractament basat en el consentiment previ a la revocació.
En els casos en què la base jurídica del tractament sigui el consentiment de la persona interessada, el responsable del tractament ha d’estar en condicions de demostrar que disposa d’aquest consentiment (art. 7 del RGPD).
Supòsits que requereixen un consentiment explícit
El RGPD estableix algunes situacions en què el consentiment de la persona interessada ha de ser explícit, que afecta casos de:
- Tractaments de categories especials de dades
- Adopció de decisions automatitzades
- Transferències internacionals de dades.
Respecte del consentiment per al tractament de categories especials de dades, la LOPDGDD, en l'article 8.1, recorda que, a fi d’evitar situacions discriminatòries, el mer consentiment de la persona afectada no és suficient per aixecar la prohibició del tractament de dades la finalitat principal del qual sigui identificar-ne la ideologia, l'afiliació sindical, la religió, l'orientació sexual, les creences o l'origen racial o ètnic.
Consentiment dels menors
El RGPD conté diverses referències al tractament de dades de menors.
En el context de serveis de la societat de la informació adreçats directament a menors, el RGPD determina que aquests poden consentir per si mateixos el tractament de les seves dades quan tinguin com a mínim 16 anys. Si són menors de 16 anys, el tractament només és lícit si el consentiment el dona o l’autoritza el titular de la pàtria potestat o tutela del menor, i en els termes atorgats. No obstant això, els estats membres de la UE poden establir per llei una edat inferior, sempre que no sigui per sota dels 13 anys.
La LOPDGDD ha establert, sense diferenciar el context, que l'edat mínima dels menors per consentir per ells mateixos és a partir dels 14 anys, tret que la llei exigeixi l'assistència dels titulars de la pàtria potestat o tutela per dur a terme l’acte o el negoci jurídic en el context del qual se sol·licita el consentiment per al tractament.
Correspon al responsable del tractament verificar que el consentiment el van donar o autoritzar els pares o tutors del menor (art. 8 del RGPD).
El llenguatge que s’utilitzi per informar els menors i per demanar-los el consentiment ha de ser clar, transparent i comprensible.
2.3 Les categories especials de dades personals
Amb el RGPD passen a formar part de les categories especials de dades, a més de les que estableix l’article 7 de l'antiga LOPD, les següents:
- Les dades genètiques (el RLOPD ja les incloïa dins les dades de salut, tot i que no totes les dades genètiques han d’estar necessàriament lligades a aspectes relacionats amb la salut).
- Les dades biomètriques adreçades a identificar de manera unívoca una persona física.
Deixen de tenir aquesta consideració, tot i tenir una regulació especial:
- Les dades relatives a la comissió d’infraccions i sancions administratives.
El RGPD prohibeix amb caràcter general els tractaments de dades que revelin:
- L’origen ètnic o racial
- Les opinions polítiques
- Les conviccions religioses o filosòfiques
- L’afiliació sindical.
També prohibeix els tractaments de:
- Dades genètiques
- Dades biomètriques adreçades a identificar de manera unívoca una persona física
- Dades relatives a la salut (el RGPD amplia el concepte de salut)
- Dades relatives a la vida sexual o a les orientacions sexuals.
No obstant això, el RGPD introdueix un seguit de circumstàncies que poden habilitar el tractament d’aquestes dades. En concret, determina que aquestes prohibicions no són aplicables quan:
- El tractament es porta a terme amb el consentiment explícit de la persona interessada, tret que el dret de la UE o de l’Estat membre no ho permeti.
- El tractament és necessari per complir obligacions o exercir drets en l’àmbit laboral, si així ho autoritza el dret de la UE o de l’Estat membre.
- El tractament és necessari per protegir interessos vitals de la persona interessada o d’un tercer si no té capacitat per consentir.
- El tractament s’efectua en l’àmbit de les activitats legítimes d’una entitat sense ànim de lucre amb finalitat política, filosòfica, religiosa o sindical, i es refereix als membres actuals o antics de l’entitat.
- El tractament es refereix a dades que la persona interessada ha fet públiques manifestament.
- El tractament és necessari per formular, exercir o defensar reclamacions o quan els tribunals actuïn en l’exercici de la seva funció judicial.
- El tractament és necessari per raons d’interès públic essencial.
- El tractament és necessari per a finalitats de medicina preventiva i del treball, diagnòstic mèdic, i prestació i gestió d’assistència sanitària, sempre que el tractament el faci un professional sanitari subjecte a secret professional o una altra persona subjecta al deure de confidencialitat.
- El tractament és necessari per raons de salut pública.
- El tractament és necessari per finalitats d’arxiu en interès públic, de recerca científica o històrica o finalitats estadístiques.
Els estats membres poden afegir condicions addicionals o limitacions al tractament de dades genètiques, de dades biomètriques o de dades relatives a la salut de les persones.
En el nostre cas, la LOPDGDD ha establert que la regulació es faci mitjançant una norma amb rang de llei quan:
- El tractament és necessari per raons d’interès públic essencial.
- El tractament és necessari per a finalitats de medicina preventiva i del treball, diagnòstic mèdic, i prestació i gestió d’assistència sanitària, sempre que el tractament el faci un professional sanitari subjecte a secret professional o una altra persona subjecta al deure de confidencialitat.
- El tractament és necessari per raons de salut pública.
Tractament de dades personals relatives a condemnes i infraccions penals
El tractament de dades personals relatives a condemnes i infraccions penals només es pot portar a terme sota la supervisió de les autoritats públiques o quan ho autoritzi el dret de la UE o de l’Estat membre, que ha d’establir garanties adequades per als drets i les llibertats de les persones interessades (art. 10 del RGPD).
En el cas del tractament de dades relatives a condemnes i infraccions penals, la LOPDGDD indica que només es pot portar a terme quan estigui emparat en una norma de dret de la Unió, en la LOPDGDD o en altres normes de rang legal. Així mateix, el registre complet de les dades referides a condemnes i infraccions penals només es pot dur a terme de conformitat amb el que estableix la regulació del sistema de registres administratius de suport a l’Administració de justícia.
Fora d'aquests casos, els tractaments de dades de condemnes i infraccions penals, així com de procediments i mesures cautelars i de seguretat connexes, només són possibles quan els portin a terme advocats i procuradors i tinguin per objecte recollir la informació facilitada pels seus clients per exercir les seves funcions.
Tractament de dades relatives a infraccions i sancions administratives
L'article 27 de la LOPDGDD estableix que el tractament de dades relatives a infraccions i sancions administratives exigeix:
- Que els responsables d’aquests tractaments siguin els òrgans competents per instruir el procediment sancionador, per declarar infraccions o per imposar sancions.
- Que el tractament es limiti a les dades estrictament necessàries per a la finalitat que aquell persegueix.
Si no es donen aquestes dues condicions, els tractaments de dades referides a infraccions i sancions administratives requereix el consentiment de la persona interessada o ha d'estar d’autoritzat en una norma amb rang de llei.
Fora dels casos anteriors, els tractaments de dades referides a infraccions i sancions administratives només són possibles quan els duguin a terme advocats i procuradors i tinguin per objecte recollir la informació facilitada pels seus clients per exercir les seves funcions.
2.4 Situacions específiques de tractament
Tractament i llibertat d’expressió i d’informació
Els estats membres han de conciliar per llei el dret a la protecció de dades amb el dret a la llibertat d’expressió i d’informació, incloent-hi el tractament amb finalitats periodístiques i d’expressió acadèmica, artística o literària, i poden establir exempcions o excepcions respecte del que disposa el RGPD en cas necessari. Cal notificar a la Comissió Europea les disposicions legislatives que s’adoptin en aquest sentit (art. 85 del RGPD).
Tractament i accés públic a documents oficials
Per conciliar l’accés del públic a documents oficials amb el dret a la protecció de dades personals, es poden comunicar les dades personals que consten en els documents oficials que es troben en poder de les autoritats i organismes, d’acord amb el que disposi la llei aplicable (art. 86 del RGPD).
La disposició addicional segona de la LOPDGDD estableix que la publicitat activa i l’accés a la informació pública que regula el títol I de la Llei 19/2013, de 9 de desembre, de transparència, accés a la informació pública i bon govern, així com les obligacions de publicitat activa que estableix la legislació autonòmica, s’han de sotmetre, quan la informació contingui dades personals, al que disposen els articles 5.3 i 15 de la Llei 19/2013, el RGPD i la llei orgànica.
Tractament en l’àmbit laboral
Mitjançant disposicions legislatives o convenis col·lectius, els estats membres poden establir normes més específiques per garantir la protecció dels drets i les llibertats en relació amb el tractament de dades en l’àmbit laboral, especialment pel que fa a contractació de personal, execució del contracte laboral, gestió, planificació i organització del treball, igualtat i diversitat en el lloc de treball, salut i seguretat en el treball, protecció dels béns dels empleats o clients, i exercici dels drets i de les prestacions relacionats amb l’ocupació i l'extinció de la relació laboral. Les normes han de prestar una atenció especial a la transparència del tractament, a la transferència de les dades dins d’un grup empresarial o d’una unió d’empreses que es dediquin a una activitat econòmica conjunta i als sistemes de supervisió en el lloc de treball.
Cada Estat membre havia de notificar a la Comissió Europea, com a màxim el 25 de maig de 2018, les disposicions legislatives que adoptés en aquest àmbit (art. 88 del RGPD).
L'article 89 de la LOPDGDD regula el dret a la intimitat davant de l'ús de dispositius de videovigilància i de gravació de sons en el lloc de treball.
Tractaments amb fins d’arxiu en interès públic, finalitats de recerca científica i històrica o finalitats estadístiques
Aquests tractaments estan subjectes a les garanties establertes al RGPD pel que fa als drets i les llibertats de la persona interessada, i en particular han de garantir el respecte al principi de minimització. Per complir aquest principi es poden utilitzar mesures com la pseudonimització o fins i tot es pot portar a terme un tractament ulterior que ja no permeti la identificació de les persones interessades, sempre que aquestes mesures permetin assolir la finalitat del tractament.
Quan es tractin dades amb finalitats de recerca científica, històrica o estadística o amb finalitats d’arxiu en interès públic, la llei pot establir excepcions als drets de les persones afectades. Les excepcions s’apliquen en cas que aquests drets impossibilitin o suposin un obstacle greu per assolir la finalitat i quan siguin necessàries per assolir-la (art. 89 del RGPD).
L'article 25 de la LOPDGDD, en el cas del tractament de dades personals que duguin a terme els organismes que tinguin atribuïdes les competències relacionades amb l’exercici de la funció estadística pública, remet al que disposa la seva legislació específica, i pel no regulat al RGPD i a la mateixa LOPDGDD.
En el cas de tractament de dades amb finalitats d’arxiu en interès públic per part de les administracions públiques, l'article 26 de la LOPDGDD indica que aquests s’han de sotmetre al que disposen el RGPD, la LOPDGDD i les especialitats que es deriven del que estableixen la Llei 16/1985, de 25 de juny, del patrimoni històric espanyol, el Reial decret 1708/2011, de 18 de novembre, pel qual s’estableix el Sistema Espanyol d’Arxius i es regula el Sistema d’Arxius de l’Administració general de l’Estat i dels seus organismes públics i el seu règim d’accés, així com la legislació autonòmica que sigui aplicable.
Protecció de dades de les esglésies i les associacions religioses
Les normes aplicables als tractaments de dades que porten a terme les esglésies, les associacions i les comunitats religioses, que estiguin vigents en el moment d’entrada en vigor del RGPD, es poden seguir aplicant sempre que no contradiguin el que disposa el RGPD. S'estableix la possibilitat que aquestes entitats estiguin subjectes al control d’una autoritat de control independent, que pot ser específica sempre que compleixi les condicions que el RGPD estableix per a les autoritats de control (art. 91 del RGPD).
La disposició addicional 22 de la LOPDGDD estableix que les autoritats públiques competents han de facilitar l’accés als arxius públics i eclesiàstics en relació amb les dades que se sol·licitin en ocasió d’investigacions policials o judicials de persones desaparegudes, i les institucions o congregacions religioses a les quals es facin les peticions d’accés han d’atendre les sol·licituds amb promptitud i diligència.
Obligacions de secret
Els estats membres poden adoptar normes específiques per fixar els poders d’investigació de les autoritats de control per obtenir del responsable i de l’encarregat del tractament l’accés a les dades personals que tracten, a la informació necessària per exercir les seves funcions i a tots els seus locals, equips i mitjans de tractament de dades, en els casos en què aquests responsables o encarregats estiguin subjectes a una obligació de secret professional i sigui necessari i proporcionat per conciliar el dret a la protecció de dades amb l’obligació de secret. L’Estat membre havia de notificar a la Comissió Europea les normes adoptades com a molt tard el 25 de maig de 2018 (art. 90 del RGPD).