12 jun
2019

Las categorías especiales de datos personales en el Reglamento General de Protección de Datos de Unión Europea


Antonio Troncoso Reigada

I. Introducción

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos -Reglamento General de Protección de Datos Personales, en adelante RGPD, regula el «Tratamiento de categorías especiales de datos personales» en el art. 9 dentro del Capítulo II, dedicado a los «Principios», después de analizar los principios relativos al tratamiento -art. 5-, la licitud del tratamiento –art. 6, las condiciones para el consentimiento –art. 7-, las condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la información –art. 8 y antes de analizar el tratamiento de datos personales relativos a condenas e infracciones penales –art. 10- (1). De una interpretación sistemática se deduce, pues, la importancia que el legislador europeo da a la regulación de las categorías especiales de datos personales. Inicialmente se puede afirmar que la regulación de las categorías especiales de datos personales en el RGPD presenta una cierta continuidad en relación con la regulación que sobre esta materia hacía el art. 8 de la Directiva 95/46/CE. De hecho, el título del art. 9 del RGPD «Tratamiento de categorías especiales de datos personales» mantiene la terminología empleada en el art. 8 de la Directiva 95/46/CE. Más diferencias presenta el art. 9 del RGPD en relación con la regulación sobre esta materia recogida en la LOPD. Esto es debido a que la LOPD, más que una transposición de la Directiva 95/46/CE, era una adaptación a ésta de la LORTAD. De hecho, la LOPD tiene una mayor conexión material con la LORTAD que con la Directiva 95/46/CE. Realmente, a la hora de llevar a cabo un análisis del derecho europeo y nacional sobre protección de datos personales, es necesario no perder de vista las relaciones entre RGPD y Directiva y entre LOPD y LORTAD. Buena muestra de ello es la expresión «datos especialmente protegidos» del art. 7 LOPD que está tomada del art. 7 LORTAD.

Para analizar las categorías especiales de datos personales en el RGPD es necesario abordar dos cuestiones: las tipologías de datos personales que entrarían dentro de estas categorías especiales de datos personales y los supuestos de legitimación del tratamiento.

II. Las categorías especiales de datos personales. Especial referencia a los datos biométricos, genéticos y relativos a la salud

El RGPD califica como categorías especiales de datos personales aquellas que «revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física» –art. 9.1-. Las categorías especiales de datos personales del RGPD siguen siendo, en términos generales, las previstas en el art. 8.1 de la Directiva 95/46/CE, que fueron traspuestas en el art. 7 LOPD, aunque definidas en el RGPD en términos algo más amplios. Desde la perspectiva de la LOPD vigente hasta ahora en nuestro país, continúan siendo datos especialmente protegidos los datos que revelen la ideología –el RGPD, siguiendo a la Directiva 95/46/CE, emplea la expresión «opiniones políticas»- y la afiliación sindical (2), religión y creencias –el RGPD, siguiendo a la Directiva 95/46/CE, habla de manera abierta de «convicciones religiosas o filosóficas»-, los datos de origen racial –el RGPD, de nuevo siguiendo a la Directiva 95/46/CE, emplean la expresión «origen étnico o racial»-, de salud y vida sexual –el RGPD no sólo habla de vida sexual sino también de algo más amplio como son las «orientaciones sexuales de una persona física» mientras que la Directiva 95/46/CE se limitaba a hablar de «datos relativos a la sexualidad»-.

La principal novedad es la inclusión de los datos genéticos y de los datos biométricos dentro de las categorías especiales de datos personales (3). Ahora bien, en el caso de los datos genéticos su consideración como categoría especial de datos personales no es una novedad entre nosotros porque el RLOPD ya calificaba la información genética de las personas como dato relacionado con su salud -art. 5.1.g)- por lo que ya entraba dentro de los datos especialmente protegidos del art. 7 LOPD. En cambio, el RGPD ha optado por regular –y definir- de manera separada los datos genéticos y los datos relativos a la salud. El RGPD define datos genéticos como «datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona» (4) –art. 4.13-, lo que supone un cierto reconocimiento de su relación con los datos de salud (5). Como señala Pérez Gómez, «la distinción introducida en el Reglamento entre dato genético y dato de salud puede explicarse sobre la base de que, en el estado actual de la ciencia, el primero se encuentra más vinculado al ámbito de la investigación (científica, civil o criminal) que al de la práctica asistencial sanitaria, donde quedaría reducida al diagnóstico, sin perjuicio de que las primeras terapias génicas comiencen a ensayarse de manera experimental, lo que aventura un muy importante desarrollo de cara al futuro. Y, efectivamente, en la práctica es en la legislación sobre investigación –como en la española L 14/2007, de 3 julio de investigación biomédica, en donde su regulación es más relevante»(6).

Por ello, la única y auténtica novedad en la atribución del carácter de categoría especial de dato personal, tanto en relación con lo previsto en la Directiva 95/46/CE como con lo regulado por la LOPD –y antes por la LORTAD- es la inclusión de los datos biométricos (7). Estos datos, que tienen un carácter principalmente identificativo, son considerados ahora una categoría especial de dato personal (8). Esto sí representa una importante primicia, que era de aplicación inmediata y efecto directo, y que no estaba prevista en el art. 7 LOPD, al que se remiten frecuentemente la legislación estatal y autonómica para la definición de los datos especialmente protegidos. Por tanto, los datos biométricos son una categoría especial de dato personal –son «datos especialmente protegidos» por usar la terminología a la que estamos acostumbrados- a partir del comienzo de la aplicación del RGPD el 25 de mayo de 2018 sin necesidad de transposición alguna, lo que desplaza la legislación estatal o autonómica que esté en contradicción (9).

Mención específica merecen los datos relativos a la salud. El RGPD define datos relativos a la salud como «datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud» -art. 4.15- (10). La única aportación que hace el RGPD en la definición de dato de salud es la consideración como dato de salud de la información referida a la «prestación de servicios de atención sanitaria», como puede ser, por ejemplo, el pago de la prestación sanitaria -aunque ésta no contenga referencia a ninguna enfermedad- o la gestión administrativa de la asistencia prestada (11), siempre que revelen información sobre su estado de salud. El Considerando 35 del RGPD precisa más esta cuestión: «Se incluye la información sobre la persona física recogida con ocasión de su inscripción a efectos de asistencia sanitaria, o con ocasión de la prestación de tal asistencia,de conformidad con la Directiva 2011/24/UE del Parlamento Europeo y del Consejo». Además, el Considerando 35 del RGPD considera dato relativo a la salud «todo número, símbolo o dato asignado a una persona física que la identifique de manera unívoca a efectos sanitarios; la información obtenida de pruebas o exámenes de una parte del cuerpo o de una sustancia corporal, incluida la procedente de datos genéticos y muestras biológicas, y cualquier información relativa, a título de ejemplo, a una enfermedad, una discapacidad, el riesgo de padecer enfermedades, el historial médico, el tratamiento clínico o el estado fisiológico o biomédico del interesado, independientemente de su fuente, por ejemplo un médico u otro profesional sanitario, un hospital, un dispositivo médico, o una prueba diagnóstica in vitro». La definición de dato de salud del RGPD no recoge todo lo previsto en la Memoria explicativa del Convenio 108 -apdo. 45- y en la Recomendación Nº R. (97) 5, del Consejo de Europa –apdo. 38-, que sí se contenían en el RLOPD. Así, el RLOPD consideraba como datos de carácter personal relacionados con la salud «las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo»(12), considerándose en particular como datos relacionados con la salud de las personas «los referidos a su porcentaje de discapacidad y a su información genética» –art.5.1.g)-. En todo caso, hay que recordar que la normativa del Consejo de Europa considera, además, como dato de salud las referencias al abuso del alcohol y de la nicotina, al consumo de drogas y al número de días de baja en el fichero de nóminas (13).

III. El tratamiento de categorías especiales de datos personales: el principio general de prohibición y la presunción de ilegitimidad

El RGPD regula el tratamiento de categorías especiales de datos personales en el art. 9 en un precepto distinto del que dedica al tratamiento de las categorías generales de datos personales –art. 6 RGPD-, distinción que también hacía la Directiva 95/46/CE –arts. 7 y 8- y su trasposición al ordenamiento jurídico español, la LOPD –arts .6 y 7- . Esto obedece, lógicamente, a que los tratamientos de datos personales de opiniones políticas, afiliación sindical, convicciones religiosas o filosóficas, origen étnico o racial, salud, genéticos, biométricos dirigidos a identificar de manera unívoca a una persona física o relativos a la vida sexual o a las orientaciones sexuales suponen una grave injerencia en el derecho a la protección de datos personales y en otros derechos fundamentales como la libertad religiosa, la libertad ideológica, la libertad sindical o el derecho a la intimidad, de los que la protección de datos personales es también una garantía institucional. De hecho, el art.7.1 de la ya derogada LOPD empezaba estableciendo que «de acuerdo con lo establecido en el apartado 2 del artículo 16 de la Constituciónnadie podrá ser obligado a declarar sobre su ideología, religión o creencias. Cuando en relación con estos datos se proceda a recabar el consentimiento [...] se advertirá al interesado acerca de su derecho a no prestarlo».

La ubicación sistemática en preceptos distintos de la regulación del tratamiento de las categorías especiales de datos personales y de las categorías generales de datos personales responde a su distinto régimen jurídico. Esta diferencia se manifiesta en el distinto título de los artículos. Si el art. 6 del RGPD dedicado a las categorías generales de datos personales lleva por título «Licitud del tratamiento» –existe una cierta presunción de que este tratamiento puede ser lícito-, lo que se corresponde con el art. 7 de la Directiva 95/46/CE, que se titulaba «Principios relativos a la legitimación del tratamiento», el art. 9 RGPD se titula a secas «Tratamientos de categorías especiales de datos personales», siguiendo también la línea del art.8 de la Directiva 95/46/CE «Categorías especiales de tratamiento». No existe aquí una presunción de legitimidad del tratamiento. De hecho, el primer apartado del art. 9 RGPD establece que «quedan prohibidos el tratamiento» de categorías especiales de datos personales, en la misma medida que lo hacía la Directiva 95/46/CE que establecía que «los Estados miembros prohibirán el tratamiento» de categorías especiales de datos personales –art. 8.1-. Por tanto, existe una presunción en el RGPD que proviene de la Directiva 95/46/CE de que los tratamientos de categorías especiales de datos personales no son conformes a derecho. Se trata de tratamientos sobre los que una sociedad debe estar alerta porque son sospechosos de ser discriminatorios. Utilizar categorías como raza, sexo, religión, opinión o cualquier otra condición o circunstancia personal o social puede vulnerar la prohibición de discriminación –art. 14 Const-, lo que requiere que estos tratamientos estén sometidos a un control estricto de legitimidad porque históricamente estas categorías han sido utilizadas para discriminar.

No obstante, el RGPD, al igual que hacía la Directiva 95/46/CE, establece que esta prohibición del tratamiento de categorías especiales de datos personales «no será de aplicación cuando concurra una de las circunstancias siguientes» – art. 9.2-, entre los que se encuentran diez supuestos distintos, que recogen un elenco tasado. La limitación a unos supuestos concretos del tratamiento legítimo de categorías especiales de datos personales es coherente con el principio general de prohibición del tratamiento de estas categorías de datos, modelo que también se encontraba en el art. 8.2 de la Directiva 95/46/CE y que se había trasladado al art. 7 LOPD. Existen unos supuestos de legitimación del tratamiento específicos para las categorías especiales de datos personales – art. 9 RGPD- distintos de los criterios de licitud del tratamiento dedicados a las categorías generales de datos personales –art. 8 RGPD-, siguiendo también en este punto el criterio de la Directiva 95/46/CE. Lo más importante es que no se incluye entre los supuestos de legitimación del tratamiento de categorías especiales de datos personales ninguna cláusula abierta de las previstas como criterios de licitud del tratamiento para las categorías generales de datos personales. Así, hay que subrayar la inaplicación para el tratamiento de categorías especiales de datos personales de la cláusula de la satisfacción del interés legítimo del responsable –art.6.1.f)- o que el tratamiento sea necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales –art. 6.1.b)-.

IV. El consentimiento explícito como supuesto de tratamiento de categorías especiales de datos personales

El primer supuesto que legitima el tratamiento de categorías especiales de datos personales es que el interesado haya dado «su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados» –art. 9.2.a)-. Este supuesto de legitimidad del tratamiento de categorías especiales de datos personales, como hemos señalado antes, está también previsto en la Carta de los Derechos fundamentales de la Unión Europea que señalaba que los datos se tratarán «sobre la base del consentimiento de la persona afectada» -art. 8.2-. La diferencia en este caso con el consentimiento como criterio de licitud del tratamiento de las categorías generales de datos personales –art.6.1.a)- es la exigencia añadida de que el consentimiento sea explícito. Por tanto, para que el tratamiento de categorías especiales de datos personales sea lícito, no es suficiente la definición del consentimiento del interesado prevista en el art. 4.11 RGPD como «toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen» (14). Esto impide el consentimiento tácito pero no así el consentimiento implícito que serviría como supuesto de legitimación del tratamiento de categorías generales de datos personales pero no de las categorías especiales de datos personales porque estas últimas requerirían el consentimiento explícito (15).

Esta exigencia de que el consentimiento fuera explícito también estaba presente en la Directiva 95/46/CE para justificar el tratamiento de categorías especiales de datos personales –art. 8.2.a)-. No obstante, la LOPD, al trasponer este precepto diferenciaba, dentro de estas categorías especiales de datos personales, los datos de ideología, afiliación sindical, religión o creencias cuyo tratamiento requería no sólo un consentimiento expreso sino expreso y escrito –art. 7.2- y los datos de origen racial, salud y vida sexual cuyo tratamiento requería consentimiento expreso–art. 7.3-. Realmente, el art. 7 LOPD. más que una trasposición del art. 8 de la Directiva 95/46/CE, era una continuación de la regulación de los datos especialmente protegidos presente en el art. 7 LORTAD, que ya establecía esta distinción que se trasladó después a la LORTAD. Al tratarse de una Directiva, entendemos que el Estado tenía un margen de maniobra para establecer una exigencia adicional de consentimiento expreso y escrito en algunos tratamientos de datos que revelen la ideología, afiliación sindical, religión y creencias al afectar a la libertad ideológica y religiosa y a la libertad sindical reconocidas en los arts. 16 y 28 Const.

Así, el art.7.1 LOPD, además de recordar en el primer párrafo la previsión constitucional del art. 16.2 Const de que «nadie podrá ser obligado a declarar sobre su ideología, religión o creencias», añade en un segundo párrafo que «cuando en relación con estos datos se proceda a recabar el consentimiento [...] se advertirá al interesado acerca de su derecho a no prestarlo». La Agencia Española de Protección de Datos había señalado que «el régimen establecido en el art. 7.2 [la exigencia de un consentimiento expreso y escrito] parece traer su causa directa de lo dispuesto en el artículo 7.1 de la propia Ley Orgánica que establece que «de acuerdo con lo establecido en el apartado 2 del artículo 16 de la Constitución, nadie podrá ser obligado a declarar sobre su ideología, religión o creencias (16)». A nuestro juicio, la redacción contenida en el art. 16.2 Cons de que «nadie podrá ser obligado a declarar sobre su ideología, religión o creencias», está vinculada a la previsión contenida en el aptdo. 1 del art. 16 Const que establece que «se garantiza la libertad ideológica, religiosa y de culto de los individuos y las comunidades». La LOPD establecía dos medidas, cuando se proceda a recabar el consentimiento para el tratamiento de datos de ideología, religión o creencias, para garantizar esa libertad de que nadie va a ser obligado a declarar sobre su ideología religión o creencias: la primera era una exigencia relativa al principio de información al interesado, con la introducción de la advertencia al interesado de su derecho a no prestarlo; y la segunda medida era una exigencia relativa al consentimiento, no siendo suficiente que sea expreso sino que tenía que ser también escrito.

Este supuesto de legitimidad del tratamiento de categorías especiales de datos personales en virtud del consentimiento explícito contenida en el RGPD no es una regla absoluta porque el art. 9.2.a) in fine establece la excepción de que «el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada enel apartado 1 no puede ser levantadapor el interesado», una previsión semejante a la incluida en el art. 8.2.a) de la Directiva 95/46/CE. El Derecho de la Unión o de los Estados miembros puede establecer que el tratamiento de todas o de alguna de las categorías especiales de datos personales no es lícito aunque cuente con el consentimiento explícito del interesado. Es decir, que el consentimiento explícito del interesado no sirva o no sea suficiente para reputar como lícito el tratamiento de categorías especiales de datos personales. De esta forma, el RGPD deja un margen de maniobra a los Estados en un ámbito que afecta a los derechos fundamentales, especialmente, a la libertad ideológica, religiosa y sindical y a la prohibición de discriminación por raza o por orientación sexual. Este margen ha permitido que la LOPDGDD establezca que «a fin de evitar situaciones discriminatorias, el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico» –art. 9.1-. Por tanto, el consentimiento explícito no es suficiente para legitimar los tratamientos de algunas categorías especiales de datos personales antes señaladas aunque sí para otras –datos de salud, datos genéticos y datos biométricos- si estos tratamientos tienen como finalidad principal –no meramente accesoria- identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico. Ahora bien, la LOPDGDD también aclara que «lo dispuesto en el párrafo anterior no impedirá el tratamiento de dichos datos al amparo de los restantes supuestos contemplados en el art. 9.2 del Reglamento (UE) 2016/679, cuando así proceda –art. 9.1 in fine-.

Inicialmente de una lectura del tenor literal del art.9.2.a) in fine no parece claro o no se deduce que el RGPD autorice a los Estados a endurecer la forma de prestación del consentimiento y exigir que sea escrito para una clase o para todas las categorías especiales de datos personales. Esto pudo establecerse en el ámbito de una Directiva que es una norma de fines y no tanto en el de un Reglamento que es obligatorio en todos sus elementos y que tiene como uno de sus objetivos clarificar la regla del consentimiento como criterio de licitud de los tratamientos, superando la divergencia existente en Europa en este aspecto. Ahora bien, si el RGPD permite a los Estados miembros excepcionar el consentimiento explícito como supuesto de licitud para el tratamiento de categorías especiales de datos personales, también puede haber permitido endurecer el régimen jurídico de la prestación del consentimiento exigiendo un consentimiento expreso y escrito bajo el principio jurídico de qui potest plus, potest minus -quien puede lo más, puede lo menos-. En todo caso, el mayor rigor en el consentimiento o en la información al interesado no es una exigencia constitucional del art. 16.2 Const que se limita afirmar que «nadie podrá ser obligado a declarar sobre su ideología, religión o creencias» por lo que la previsión del art.9.2.a) del RGPD no entra en contradicción con la Const.

Pues bien, la LOPDGDD al regular el tratamiento de las categorías especiales de datos personales basado en el consentimiento del afectado –art. 9.1- no incluye el requisito del consentimiento expreso y escrito para el tratamiento de los datos de opiniones políticas, convicciones religiosas o filosóficas o afiliación sindical que antes estaba presente en el art. 7.2 LOPD. Esto es lo que puede parecer a simple vista. Sin embargo, la Disp. final 11ª.Dos de la LOPDGDD, que modifica la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, en relación con el ejercicio del derecho de acceso cuando la información solicitada tuviera datos especialmente protegidos, redacta de nuevo el art. 15.1, primer párrafo, suprimiendo la mención al art. 7 LOPD pero manteniendo la regla del consentimiento expreso y escrito. Así, se establece que «si la información solicitada contuviera datos personales que revelen la ideología, afiliación sindical, religión o creencias, el acceso únicamente se podrá autorizar en caso de que se contase con el consentimiento expreso y por escrito del afectado, a menos que dicho afectado hubiese hecho manifiestamente públicos los datos con anterioridad a que se solicitase el acceso». Esto lleva a la situación paradójica de que sea suficiente el consentimiento expreso para el tratamiento o la cesión por un tercero de datos de opiniones políticas, convicciones religiosas o filosóficas o afiliación sindical pero para el ejercicio de un derecho de acceso a información administrativa en la que se contuviera esta clase de datos serían necesario el consentimiento expreso y escrito. Esto no parece ser algo buscado de propósito sino un problema de técnica legislativa característico de la modificación de los proyectos de ley en el trámite de enmiendas.

El consentimiento explícito que da el interesado es para el tratamiento de categorías especiales de datos personales «con uno o más de los fines especificados» –art.9.2.a) RGPD- de forma que cuando el tratamiento es para varios fines, debe darse el consentimiento explícito para todos ellos. Además, la regulación de las condiciones para el consentimiento del art. 7 del RGPD debe entenderse aplicable al consentimiento explícito. Así, en primer lugar, «cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales» –art. 7.1 RGPD-. En segundo lugar, el consentimiento debe ser libre de manera que el consentimiento no es una base jurídica válida cuando existe un desequilibrio entre el interesado y el responsable del tratamiento, lo que puede ocurrir en las relaciones laborales o en el ámbito sanitario donde hasta hace poco tiempo no existía una autonomía del paciente. Así, se establecen unas condiciones que garanticen que el consentimiento es libre y específico –art. 4.11 RGPD-. Para evaluar si el consentimiento se ha dado libremente, «se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato» –art. 7.4 RGPD- (17). Es especialmente importante que la asistencia sanitaria nunca se supedite al consentimiento para otras finalidades distintas como la investigación. En tercer lugar, el consentimiento debe ser específico. Así, la CDFUE señala que los datos «se tratarán de modo leal, para fines concretos» –art. 8.2-. Además, el RGPD trata de que el consentimiento para el tratamiento de datos personales se distinga de cualquier otra dación de consentimiento para otro asunto. El RGPD establece que «si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud del consentimiento se presentará de forma que se distinga claramente de los demás asuntos» -art. 7.2-. Esto también es relevante en el ámbito sanitario donde hay que distinguir el consentimiento para el acto médico –vinculado a la autonomía del paciente- y el consentimiento como supuesto de licitud del tratamiento de datos personales para la asistencia sanitaria o para la investigación. El Considerando 32 del RGPD señala que «el consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines (18). Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos»(19). En todo caso, «no será vinculante ninguna parte de la declaración que constituya infracción del presente Reglamento» –art. 7.2 in fine RGPD-. En cuarto lugar, la solicitud de consentimiento se presentará «de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo» –art. 7.2 RGPD-. Finalmente, «el interesado tendrá derecho a retirar su consentimiento en cualquier momento» –art. 7.3 RGPD-. La retirada del consentimiento, por ejemplo, en el ámbito de la investigación no afectará a la licitud del tratamiento basado en el consentimiento hasta ese momento.

V. Otros supuestos de tratamiento de categorías especiales de datos personales

El art. 9.2 RGPD contiene otros supuestos de licitud de los tratamientos de categorías especiales de datos personales (20). De esta forma, la prohibición del tratamiento de categorías especiales de datos personales presente en el art. 9.1 del RGPD no será de aplicación cuando concurra alguna de los supuestos mencionados expresamente en el art. 9.2 RGPD.

El apartado 9.2.b) recoge que «el tratamiento [sea] necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboraly de la seguridad y protección social,en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembrosque establezca garantíasadecuadas del respetode los derechos fundamentales y de los intereses del interesado», lo que se aplica a los tratamientos de categorías especiales de datos en el ámbito de la seguridad social y de los servicios sociales.

El apartado 9.2.c) del RGPD señala que «el tratamiento [sea] necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento», una previsión que pone de manifiesto la preferencia del derecho a la vida y que es aplicable plenamente al ámbito sanitario sino fuera porque existen otras habilitaciones normativas más específicas.

El apartado 9.2.d) del RGPD establece el supuesto de que «el tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados». Hay que recordar que el art. 7 LOPD, en aplicación del art. 8 de la Directiva, excluía del consentimiento expreso y por escrito a los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas cuya finalidad sea política, filosófica, religiosa o sindical «en cuento a los datos relativos a sus asociados y miembros». Como pusimos de manifiesto en el pasado, es necesario establecer límites al derecho a la cancelación de datos personales cuando afecta a la libertad religiosa. Así, la Iglesia Católica y las distintas comunidades y órdenes religiosas no tienen que cancelar toda su información sobre antiguos miembros, teniendo derecho a guardar constancia de quiénes han pertenecido a esa institución, todo ello en virtud del derecho fundamental a la libertad religiosa, de titularidad individual y colectiva y que tiene dentro de su contenido la facultad de disponer de un mínimo de información necesaria para salvaguardar los fines de la institución, información que es necesaria para preservar los intereses jurídicos que dan vida a este derecho y que en caso contrario quedarían desprotegidos. Este planteamiento, que defendimos en el pasado y que se visto expresamente reflejado en el art. 9.2.d) RGPD, obliga a modificar la doctrina del Tribunal Supremo recogida en la Sentencia 7583/2011, de 1 de noviembre (21).

El apartado 9.2.e) del RGPD establece el supuesto de que «el tratamiento se refiera a datos personales que el interesado ha hecho manifiestamente públicos». Así, es posible el tratamiento de categorías especiales de datos personales, como la ideología o la salud cuando el interesado los haya hecho públicos, por ejemplo, a través de los medios de comunicación o mediante redes sociales abiertas como twitter, wordpress o blogger. Esta previsión también se encontraba presente en la Directiva 95/46/CE pero no fue transpuesta en la LOPD, aunque a nuestro juicio tenía una eficacia directa porque era una obligación incondicional y suficientemente precisa (22);

El apartado 9.2.f) del RGPD prevé el supuesto de que «el tratamiento [sea] necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial», lo que sería también aplicable a los médicos que piden el acceso a historias clínicas de pacientes a los que ya no dan asistencia para defenderse ante demandas judiciales.

El art.9.2.g) del RGPD establece el supuesto de que «el tratamiento [sea] necesario por razones de un interés público esencial, sobre la base del Derechode la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado». Esta previsión justifica el tratamiento de categorías especiales de datos personales, específicamente de datos de salud para una actividad no sanitaria cuando existe una habilitación legal como los tratamientos de datos de salud, por ejemplo, para la actividad aseguradora (23), el control de alcoholemia en virtud de la Ley de tráfico y seguridad vial (24), o para control antidopaje en virtud de la Ley de Medicina Deportiva (25). La habilitación legal como supuesto que legitimaba el tratamiento de todas las categorías especiales de datos personales se encontraba también recogido en la Directiva 95/46/CE. Sin embargo la LOPD establecía que la habilitación legal sólo podía autorizar el tratamiento de datos de origen racial, salud o vida sexual, pero no de los datos de ideología, religión o creencias –art. 7.3- (26). Esta salvedad tenía una clara justificación por el hecho de que se tratase de una Directiva que deja un margen de maniobra a los Estados en este punto. En todo caso, el RGPD también deja un margen a los Estados en materias de interés público y, especialmente, en la legitimación al tratamiento de datos que suponga un límite a la libertad ideológica y religiosa. Sin embargo, lo que llama la atención es que la LOPDGDD no establezca ninguna regulación específica para los tratamientos de datos especialmente protegidos, salvo la ya señalada del art. 9 para limitar el consentimiento explícito (27), por lo que es de aplicación los criterios de legitimación del tratamiento de categorías especiales de datos personales, entre ellos que el tratamiento sea «necesario por razones de interés público esencial, sobre la base del Derecho de la Unión o de los Estados» –art. 9.2.f)- para todas las categorías especiales de datos personales, al mismo tiempo que circunscribe el acceso a información administrativa en virtud de una norma con rango de ley únicamente a los datos de origen racial, salud, vida sexual, datos genéticos, biométricos o relativos a comisiones de infracciones penales o administrativas (28).

Finalmente el RGPD regula en el art. 9.2.h), i) y j) los supuestos de tratamiento de categorías especiales de datos personales relacionados con el ámbito sanitario: la asistencia sanitaria, la salud pública y la investigación en salud y biomédica. La legitimidad de los tratamientos de categorías especiales de datos personales en el ámbito sanitario no puede pivotar sobre el consentimiento del interesado, sino sobre el principio de legalidad, en virtud de la obligación constitucional del Estado de proteger la vida. Para cumplir esta obligación de protección el Estado debe adoptar suficientes medidas de naturaleza normativa, que permitan ofrecer una protección eficaz para la vida humana y que van dirigidas también a los servicios médicos y a los servicios sociales, que pueden tener incluso una responsabilidad por inacción en virtud de su obligación constitucional de proteger la vida (29).

Al igual que en el caso de los tratamientos por razones de un interés público esencial –art. 9.2.g)-, el RGPDestablece que el Derecho de la Unión o de los Estados miembros puede considerar necesario un tratamiento de categorías especiales de datos para la asistencia sanitaria –art. 9.2.h)-, para la actividad de salud pública –art. 9.2.i)- y para la investigación científica –art. 9.2.j)- (30). Ahora bien, la Ley debe respetar el principio de proporcionalidad. Así, «debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado». Hay que señalar que, de nuevo el RGPD, al igual que hacía el art. 8.3 de la Directiva 95/46/CE y el art. 7.6 LOPD sí autoriza para estas finalidades el tratamiento de todas las categorías especiales de datos personales y no sólo de los datos de salud o de los datos genéticos. Lo que parecía una previsión excesiva que denotaba una mala técnica legislativa se ha convertido en una opción normativa consolidada, que evidentemente tiene que respetar el principio de calidad (31). Así, el tratamiento de otras categorías especiales de datos personales distintos a los datos de salud o de los datos genéticos sólo es legítima, como señala el art. 9.2.h), i) y j), cuando «el tratamiento sea necesario» para los fines antes descritos.