El informe jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la aplicación de la normativa sobre protección de datos personales en el marco de la actuación de la Dirección de Competencia (DC) de la Comisión Nacional de los Mercados y la Competencia (CNMC). El informe se centra en dos cuestiones principales: la determinación de la base jurídica que legitime el tratamiento de datos personales y el ejercicio de los derechos de los interesados.
### Base Jurídica del Tratamiento de Datos
El informe destaca que la normativa aplicable es el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales. El RGPD extiende su protección a las personas físicas, incluyendo a los empresarios individuales, y excluye a las personas jurídicas, aunque sí protege a las personas físicas que las representan.
El RGPD establece seis bases jurídicas para el tratamiento de datos personales, siendo el consentimiento una de ellas, pero no la única ni la principal. Otras bases incluyen el cumplimiento de una obligación legal, el interés público o el ejercicio de poderes públicos. En el caso de la CNMC, el tratamiento de datos se legitima principalmente en la letra e) del artículo 6.1 del RGPD, que permite el tratamiento necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos.
### Ejercicio de los Derechos de los Interesados
El informe también analiza el cumplimiento del deber de información a los interesados, regulado en los artículos 13 y 14 del RGPD. La CNMC, como responsable del tratamiento, debe informar a los interesados sobre la identidad del responsable, los fines del tratamiento, los destinatarios de los datos, entre otros aspectos. Sin embargo, existen limitaciones a este deber de información cuando los datos se obtienen de terceros y no directamente del interesado, especialmente en el contexto de investigaciones y procedimientos sancionadores.
En cuanto al ejercicio de los derechos de acceso, rectificación, supresión, limitación del tratamiento y oposición, el informe señala que la normativa de defensa de la competencia no establece limitaciones específicas a estos derechos. No obstante, se deben considerar las limitaciones generales previstas en el artículo 23 del RGPD, especialmente en lo que respecta a la seguridad pública y la prevención de infracciones penales.
### Transferencia de Información
El informe aborda la transferencia de información con otras autoridades, destacando que los datos obtenidos por la CNMC solo pueden ser cedidos a determinadas entidades, como el Ministerio competente, las Comunidades Autónomas, la Comisión Europea y los tribunales, siempre que los datos tengan carácter confidencial.
### Tratamiento de Datos para Archivo y Estadísticas
El tratamiento de datos para fines de archivo en interés público y fines estadísticos se considera compatible con los fines iniciales de su recogida, siempre que se adopten las garantías adecuadas, como la seudonimización o anonimización de los datos. La normativa nacional, como la Ley 16/1985 del Patrimonio Histórico Español y la Ley 39/2015 de Procedimiento Administrativo Común, establece obligaciones específicas de archivo y conservación de documentos, legitimando el tratamiento de datos personales en estos contextos.
### Conclusión
El informe concluye que la CNMC debe ajustar sus prácticas de tratamiento de datos personales a las exigencias del RGPD y la normativa nacional, asegurando que las bases jurídicas del tratamiento sean claras y que se respeten los derechos de los interesados. La CNMC debe informar adecuadamente a los interesados y garantizar que las transferencias de datos se realicen conforme a la normativa vigente, especialmente en lo que respecta a la confidencialidad y seguridad de la información.