Interés legítimo, el cajón de sastre del RGPD

Desde que entró en vigor el Reglamento General de Protección de Datos (en adelante RGPD), y más aún, desde su aplicabilidad de forma obligatoria el día 25/06/2018, son muchas las dudas, por parte de las empresas y organizaciones, acerca de utilizar como base jurídica para sus tratamientos el denominado “interés legítimo”. Aunque a primera vista puede parecer un tema nuevo, lo cierto es que no se trata de ninguna novedad del RGPD, sino que este concepto ya estaba presente en la anterior Directiva 95/46.

El Reglamento exige que el consentimiento sea inequívoco y se otorgue de forma positiva por parte del interesado, actualmente, en aquellos casos en los cuales no se cuenta con un consentimiento otorgado con tales características y en los que, en principio, no tiene cabida ninguna otra base jurídica se está pretendiendo utilizar el “interés legítimo” como base jurídica legitimadora alternativa. Esta gran indeterminación que suscita el “interés legítimo”, puede conllevar a utilizar esta base jurídica como un cajón de sastre, lo cual puede conllevar una serie de problemas asociados para las empresas y organizaciones que pueden materializarse en forma de denuncias por parte de los interesados y sanciones por parte de la autoridad de control correspondiente.

Este concepto difuso es introducido en el artículo 6.1.f del RGPD, en concreto, cita lo siguiente “el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.”; y no debe extenderse su aplicación, de tal forma que resulte la opción de referencia a la que acudir a la hora de legitimar un tratamiento de datos de carácter personal por parte de un responsable del tratamiento. Es preciso realizar un estudio de cada uno de los tratamientos de datos de carácter personal para concretar la base jurídica que mejor se ajuste a dicho tratamiento, y abordar el “interés legítimo” como un fundamento jurídico más, y no pecar por exceso de aplicación del mismo.

Este acto de estudio requiere una ponderación entre el interés del responsable del tratamiento o terceros y los derechos y libertades de los interesados. Esta situación deriva en una ponderación meticulosa, que no consiste solo en una evaluación directa entre ambos intereses, sino que, se deben tener en cuenta diversos factores para tomar la decisión final.

Antes de empezar con dicha evaluación, debe definirse el concepto de interés legítimo, en el ámbito de la protección de datos; es un concepto que abarca un recorrido y significado más amplio que la mera base legítima que permite al responsable del tratamiento llevar a cabo dicho tratamiento. Además, este interés tiene que ser real, concreto, lícito y actual, es decir, no tiene cabida un potencial interés teórico o especulativo, debe estar articulado de una forma clara y concisa, por lo que debe estar lo suficientemente delimitado y definido, para poder ponerlo en contraprestación a los intereses y los derechos fundamentales del interesado y ser realizado de acuerdo con la legislación aplicable en materia de protección de datos o cualquier otra legislación o normativa de aplicación, que no atente contra el orden público, ni sea contrario a los principio generales del Derecho.

No cobra sentido alguno la creación de una lista predefinida y cerrada de intereses legítimos, ya que estos pueden ser infinitos atendiendo al responsable del tratamiento, finalidad, ámbito de la empresa, sector, etc. Sin embargo, el RGPD marca, a modo de ejemplo, algunos supuestos concretos de interés legítimo en los Considerandos contenidos entre el 47 y el 50 ambos incluidos. Algunos de estos ejemplos son:
  • La mercadotecnia directa.
  • La prevención del fraude.
  • Garantizar la seguridad de la red y de la información, así como de los servicios proporcionados a través de esos sistemas o redes de información.
  • Compartir datos personales dentro de un mismo grupo empresarial o entre entidades afiliadas a un mismo organismo central con fines administrativos internos.
  • La indicación de posibles actos delictivos o amenazas para la seguridad pública, así como la transmisión a la autoridad competente de los datos relacionados con dichos actos delictivos o amenazas para la seguridad pública.
Además, la nueva LOPD-GDD recoge los siguientes supuestos:
  • El tratamiento de los datos de empresarios individuales cuando se refieran a ellos en dicha condición y no se traten para entablar una relación con los mismos como personas físicas.
  • El tratamiento de los datos de las personas físicas que presten servicios en una persona jurídica, siempre que se trate de los datos mínimos imprescindibles para su localización profesional y se utilicen para mantener la relación con la persona jurídica.

Por otro lado, el GT29, en su Dictamen 06/2014, de 9 de abril de 2014, sobre el concepto de interés legítimo del responsable del tratamiento de los datos en virtud del artículo 7 de la Directiva 95/46/CE, expone más supuestos considerados como posibles tratamientos que pueden tener como base jurídica la fórmula del “interés legítimo”.

Una vez definido este concepto tan abstracto y presentados algunos ejemplos de tratamientos que pueden tener como base jurídica legitimadora el interés legítimo, la primera consideración a tener en cuenta es responder a la siguiente pregunta "¿Puede el responsable del tratamiento satisfacer su interés legítimo por otros medios menos invasivos?"; para ello se deben realizar los correspondientes análisis de proporcionalidad de las medidas técnicas y organizativas que se pretenden implantar. Si la respuesta a dicha cuestión es en sentido negativo, puede ocurrir que el tratamiento que se desea llevar a cabo sea un tratamiento no legitimado, o bien, que se deba buscar otra base jurídica de las expuestas en el artículo 6 del RGPD para legitimar dicho tratamiento; por otra parte, si la respuesta es afirmativa, es el momento de realizar la ponderación entre los distintos factores definidos anteriormente.

Para llevar a cabo esta ponderación y dilucidar si realmente existe un interés legítimo que pueda ser consistente como base jurídica de un tratamiento, se debe tener en cuenta:
  • La expectativa de los interesados
  • El impacto para los interesados
  • La relación interesados-responsable
  • Otras cuestiones más específicas del tratamiento específico sobre el cual se lleva a cabo el estudio.
Una vez valorados los criterios anteriores se obtendrá una respuesta provisional, sin tener en cuenta la posibles medidas técnicas y organizativas que el responsable pueda implantar para llevar a cabo el tratamiento, por lo que, como última fase de este análisis, es necesario valorar los riesgos y consecuencias en función de dichas medidas técnicas y organizativas implantadas por el responsable. Algunas de estas medidas pueden ser:
  • La utilización de técnicas de anonimización de los datos de carácter personal.
  • Cifrado de datos, que eviten la identificación directa de los mismos.
  • Formación en materia de seguridad y protección de datos de forma periódica a los empleados.
  • Procedimiento de backup o rollback que permita recuperar la máxima cantidad de información en el menor tiempo posible ante un incidente.
  • Facilitar a los interesados información transparente y más amplia que la exigida en el RGPD sobre el tratamiento de datos.
  • Etc.
Una vez valorados los criterios anteriores, el responsable dispone de toda la información necesaria para determinar si prevalece su interés legítimo sobre los derechos y libertades de los interesado o no. Si de una forma clara es así, se puede concluir que el tratamiento de datos está legitimado en base a un interés legítimo por parte del responsable, siempre cumpliendo con el resto de las obligaciones expuestas en el RGPD; en caso contrario, el responsable puede tener en cuenta una serie de garantías adicionales para determinar de forma clara si existe interés legítimo o no. Esto requerirá una evaluación ulterior y la implantación de medidas tanto técnicas como organizativas adicionales.

Es recomendable y conviene documentar todo este proceso de determinación del interés legítimo como base jurídica de un tratamiento.

Por último, cabe recordar que con independencia de que se den las condiciones y requisitos necesarios para basar el tratamiento en un interés legítimo, hay que cumplir con el resto de obligación estipuladas en el Reglamento General de Protección de Datos.

Ante la decisión de utilizar el interés legítimo como base legitimadora sin realizar previamente el estudio anteriormente descrito, puedo conllevar que, ante una posible investigación por parte de la autoridad de control correspondiente, en caso de España esta autoridad de control es la Agencia Española de Protección de Datos, se haga muy difícil la defensa del uso de esta base, lo que puede abocar en una sanción económica considerada dada la estructura y clasificación de sanciones recogida en el reglamento. Es por ello, que siempre que se requiera basar un tratamiento en un interés legítimo, es importante realizar la ponderación descrita y dejar todo el proceso documentado justificando cada decisión.



Autor: Sergio Moreno - PCIP, CCNA
Dpto. Consultoría

No hay comentarios:

Publicar un comentario