El Reglamento exige que el consentimiento sea inequívoco y se otorgue de forma positiva por parte del interesado, actualmente, en aquellos casos en los cuales no se cuenta con un consentimiento otorgado con tales características y en los que, en principio, no tiene cabida ninguna otra base jurídica se está pretendiendo utilizar el “interés legítimo” como base jurídica legitimadora alternativa. Esta gran indeterminación que suscita el “interés legítimo”, puede conllevar a utilizar esta base jurídica como un cajón de sastre, lo cual puede conllevar una serie de problemas asociados para las empresas y organizaciones que pueden materializarse en forma de denuncias por parte de los interesados y sanciones por parte de la autoridad de control correspondiente.
Este concepto difuso es introducido en el artículo 6.1.f del RGPD, en concreto, cita lo siguiente “el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.”; y no debe extenderse su aplicación, de tal forma que resulte la opción de referencia a la que acudir a la hora de legitimar un tratamiento de datos de carácter personal por parte de un responsable del tratamiento. Es preciso realizar un estudio de cada uno de los tratamientos de datos de carácter personal para concretar la base jurídica que mejor se ajuste a dicho tratamiento, y abordar el “interés legítimo” como un fundamento jurídico más, y no pecar por exceso de aplicación del mismo.
Este acto de estudio requiere una ponderación entre el interés del responsable del tratamiento o terceros y los derechos y libertades de los interesados. Esta situación deriva en una ponderación meticulosa, que no consiste solo en una evaluación directa entre ambos intereses, sino que, se deben tener en cuenta diversos factores para tomar la decisión final.
Antes de empezar con dicha evaluación, debe definirse el concepto de interés legítimo, en el ámbito de la protección de datos; es un concepto que abarca un recorrido y significado más amplio que la mera base legítima que permite al responsable del tratamiento llevar a cabo dicho tratamiento. Además, este interés tiene que ser real, concreto, lícito y actual, es decir, no tiene cabida un potencial interés teórico o especulativo, debe estar articulado de una forma clara y concisa, por lo que debe estar lo suficientemente delimitado y definido, para poder ponerlo en contraprestación a los intereses y los derechos fundamentales del interesado y ser realizado de acuerdo con la legislación aplicable en materia de protección de datos o cualquier otra legislación o normativa de aplicación, que no atente contra el orden público, ni sea contrario a los principio generales del Derecho.
No cobra sentido alguno la creación de una lista predefinida y cerrada de intereses legítimos, ya que estos pueden ser infinitos atendiendo al responsable del tratamiento, finalidad, ámbito de la empresa, sector, etc. Sin embargo, el RGPD marca, a modo de ejemplo, algunos supuestos concretos de interés legítimo en los Considerandos contenidos entre el 47 y el 50 ambos incluidos. Algunos de estos ejemplos son:
- La mercadotecnia directa.
- La prevención del fraude.
- Garantizar la seguridad de la red y de la información, así como de los servicios proporcionados a través de esos sistemas o redes de información.
- Compartir datos personales dentro de un mismo grupo empresarial o entre entidades afiliadas a un mismo organismo central con fines administrativos internos.
- La indicación de posibles actos delictivos o amenazas para la seguridad pública, así como la transmisión a la autoridad competente de los datos relacionados con dichos actos delictivos o amenazas para la seguridad pública.
- El tratamiento de los datos de empresarios individuales cuando se refieran a ellos en dicha condición y no se traten para entablar una relación con los mismos como personas físicas.
- El tratamiento de los datos de las personas físicas que presten servicios en una persona jurídica, siempre que se trate de los datos mínimos imprescindibles para su localización profesional y se utilicen para mantener la relación con la persona jurídica.
Por otro lado, el GT29, en su Dictamen 06/2014, de 9 de abril de 2014, sobre el concepto de interés legítimo del responsable del tratamiento de los datos en virtud del artículo 7 de la Directiva 95/46/CE, expone más supuestos considerados como posibles tratamientos que pueden tener como base jurídica la fórmula del “interés legítimo”.
Una vez definido este concepto tan abstracto y presentados algunos ejemplos de tratamientos que pueden tener como base jurídica legitimadora el interés legítimo, la primera consideración a tener en cuenta es responder a la siguiente pregunta "¿Puede el responsable del tratamiento satisfacer su interés legítimo por otros medios menos invasivos?"; para ello se deben realizar los correspondientes análisis de proporcionalidad de las medidas técnicas y organizativas que se pretenden implantar. Si la respuesta a dicha cuestión es en sentido negativo, puede ocurrir que el tratamiento que se desea llevar a cabo sea un tratamiento no legitimado, o bien, que se deba buscar otra base jurídica de las expuestas en el artículo 6 del RGPD para legitimar dicho tratamiento; por otra parte, si la respuesta es afirmativa, es el momento de realizar la ponderación entre los distintos factores definidos anteriormente.
Para llevar a cabo esta ponderación y dilucidar si realmente existe un interés legítimo que pueda ser consistente como base jurídica de un tratamiento, se debe tener en cuenta:
- La expectativa de los interesados
- El impacto para los interesados
- La relación interesados-responsable
- Otras cuestiones más específicas del tratamiento específico sobre el cual se lleva a cabo el estudio.
- La utilización de técnicas de anonimización de los datos de carácter personal.
- Cifrado de datos, que eviten la identificación directa de los mismos.
- Formación en materia de seguridad y protección de datos de forma periódica a los empleados.
- Procedimiento de backup o rollback que permita recuperar la máxima cantidad de información en el menor tiempo posible ante un incidente.
- Facilitar a los interesados información transparente y más amplia que la exigida en el RGPD sobre el tratamiento de datos.
- Etc.
Es recomendable y conviene documentar todo este proceso de determinación del interés legítimo como base jurídica de un tratamiento.
Por último, cabe recordar que con independencia de que se den las condiciones y requisitos necesarios para basar el tratamiento en un interés legítimo, hay que cumplir con el resto de obligación estipuladas en el Reglamento General de Protección de Datos.
Ante la decisión de utilizar el interés legítimo como base legitimadora sin realizar previamente el estudio anteriormente descrito, puedo conllevar que, ante una posible investigación por parte de la autoridad de control correspondiente, en caso de España esta autoridad de control es la Agencia Española de Protección de Datos, se haga muy difícil la defensa del uso de esta base, lo que puede abocar en una sanción económica considerada dada la estructura y clasificación de sanciones recogida en el reglamento. Es por ello, que siempre que se requiera basar un tratamiento en un interés legítimo, es importante realizar la ponderación descrita y dejar todo el proceso documentado justificando cada decisión.
Autor: Sergio Moreno - PCIP, CCNA
Dpto. Consultoría
