mano con una lápiz que marca una casilla

¿Es posible tratar datos personales sin el consentimiento de su titular?

Si. 

La base legitimadora puede ser el interés legítimo.

En cuanto a las indicaciones claras y concretas sobre los requisitos que debe cumplir, en cada caso, el consentimiento, te recomiendo este post.

En efecto, las empresas afrontan la disyuntiva de acogerse a otra de las bases legitimadoras, o bien repetir de nuevo todo el proceso de consecución de consentimientos.

La realidad es que el interés legítimo como base de tratamiento no es algo nuevo.

Por ejemplo: la facultad de control del empresario

No es el consentimiento del trabajador (plasmado en su contrato de trabajo, o captado aparte) el que legitima la supervisión o control por la empresa del uso realizado por sus trabajadores del móvil, ordenadores o vehículos de empresa.

Este control se basa más bien en la facultad de control empresarial prevista en la ley, en el Estatuto de los Trabajadores, y en los intereses de la empresa que exceden lo que un contrato de trabajo por sí solo puede autorizar.

Aparte de lo anterior, otro ejemplo es la Videovigilancia

En una variación de lo anterior: los obvios intereses de la empresa en protegerse frente al fraude, o a acciones ilícitas, explican que la última jurisprudencia permita la videovigilancia de los trabajadores aun sin su consentimiento o información específica (por el evidente interés legítimo de la empresa en la protección de sus activos).

Sin duda, el interés legítimo siempre supone una habilitación relativa, sujeta a condiciones, dependiendo de las circunstancias concurrentes, que deben ser ponderadas caso por caso.

Por último, citamos otro ejemplo: incumplimiento de contratos.

La cesión de datos que se produce a un abogado o empresa de recobro, cuando una parte incumple un contrato.

La parte perjudicada puede ceder los datos del incumplidor a terceros (abogados, empresas de recobro) porque tiene un interés legítimo en que el que ha incumplido, cumpla.

Del mismo modo, la nueva LOPDgdd regula determinados supuestos específicos en sus artículos 12, 14, 15, 17 y 18:

  • Artículo 12. Tratamiento de datos de contacto y de empresarios individuales
  • Artículo 14. Sistemas de información crediticia.
  • Artículo 15. Tratamientos con fines de videovigilancia.
  • Artículo 17. Sistemas de información de denuncias internas en el sector privado.
  • Artículo 18. Tratamientos relacionados con operaciones de re-estructuración societaria o transmisiones de negocio.

 ¿SE TRATA DE UN INTERÉS LEGÍTIMO?

Para que pueda considerarse legítimo un interés, éste debe ser:

Lícito: que sea conforme a la legislación nacional y de la UE, es decir que no se trate de materia prohibida, ni atente contra el orden público, ni sea contraria a los principios generales del Derecho.

Suficientemente concreto: Lo que requiere que quede claramente delimitado y definido, para poder ponerlo en contraposición a los intereses y los derechos fundamentales del interesado.

Representativo de un interés real y actual, es decir, que no sea especulativo.

logo reglamento

El RGPD, nos marca ya algunos supuestos concretos de interés legítimo:

  • -La prevención del fraude (Considerando 47).
  • -La mercadotecnia directa (Considerando 47).


No debemos entender que con ello se permita automáticamente el envío de mensajes publicitarios o comerciales por correo electrónico, puesto que la Ley 34/2002Enlace añadido por la extensión vLex de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSIEnlace añadido por la extensión vLex) impone la obligatoriedad de obtener el consentimiento expreso del destinatario, para este tipo de comunicaciones, excepto si existía previamente una relación contractual entre remitente y destinatario, y las comunicaciones tienen por objeto publicitar productos o servicios iguales similares, a los que el destinatario había contratado.

  • -Garantizar la seguridad de la red y de la información, así como de los servicios proporcionados a través de esos sistemas o redes de información (Considerando 49).
  • -Compartir datos personales dentro de un mismo grupo empresarial o entre entidades afiliadas a un mismo organismo central con fines administrativos internos (Considerando 48).
  • -La indicación de posibles actos delictivos o amenazas para la seguridad pública, así como la transmisión a la autoridad competente de los datos relacionados con dichos actos delictivos o amenazas para la seguridad pública (Considerando 50).
  • -El ejercicio del derecho de libertad de expresión o información, incluida las situaciones en las que se ejerza dicho derecho en los medios de comunicación y en las artes.
  • -La prospección convencional y otras formas de comercialización o publicidad.
  • -Los mensajes no comerciales que no hayan sido solicitados, incluidos los pertenecientes a campañas políticas o de recaudación de fondos para organizaciones caritativas.
  • -La ejecución de derechos reconocidos en procedimientos judiciales, incluido el cobro de deudas mediante procedimientos extrajudiciales.
  • -La prevención del uso indebido de servicios o del blanqueo de dinero.
  • -La supervisión de los empleados con fines de seguridad o de gestión.
  • -Los regímenes internos de denuncia de irregularidades.
  • -La seguridad física.
  • -El tratamiento con fines históricos, científicos o estadísticos.
  • -El tratamiento con fines de investigación (incluida la investigación de mercado).
logo AEPD

A éstos habrá que añadir los recogidos por la LOPDgdd:

  • -El tratamiento de los datos de las personas físicas que presten servicios en una persona jurídica, siempre que se trate de los datos mínimos imprescindibles para su localización profesional y se utilicen para mantener la relación con la persona jurídica en cuestión.
  • -El tratamiento de los datos de empresarios individuales cuando se refieran a ellos en dicha condición y no se traten para entablar una relación con los mismos como personas físicas.

No obstante, no podemos tratar estos listados con la condición de “númerus clausus”, por lo que aunque “nuestro” interés no figure entre los descritos, no significa que no pueda ser un interés legítimo. Lo será siempre que cumpla los requisitos iniciales: licitud, concreción, real y actual.

Si llegamos a la conclusión de que el interés NO es legítimo, no puede basarse el tratamiento de datos en dicho interés, y habrá que ver si concurre alguna otra base jurídica que pueda legitimar dicho tratamiento.

Sin duda, no debemos confundir el interés del responsable o de un tercero con la finalidad del tratamiento. Ésta es la que se persigue como medio que permita la satisfacción del interés legítimo, pero pueden ser cosas totalmente distintas.

También es importante que el interés legítimo quede lo mejor descrito o definido posible de cara al siguiente paso a dar: valorar si el tratamiento es necesario para poder conseguir el interés legítimo.

pantalla de teléfono con logos de redes sociales

¿EL TRATAMIENTO DE DATOS ES NECESARIO PARA CONSEGUIR EL INTERÉS LEGÍTIMO?

Un tratamiento no será necesario si existen medios menos invasivos a través de los cuales se logra el mismo fin.

Con todo, no deberá tenerse en cuenta si esos otros medios menos invasivos le resultan más o menos apropiados o eficaces, al responsable del tratamiento.

De todos modos, habrá que valorar la conveniencia de introducir, en la determinación del interés legítimo (paso previo), ciertas características propias del resultado que se pretende obtener, tales como el coste, el tiempo, esfuerzos y recursos a emplearse en la consecución del interés legítimo (“al menor coste posible”, “en un plazo no superior a”, “con una inversión ajustada de recursos o esfuerzos” …)

PONDERACIÓN ENTRE EL INTERÉS LEGÍTIMO Y LOS INTERESES O DERECHOS Y LIBERTADES DE LOS INTERESADOS.

esquema juicio de ponderadion

El RGPD marca que la ponderación debe hacerse teniendo en cuenta la expectativa razonable de los interesados en función de su relación con el responsable, por lo que éste (o en su caso, el DPD), debe formular una serie de cuestiones para sopesar los intereses en juego y que convendrá que, junto con el resto de cuestiones, deje plasmado en un informe u otro documento que justifique su decisión:

  • -Expectativas de los interesados en relación con el tratamiento de sus datos.
  • -Posible relación del interés legítimo con algún interés general, interés socialmente aprobado, o con un derecho fundamental.
  • -Relación entre el responsable y los interesados.
  • -Riesgo que conlleva el tratamiento, es decir, ¿el análisis de riesgo del tratamiento o una evaluación de impacto en protección de datos sobre el mismo, arroja un resultado de riesgo alto para los derechos y libertades fundamentales de los interesados?
  • -Tipo de datos y categorías de los interesados.
  • -Ventajas o beneficios para los interesados.
  • -Duración del tratamiento (una semana o menos, 1 mes, 3 meses, 6 meses, 1 año, más de 1 año…).
  • -Frecuencia del tratamiento (puntual, esporádico, continuo).
  • -Cualquier otra cuestión que el responsable entienda que ha de ser atendida para sopesar la prevalencia del interés legítimo, o por el contrario, de los derechos y libertades de los interesados.

EL EQUILIBRIO PROVISIONAL

dibujo de circulo estadístico

Una vez realizada la ponderación anterior, el responsable puede estar ya en condiciones de determinar si prevalece su interés legítimo sobre los intereses o derechos y libertades de los interesados o no.

Si claramente es así, se pueden concluir que el tratamiento de datos está legitimado y podrá llevarse a cabo, obviamente con cumplimiento del resto de exigencias que la normativa vigente impone.

Sin embargo, en caso contrario o si aún se tienen dudas, así como si sencillamente, a pesar de que claramente prevalezca el interés legítimo, se quiere reforzar éste (lo que siempre será una buena práctica), el responsable puede acudir a una serie de garantías adicionales, cuyo cumplimiento o concurrencia pueden acabar  inclinando la balanza a favor de unos intereses u otros, dependiendo de una ulterior evaluación de todas las circunstancias en conjunto.

 GARANTÍAS ADICIONALES

quesito brillante con la leyenda: "data security"

Se enumeran a continuación, con carácter igualmente orientativo, algunas posibles garantías adicionales:

  • -Facilitar, directamente a los interesados, o en caso de que ello resulte imposible o altamente costoso, al público en general, (por ejemplo, mediante publicación en la propia web, difusión en redes sociales propias, anuncios especializados, etc.), información transparente y más amplia que la exigida legalmente sobre el tratamiento de datos y el interés legítimo.
  • -Enviar periódicamente recordatorios con la información anterior.
  • -Facilitar a los interesados uno o varios mecanismos viables y accesibles para garantizar la posibilidad incondicional de que se excluyan voluntariamente del tratamiento.
  • -Informar a los interesados de otros mecanismos que existan, aunque no los aplique o provea directamente en responsable, a través de los cuales aquellos puedan impedir o limitar, de forma sencilla y gratuita, el tratamiento de sus datos (bloqueadores de cookies, listas Robinson, configuraciones de privacidad, etc.)
  • -Aplicar en el tratamiento técnicas de anonimización o medidas que garanticen que los datos no pueden utilizarse para emprender otras acciones, en relación con los interesados.
  • -Facilitar a los interesados mecanismos de empoderamiento, para que puedan de forma directa acceder, modificar, eliminar, transferir o reutilizar sus propios datos.

EQUILIBRIO FINAL

dibujo de una balanza

Llegados a este punto, habrá que determinar finalmente:

  • -si el interés legítimo del responsable o de un tercero prevalece sobre los intereses o derechos y libertades de los interesados, en cuyo caso podrá llevarse a cabo el tratamiento.
  • -si por el contrario prevalecen éstos últimos y, por lo tanto el tratamiento no puede realizarse.
  • -deberá examinarse si concurre alguna otra base jurídica distinta del interés legítimo que pueda legitimar el tratamiento.

Conviene dejar documentado el proceso de determinación de la prevalencia del interés legítimo, donde queden reflejados, entre o tras cosas, los pasos que aquí se han comentado de la forma más objetiva posible, buscando un examen real y concienzudo y no un traje a medida para el tratamiento de datos en cuestión.

Con independencia de que se den los requisitos necesarios para basar un tratamiento en el interés legítimo, hay que cumplir el resto de obligaciones que nos exige la normativa sobre protección de datos, incluida la de facilitar a los interesados la información concerniente al tratamiento de sus datos.