tabla de examen de interés legítimo

El interés legítimo es una de las seis posibles bases jurídicas que habilitan el tratamiento de datos, junto con:

-El consentimiento.

-El tratamiento basado en una relación contractual.

-La existencia de una obligación legal.

-Interés vital.

-Interés público.

Es decir, que el interés legítimo, como base legal, se aplicará cuando el tratamiento de los datos personales se dirija a  obtener un «interés legítimo perseguido por el responsable del tratamiento,  o por un tercero».

No obstante, de las posibles bases jurídicas que habilitan el tratamiento de datos personales,  acreditar la existencia de un interés legítimo, es la que mayor complejidad plantea.

Resulta que se trata de un concepto abstracto y, que por el momento, ya ha presentado problemáticas en la práctica y ha sido objeto de diversas interpretaciones y debates:

foto fachada del tribunal

La Sentencia del Tribunal de Justicia de la UE de febrero de 2012, resolvió que la mera invocación de un interés legítimo no puede considerarse suficiente para legitimar el tratamiento de datos personales sin el consentimiento del afectado.

En sus fundamentos, el propio Tribunal argumenta la necesidad de realizarse, en cada caso concreto, una ponderación entre el interés legítimo de quien va a tratar los datos y los derechos fundamentales de los interesados, para determinar cuál debe prevalecer.

Tal como la Audiencia Nacional ha considerado procedente, entre otros, un interés legítimo en diferentes supuestos:

  • -la publicación de algunos datos se ha considerado amparada por la libertad de información.
  • -el envío de correo electrónico a miembros de un colectivo profesional por parte de un candidato a elecciones en dicho colegio
  • -la actividad de un motor de búsqueda en la actividad desarrollada.

Con todo, es necesario destacar que la previsión introducida en el artículo 6.1.f) RGPD, no puede interpretarse, en ningún caso, como un cajón de sastre al que acudir, en el supuesto de no poder basar la legitimación del tratamiento en el resto de supuestos.

Del mismo modo, tampoco debe extenderse la aplicación del mismo, de tal forma que resulte la opción preferente a la que acudir.

En consecuencia, hemos de indicar que el concepto de interés legítimo lleva implícita una ponderación de intereses contrapuestos, en  el cual, han de tenerse presentes diferentes aspectos para llevarla a cabo correctamente.

lupa con info

CONCEPTO DE INTERÉS

Para comenzar con el presente análisis, hemos de entender a qué nos referimos con el concepto de «interés».

En realidad, el interés no se refiere a un mero fin o finalidad del responsable, sino que va más allá, abordando una mayor implicación en el tratamiento que se trate, abarcando, por ejemplo, los beneficios que de tal tratamiento se puedan obtener, tanto por el responsable como por terceros.

De igual manera, tal interés tiene que:

  • ser real y presente, no siendo válidos intereses teóricos.
  • estar articulado de manera clara para facilitar la realización de la ponderación anteriormente citada
  • ser necesariamente legítimo, es decir, que el tratamiento se realice de acuerdo a la legislación aplicable, tanto en materia de protección de datos como de la restante normativa que sea de aplicación.

DERECHOS Y LIBERTADES DE LOS INTERESADOS

En el otro extremo, el RGPD se refiere a «intereses o derechos y libertades de los interesados».

Sin duda, éste concepto debemos interpretarlo en un sentido amplio, sin que debamos únicamente apreciar sus intereses legítimos, sino la totalidad de los intereses.

Es decir, en los casos en los que un interesado haya cometido un delito, deberán también tenerse en cuenta sus intereses, y que el interés legítimo del responsable no prevalezca sobre los del interesado, a pesar de que los intereses de éste último no sean legítimos.

Por eso, la primera consideración a tener en cuenta es que el Reglamento, al aludir el interés legítimo del responsable:

  • descarta la aplicación de tal fundamento para los tratamientos realizados por las autoridades públicas
  • incluye en el mismo el interés de terceros que no sean el Responsable, a los que se comunique tales datos, los cuales podrán ser un factor que ayude a ponderar la importancia o relevancia de ambos lados de la balanza.

NO EXISTEN MEDIOS MENOS INTRUSIVOS

Con carácter previo a involucrarse en la ponderación de los intereses que tiene que ser necesario para satisfacer el interés legítimo, hemos de tener en cuenta que no existan medios menos intrusivos para llevar a cabo el mismo tratamiento.

En consecuencia, y para la resolución de esta cuestión, se deberían realizar, previamente, los correspondientes estudios o análisis de proporcionalidad de las medidas o tratamientos que pretendemos implantar.

Por consiguiente, para abordar la ponderación de los intereses y concluir si realmente existe un interés legítimo que pueda considerarse fundamento suficiente para el tratamiento de los datos, deben tenerse en cuenta estos cuatro factores:

  • -la evaluación del interés legitimo del responsable (y de terceros)
  • -el impacto del tratamiento sobre los interesados
  • -el equilibrio entre los dos anteriores
  • -las garantías adicionales que se apliquen a tales tratamientos.

Sin duda, su estudio y ponderación precisará de un análisis casuístico, sin que se pueda generalizar el mismo para todos los tratamientos realizados, dadas las peculiaridades de cada supuesto concreto, atendiendo a las siguientes

condiciones:

1.      Evaluación del impacto: comprende las consecuencias, tanto positivas como negativas, reales o potenciales, en cualquier ámbito, ya que no se circunscribe únicamente a los resultados en materia de violación de los datos personales, sino que va más allá, comprendiendo, acciones, decisiones de terceros, resultados emocionales, daños reputacionales, etc. En este aspecto, se valora como criterios tanto la probabilidad de que cada uno de los riesgos se materialice, así como la gravedad de las consecuencias de tales materializaciones.

2.      Naturaleza de los datos: no debemos realizar una ponderación similar en el supuesto de que las consecuencias se plasmen en datos sensibles o en datos de nivel bajo, ya que en el supuesto de los primeros, acarrearán unas consecuencias más perjudiciales y afectarán en mayor medida a los intereses, derechos y libertades de los afectados.

3.      Forma de tratamiento de los datos personales: habrá que tener en cuenta si, por ejemplo, tales datos personales han sido ya revelados al público, a pesar de que sea un público específico y reducido, o si los datos personales objeto del tratamiento se combinan con otro tipo de datos personales.

4.      Expectativas de los interesados: las expectativas de los interesados es un criterio que aporta cierta claridad y valor en este razonamiento, ya que ello dependerá de la actividad en la que se realice el tratamiento, de las posiciones en las que se encuentre cada una de las partes, así como las obligaciones a las que se encuentren sujetas las mismas, obligaciones tanto jurídicas como contractuales.

5.      Posición de las partes: atendiendo a las circunstancias específicas del caso ante el que nos encontremos, las partes se verán en diferentes posiciones, en lo cual influye el tamaño de la organización y la posición dominante del responsable. Del mismo modo, puede que un mismo tratamiento merezca varios exámenes diferentes, en función del colectivo de interesados de los que se traten datos. Tal análisis variará y, en consecuencia su resultado, en función de que en tales tratamientos se vean involucrados menores o sectores vulnerables.

Luego que hayamos considerado la totalidad de los anteriores criterios mencionados, llegamos a una ponderación que deberíamos considerar provisional, es decir, que tal resultado se daría en el supuesto de que el responsable no aplicara ningún tipo de medida o garantía adicional en el tratamiento.

Por lo tanto, el resultado obtenido hasta este punto, nos puede ayudar a tomar decisiones y abordar el modo de mitigar los riesgos a los que se ven expuestos los datos que pretendemos tratar.

manos alzadas sujetando datos

GARANTÍAS ADICIONALES

La última actuación a realizar será valorar los riesgos y consecuencias en función de las garantías adicionales que se encuentren adoptadas por el responsable, es decir, considerar la forma en que tales garantías mitigan las consecuencias negativas en los interesados y, así, inclinen la balanza hacia uno u otro lado.

Por ejemplo, las medidas y técnicas de cifrado que eviten la identificación directa.

Sin embargo, no hemos de entrar en confusión a este respecto ya que, el hecho de que los datos personales no sean directamente identificables, no implicará una conversión de un tratamiento ilegítimo en legítimo, como tampoco una mitigación total del riesgo.

Por supuesto, la aplicación de medidas adicionales posteriores requerirá un nuevo análisis, ya que, en principio, cuantas mayores garantías aportemos, menor será el impacto o consecuencias en los interesados, y mayor la prevalencia del interés del responsable o de los terceros.

Además, y ligado a ello, el derecho de oposición a ejercitar por los interesados, es considerada una medida adicional a tener en cuenta una vez que, justificado y fundamentado el interés legítimo, se permite al interesado oponerse a tal tratamiento en atención a su situación particular, lo cual deberá ser justificado, salvo en los supuestos de prospección comercial.

Con todo ello, se adiciona la existencia de una cláusula de oposición para los interesados más amplia, sin necesidad de justificar circunstancias específicas, así como la posibilidad de portabilidad de tales datos que se tratan por el responsable.

Es decir, que tales medidas, aportan un valor adicional y transmiten a los interesados mayor seguridad y transparencia al proceso.

De todas formas, sería conveniente que la totalidad del proceso quedara debidamente fundamentado y expuesto por escrito, de manera detallada, en aras a defender tal interés legítimo, dar transparencia y seguridad jurídica a los interesados de los tratamientos que se traten, así como revisar y verificar el cumplimiento y adecuación de tal examen siempre que sea necesario.

En consecuencia, todo ello es un modo de transmitir los principios de responsabilidad y transparencia a los interesados, y que éstos puedan entender el juicio en virtud del cual los responsables consideran que prima su interés legítimo sobre los intereses o derechos y libertades de los interesados.

hombres dándose la mano con bocadillo que reza "yo respeto tus derechos"

CONCLUSIÓN

Para concluir con el presente estudio sobre la ponderación de los intereses de las partes, solo cabe mencionar que, el interés legítimo, como uno más de los fundamentos para la legitimación del tratamiento, no ha de considerarse como una última opción a la que aferrarse, pues no es ese el fin que se persigue la naturaleza del mismo.

Por el contrario, no se considera como una imposición por parte de la legislación aplicable o del responsable, sino que puede aportar un valor adicional a tal procedimiento, impulsando el acercamiento entre el responsable y los interesados, siempre y cuando éste se lleve a cabo correctamente, se fundamente y se propicie la transparencia.

Por consiguiente, los interesados podrán comprender y verificar la prevalencia de los intereses legítimos del responsable y, en caso de no aceptar o compartir tales fundamentaciones, oponerse, en último caso, a los mismos.

En resumen, el nuevo Reglamento viene a clarificar y delimitar con más profundidad los requisitos exigibles para que un tratamiento de datos personales pueda tener legitimidad, lo que debe llevar a los responsables a la revisión de si es posible continuar con el tratamiento de los datos de que dispone o debe recabar algún tipo de consentimiento, teniendo en cuenta el Considerando 171 que permite la continuidad en el tratamiento, si el consentimiento obtenido se ajusta a las condiciones del presente Reglamento.

De todas formas, y en cualquier caso, deberán ser objeto de revisión los protocolos de los tratamientos para adecuarlos a los requisitos del nuevo Reglamento.

Gestiona Abogados