Se tiende a pensar que solo se pueden tratar datos personales cuando el responsable del tratamiento ha recabado el consentimiento del interesado, pero no siempre es así. Sobre el consentimiento como base legal para el tratamiento de datos pueden consultar el artículo que dejo enlazado aquí.
Una posibilidad que excepciona la necesidad del consentimiento del interesado la constituye, en base a lo establecido en el artículo 6.1.f) del RGPD, la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado, en particular cuando el interesado sea menor, teniendo en cuenta las expectativas razonables del interesado en relación al responsable del tratamiento.
Prueba de sopesamiento
Cuando el tratamiento se basa en el consentimiento del interesado, en un acuerdo contractual, en una obligación jurídica u otra justificación especialmente identificada como proteger los intereses vitales del interesado o de un tercero o el cumplimiento de una misión realizada en el interés público o en el ejercicio de poderes públicos se considera legítimo a priori, de forma que, existe una presunción de que se alcanza el equilibrio entre los diferentes derechos e intereses en juego, pero el interés legítimo exige una evaluación meticulosa y la prueba de sopesamiento para justificar la licitud del tratamiento, incluso cuando el interesado pueda prever, de forma razonable, que pueda realizarse el tratamiento.
A la hora de realizar la evaluación y ponderación de intereses es importante analizar la naturaleza de los datos, el modo en que se tratarán (a gran escala, prospección de datos, elaboración de perfiles, revelación a un gran número de personas, etc.), identificar los intereses y derechos fundamentales del interesado que podrían verse afectados, considerar las expectativas razonables de los interesados, evaluar las repercusiones para estos y compararlas con el beneficio previsto por el responsable del tratamiento.
El interés legítimo puede variar de «insignificante» a «ligeramente importante» hasta «apremiante». De igual modo, la repercusión en los intereses y derechos de los interesados puede variar de «trivial» a «significativo» hasta «muy grave». Por ejemplo, es legítimo el interés del responsable del tratamiento cuando es ligeramente importante y el impacto sobre los derechos de los interesados es trivial.
Para que un interés legítimo sea pertinente –en virtud del artículo 6.1.f) del RGPD– debe ser:
- Lícito, es decir, acorde a la legislación comunitaria y nacional.
- Suficientemente específico para permitir que la prueba de sopesamiento se pueda llevar a cabo.
- No ser especulativo, o sea, debe representar un interés real y actual.
- El interesado debe poder prever, en el momento y en el contexto de la recogida de sus datos, que pueda producirse un tratamiento posterior de los mismos.
- El tratamiento debe superar el juicio de idoneidad, necesidad y proporcionalidad.
Para inclinar la balanza en favor del responsable del tratamiento son importantes las garantías que este pueda ofrecer a los interesados, que deben ser adecuadas y suficientes para reducir, de forma incuestionable y significativamente, la repercusión del tratamiento sobre los interesados. Ejemplos de garantías son:
- Minimización de los datos (limitaciones estrictas a la recopilación y eliminación inmediata tras su uso).
- Facilitar información adicional a los interesados en base al principio de transparencia.
- Uso extensivo de técnicas de anonimización.
- Agregación de datos.
- Realizar evaluaciones de impacto relativas a la intimidad y a la protección de los datos, cuando existan riesgos específicos para los derechos y libertades de los interesados.
- Establecer una cláusula de exclusión voluntaria. Cuanto más fácil sea para el interesado ejercerla y más ampliamente sea aplicable, más contribuirá a inclinar la balanza en favor del responsable del tratamiento.
Ejemplos
Como las cosas se entienden mejor con ejemplos reales, ahí va uno, partiendo de la base de que el tratamiento de datos personales con fines de mercadotecnia directa puede considerarse realizado por un interés legítimo (considerando 47 del RGPD). Pongamos por caso que una tienda cualquiera saca una línea nueva de productos y con intención de promocionarla envía por correo postal a cada cliente registrado en su web un cupón de descuento. La tienda tiene un interés legítimo –no apremiante– en intentar vender más productos a sus clientes y no hay una repercusión indebida en los derechos y los intereses de estos. A mayores, la tienda estableció garantías: solo utiliza información relativamente limitada (datos de contacto) y los cupones se envían por correo tradicional. Además, se ofrece una posibilidad, fácil de usar, de exclusión voluntaria de la publicidad en el sitio web.
Siguiendo con el ejemplo anterior, pongamos que la tienda no solo almacena los datos de contacto de sus clientes, sino también su historial de compras. La tienda empieza a realizar ofertas especiales y publicidad dirigida a los clientes con mayor poder adquisitivo en base a dicho historial y para tener más proyección el envío de la publicidad se hace tanto por correo postal como por correo electrónico y a través de anuncios que aparecen en el teléfono móvil de los clientes. El contexto es el mismo, pero la intromisión en los derechos de los clientes resulta evidente y no se justifica el tratamiento en base al interés legítimo del responsable de la tienda. Si quiere realizar esa actividad de tratamiento deberá recabar el consentimiento de los interesados.
Conclusión
El interés legítimo, como base legal para el tratamiento de datos personales, no debe percibirse como una opción preferente, ni entenderse como una «puerta abierta» para legitimar aquellas actividades que no estén legitimadas por otras vías, pero es una opción interesante, aunque exige que las actividades de tratamiento se planifiquen correctamente, so pena de incurrir en infracción muy grave según lo previsto en el artículo 72.1.b) de la LOPDGDD.
Por último, no olviden documentar el examen del interés legítimo y la prueba de sopesamiento, de manera suficientemente detallada y transparente, para que llegado el caso pueda ser verificado por la autoridad de control o los tribunales de justicia.
Si quieren profundizar sobre el tema pueden consultar el Dictamen 06/2014 del Grupo de Trabajo del Artículo 29 y las sentencias del Tribunal de Justicia de la Unión Europea de 24 de noviembre de 2011 (asuntos acumulados C‑468/10 y C‑469/10) y 13 de mayo de 2014 (asunto C-131/12).