Protección Data

BLOG

El conocimiento es poder (Francis Bacon)

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Interés legítimo como base legal

Se tiende a pensar que sólo se pueden tratar datos personales cuando el responsable del tratamiento ha recabado el consentimiento del interesado, pero no siempre es así. Sobre el consentimiento como base legal para el tratamiento de datos pueden consultar el artículo que dejo enlazado aquí

Una posibilidad que excepciona la necesidad del consentimiento del interesado la constituye, en base a lo establecido en el artículo 6.1.f) del RGPD, la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado, en particular cuando el interesado sea menor, teniendo en cuenta las expectativas razonables del interesado en relación al responsable del tratamiento. 

Prueba de sopesamiento

El interés legítimo exige una evaluación meticulosa y la prueba de sopesamiento para justificar la licitud del tratamiento, incluso cuando el interesado pueda prever, de forma razonable, que puede realizarse el tratamiento.  

A la hora de realizar la evaluación y ponderación de intereses es importante analizar la naturaleza de los datos, el modo en que se tratarán (a gran escala, prospección de datos, elaboración de perfiles, revelación a un gran número de personas, etc.), identificar los intereses, derechos y libertades de los interesados que podrían verse afectados, considerar las expectativas razonables de éstos, evaluar las repercusiones y compararlas con el beneficio previsto por el responsable del tratamiento.

El interés legítimo puede variar de «insignificante» a «ligeramente importante» hasta «apremiante». De igual modo, la repercusión en los intereses y derechos de los interesados puede variar de «trivial» a «significativo» hasta «muy grave». Por ejemplo, es legítimo el interés del responsable del tratamiento cuando es ligeramente importante y el impacto sobre los derechos de los interesados es trivial

Para que un interés legítimo sea pertinente –en virtud del artículo 6.1.f) del RGPD– debe ser:

  • Lícito, es decir, acorde a la legislación comunitaria y nacional.
  • Suficientemente específico para permitir que la prueba de sopesamiento se pueda llevar a cabo.
  • No ser especulativo, o sea, debe representar un interés real y actual.
  • El interesado debe poder prever, en el momento y en el contexto de la recogida de sus datos, que pueda producirse un tratamiento posterior de los mismos.
  • El tratamiento debe superar el juicio de idoneidad, necesidad y proporcionalidad.

Para inclinar la balanza en favor del responsable del tratamiento son importantes las garantías que este pueda ofrecer a los interesados, que deben ser adecuadas y suficientes para reducir, de forma incuestionable y significativamente, la repercusión del tratamiento sobre los interesados. Ejemplos de garantías son:

  • Minimización de los datos.
  • Facilitar información adicional a los interesados en base al principio de transparencia.
  • Uso extensivo de técnicas de anonimización.
  • Agregación de datos.
  • Realizar evaluaciones de impacto relativas a la intimidad y a la protección de los datos, cuando existan riesgos específicos para los derechos y libertades de los interesados.
  • Establecer una cláusula de exclusión voluntaria. Cuanto más fácil sea para el interesado ejercerla y más ampliamente sea aplicable, más contribuirá a inclinar la balanza en favor del responsable del tratamiento.

Ejemplo

Una tienda online saca una línea nueva de productos al mercado y con intención de promocionarla envía por correo electrónico a todos sus clientes un cupón de descuento. La tienda tiene un interés legítimo en intentar vender sus productos nuevos a sus clientes, sin que por ello se vean afectados sus derechos. A mayores,  establecen garantías adicionales a favor de los clientes como la posibilidad de exclusión voluntaria de la publicidad mediante un enlace incorporado al mismo correo.

Siguiendo con el ejemplo anterior, pongamos que la tienda empieza a realizar ofertas especiales y publicidad dirigida a los clientes con mayor poder adquisitivo en base al historial de compras. El contexto es el mismo, pero la intromisión en los derechos de los clientes resulta evidente y no se justifica el tratamiento en base al interés legítimo del responsable de la tienda. Si quieren perfilar a los clientes, con base en el historial de compras, necesariamente, han de recabar el consentimiento de éstos.  

Conclusión

El interés legítimo, como base legal para el tratamiento de datos personales, no debe percibirse como una opción preferente, ni entenderse como una «puerta abierta» para legitimar aquellas actividades que no estén legitimadas por otras vías, pero es una opción interesante, aunque exige que las actividades de tratamiento se planifiquen correctamente, so pena de incurrir en infracción muy grave según lo previsto en el artículo 72.1.b) de la LOPDGDD.

Por último, no olviden documentar el examen del interés legítimo y la prueba de sopesamiento, de manera suficientemente detallada y transparente, para que llegado el caso pueda ser verificado por la autoridad de control o los tribunales de justicia.

Si quieren profundizar sobre el tema pueden consultar el Dictamen 06/2014 del Grupo de Trabajo del Artículo 29 y las sentencias del Tribunal de Justicia de la Unión Europea de 24 de noviembre de 2011 (asuntos acumulados C‑468/10 y C‑469/10) y 13 de mayo de 2014 (asunto C-131/12). 

error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).