Se tiende a pensar que los datos personales solo pueden tratarse cuando el responsable del tratamiento ha obtenido el consentimiento del interesado, pero no siempre es así. Para más detalles sobre el consentimiento como base legal para el tratamiento de datos, pueden consultar el artículo que dejo enlazado aquí.
Una posibilidad que excepciona la necesidad del consentimiento del interesado la constituye, en base a lo establecido en el artículo 6.1.f) del RGPD, la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado, en particular cuando el interesado sea menor, teniendo en cuenta las expectativas razonables del interesado en relación al responsable del tratamiento.
Prueba de ponderación
El interés legítimo exige una evaluación meticulosa y una prueba de ponderación para justificar la licitud del tratamiento, incluso cuando el interesado pueda prever razonablemente que se realice dicho tratamiento.
A la hora de realizar la evaluación y ponderación de intereses, es fundamental analizar la naturaleza de los datos, el modo en que se tratarán (por ejemplo, a gran escala, prospección de datos, elaboración de perfiles, revelación a un gran número de personas, etc.), identificar los intereses, derechos y libertades de los interesados que podrían verse afectados, considerar las expectativas razonables de estos, evaluar las repercusiones y compararlas con el beneficio previsto por el responsable del tratamiento.
El interés legítimo puede variar de «insignificante» hasta «ligeramente importante» o «apremiante». De igual modo, la repercusión en los intereses y derechos de los interesados puede variar de «trivial» hasta «significativo» o «muy grave». Por ejemplo, el interés del responsable del tratamiento se considera legítimo cuando es ligeramente importante y el impacto sobre los derechos de los interesados es trivial.
Para que un interés legítimo sea pertinente –en virtud del artículo 6.1.f) del RGPD– debe ser:
- Lícito, es decir, acorde a la legislación comunitaria y nacional.
- Suficientemente específico para permitir que la prueba de ponderación se pueda llevar a cabo.
- No ser especulativo, esto es, debe representar un interés real y actual.
- El interesado debe poder prever, en el momento y en el contexto de la recogida de sus datos, que pueda producirse un tratamiento posterior de los mismos.
- El tratamiento debe superar el juicio de idoneidad, necesidad y proporcionalidad.
Para inclinar la balanza en favor del responsable del tratamiento, son clave las garantías que este pueda ofrecer a los interesados, las cuales deben ser adecuadas y suficientes para reducir, de forma incuestionable y significativamente, la repercusión del tratamiento sobre ellos. Ejemplos de garantías son:
- Minimización de los datos.
- Proporcionar información adicional a los interesados en base al principio de transparencia.
- Uso extensivo de técnicas de anonimización o seudonimización.
- Agregación de datos.
- Realizar evaluaciones de impacto en la protección de datos personales, cuando existan riesgos específicos para los derechos y libertades de los interesados.
- Establecer mecanismos de exclusión voluntaria (opt–out). Cuanto más fácil sea para el interesado ejercerla y más ampliamente sea aplicable, mayor será su contribución para inclinar la balanza a favor del responsable del tratamiento.
Ejemplo
Una tienda en línea saca una nueva línea de productos al mercado y con intención de promocionarla envía por correo electrónico a todos sus clientes un cupón de descuento. La tienda tiene un interés legítimo en intentar vender sus nuevos productos a sus clientes, sin que por ello se vean afectados sus derechos. Además, establecen garantías adicionales, como la posibilidad de exclusión voluntaria de la publicidad mediante un enlace incorporado al mismo correo.
Siguiendo con el ejemplo anterior, pongamos que la tienda empieza a realizar ofertas especiales y publicidad dirigida a los clientes con mayor poder adquisitivo, basándose en su historial de compras. El contexto es el mismo, pero la intromisión en los derechos de los clientes resulta evidente y no se justifica el tratamiento en base al interés legítimo del responsable de la tienda. Si quieren perfilar a los clientes, con base en el historial de compras, necesariamente han de recabar su consentimiento expreso.
Conclusión
El interés legítimo, como base legal para el tratamiento de datos personales, no debe percibirse como una opción preferente ni entenderse como una puerta trasera para legitimar aquellas actividades que no estén legitimadas por otras vías, pero es una opción interesante, aunque exige que las actividades de tratamiento se planifiquen correctamente, so pena de incurrir en infracción muy grave según lo previsto en el artículo 72.1.b) de la LOPDGDD.
Por último, no olviden documentar el examen del interés legítimo y la prueba de ponderación de manera detallada y transparente, para que, en caso necesario, pueda ser verificado por la autoridad de control o los tribunales de justicia.
Si desean profundizar en el tema, pueden consultar el pueden consultar las Directrices 1/2024 del EDPB sobre el tratamiento de datos personales basado en el artículo 6.1.f) del RGPD, que actualizan y complementan el Dictamen 06/2014 del Grupo de Trabajo del Artículo 29, así como las sentencias del Tribunal de Justicia de la Unión Europea de 24 de noviembre de 2011 (asuntos acumulados C‑468/10 y C‑469/10) y 13 de mayo de 2014 (asunto C-131/12) y más recientes como la de 13 de noviembre de 2025 (asunto C-654/23) sobre boletines informativos y la de 9 de enero de 2025 (asunto C-394/23) sobre intereses legítimos en contextos específicos.
