Entre las bases legitimadoras del tratamiento de datos personales, encontramos el interés legítimo, en apariencia, una suerte de «cajón de sastre» al que los responsables del tratamiento recurren en ocasiones para justificar tratamientos que no tienen cabida ni el consentimiento del interesado ni otras bases jurídicas, pero ¿qué es el interés legítimo en protección de datos? ¿Cómo se determina si existe o no un interés legítimo para el tratamiento?
En este artículo respondemos a estas y otras cuestiones relativas al interés legítimo y la protección de datos.
En este artículo hablamos de:
¿Qué es el interés legítimo en protección de datos?
El interés legítimo en protección de datos es una de las seis bases legitimadoras que permite al responsable de una base de datos personales o a otro tercero el tratamiento de dicha información sin necesidad de recabar previamente el consentimiento del titular de la misma. En este sentido, este interés vendría a atribuir y determinar una cierta calidad especial que un tercero, como sujeto interesado, tendría respecto de datos personales ajenos.
El interés legítimo constituye un concepto jurídico indeterminado y ambiguo, ya que su aplicación exige sopesar los hechos que rodean un determinado procesamiento de datos: el beneficio material que una o varias operaciones específicas de tratamiento de datos personales ajenos proporciona al sujeto interesado, consideradas como herramientas adecuadas para satisfacer una necesidad tutelada por el derecho, y el grado en que los derechos o la esfera jurídica del titular de datos se ven negativamente afectados por dichos tratamientos (externalidad).
Es decir, la aplicación del interés legítimo en el tratamiento de datos personales requiere de la ponderación entre los intereses legítimos alegados por el responsable del tratamiento o un tercero interesado, y los derechos fundamentales del interesado o interesados cuyos datos quieren tratarse, para determinar cuáles tienen prevalencia.
Ponderar todas esas circunstancias en conjunto hará posible establecer si el interesado está habilitado para ejecutar ciertas actividades de tratamiento sobre los datos personales de un tercero, sin que este haya dado su consentimiento.
Cabe señalar que el interés legítimo en la protección de datos puede afectar al ejercicio de derechos de supresión, oposición y limitación.
Así mismo, que se pueda basar el tratamiento de datos personales en el interés legítimo no anula la obligación de informar a los interesados sobre el tratamiento de sus datos y su finalidad.
Interés legítimo en el RGPD
El interés legítimo en el RGPD está regulado en el apartado 1, letra f) del artículo 6. Aquí se habilita el tratamiento de datos personales, cuando exista un interés legítimo del responsable o de un tercero, siempre que ese interés legítimo no prevalezca sobre los intereses o derechos y libertades fundamentales del interesado.
Es decir, que si bien se puede usar el interés legítimo como fuente de licitud del tratamiento, en su aplicación habrá que tener en cuenta que dicho interés no se sobrepone a los derechos y libertades del interesado. Así, el RGPD obliga a llevar a cabo una ponderación entre el interés legítimo del responsable del tratamiento y los derechos fundamentales del interesado, para determinar cuál tiene prevalencia.
Interés legítimo en la LOPDGDD
Por su parte, el interés legítimo en la LOPDGDD (Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales) está regulado de la misma forma que en el RGPD, es decir, para su aplicación es necesario ponderar los intereses del responsable o un tercero con los derechos fundamentales de los interesados y determinar cuáles prevalecen.
Si bien, la LOPDGDD establece una presunción de prevalencia del interés legítimo del responsable de bases de datos, respecto de las siguientes operaciones:
- Tratamiento de los datos de contacto y, en su caso, los relativos a la función o puesto desempeñado de las personas físicas que presten servicios en una persona jurídica.
- Tratamiento de los datos relativos a los empresarios individuales y a los profesionales liberales.
- Tratamiento de datos personales relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito por sistemas comunes de información crediticia.
- Tratamientos de datos que pudieran derivarse del desarrollo de cualquier operación de modificación estructural de sociedades o la aportación o transmisión de negocio o de rama de actividad empresarial.
Aplicación del interés legítimo en protección de datos
Dada la naturaleza difusa del concepto y, cómo venimos diciendo en puntos anteriores, la aplicación del interés legítimo en protección de datos requiere de una ponderación entre el interés legítimo del responsable del tratamiento o un tercero y los derechos fundamentales de los interesados.
Esta ponderación debería hacerse siempre con carácter previo al tratamiento, especialmente cuando se tengan dudas respecto a si puede o no ser necesario recabar el consentimiento expreso de los interesados para un determinado tratamiento de datos.
La ponderación del interés legítimo se basa en tres criterios:
- Idoneidad del tratamiento: Realizar el tratamiento de datos es realmente necesario para los intereses de nuestra empresa.
- Necesidad del tratamiento: No existe otro medio menos intrusivo para conseguir la finalidad que buscamos con el tratamiento de datos.
- Proporcionalidad del tratamiento: Analizar el tratamiento y determinar qué impacto tendrá sobre los derechos y libertades de los interesados.
Cómo aplicar los criterios de ponderación para probar el interés legítimo
Para aplicar los criterios de ponderación del interés legítimo en protección de datos, se debe llevar a cabo un análisis exhaustivo del interés legítimo alegado por el responsable del tratamiento o del tercero que lo alegue para realizar un tratamiento de datos en contraposición de los derechos fundamentales del interesado que pueden verse afectados.
La normativa no recoge cómo debe llevarse a cabo esta ponderación, por lo que los responsables pueden realizarlo siguiendo la metodología que crean oportuna, siempre y cuando se contemplen los tres criterios de ponderación que hemos citado en el punto anterior.
Así, el responsable del tratamiento deberá valorar si el tratamiento de datos personales que quiere realizar es realmente necesario para los intereses de su organización, es decir, si tratar esos datos es útil e imprescindible para alcanzar un determinado objetivo. Determinada la relevancia de la necesidad, se debe comprobar que no existen tratamientos menos intrusivos para lograr esa finalidad u objetivo. Y finalmente, se debe determinar si de la realización del tratamiento de datos se derivan más beneficios que inconvenientes para los interesados y si esos beneficios tienen realmente prevalencia sobre los derechos fundamentales del interesado.
Para entenderlo mejor, veámoslo con un ejemplo de aplicación de los criterios de ponderación del interés legítimo en un tratamiento de datos concreto; la videovigilancia.
Un comercio (responsable del tratamiento) quiere instalar cámaras de videovigilancia en las instalaciones para prevenir la comisión de hurtos en su interior y, en caso de que sucedan, tener pruebas para su denuncia. La instalación de estas cámaras supone un tratamiento de datos personales, ya que captan y almacenan imágenes de personas identificables. El interés legítimo que alegará el comercio será la seguridad de bienes, empleados y clientes.
En lo que respecta a la idoneidad, las cámaras de seguridad responden a la necesidad del comercio de prevenir y, en su caso, denunciar, los casos de hurto en las instalaciones, hechos que le suponen pérdidas económicas. Por tanto, el tratamiento es necesario para evitar estas pérdidas.
En cuanto a la necesidad, la colocación de las cámaras de seguridad son una herramienta disuasoria de este tipo de conductas delictivas, pero además, generan una prueba para la denuncia de los delitos cometidos. Pese a su intrusión en el derecho a la intimidad y la imagen de los interesados, la finalidad perseguida, evitar hurtos y tener pruebas, no podría lograrse de la misma manera con otro tipo de medidas (tener guardas de seguridad podría prevenir los hurtos, pero no captarían imágenes de los mismos ni pueden estar presentes en todos los puntos de vigilancia del establecimiento).
Finalmente, se ponderan el interés del comercio de evitar hurtos y su derecho a la tutela judicial en caso de que estos se produzcan, frente al derecho a la intimidad y la imagen de las personas que visitan el establecimiento. En este caso prevalece el interés legítimo del comercio, si bien, deberá informar de la presencia de las cámaras y la finalidad de las mismas a las personas que visiten o trabajen en el establecimiento y deberá adoptar las medidas de seguridad técnicas y organizativas que garanticen que terceros no autorizados no tendrán acceso a las imágenes de seguridad.
Ejemplos de interés legítimo en protección de datos
No tiene sentido crear una lista predefinida y cerrada de intereses legítimos, ya que estos pueden ser infinitos atendiendo al responsable del tratamiento, finalidad, ámbito de la empresa, sector, etc. Sin embargo, el RGPD establece, en varios de sus considerandos, ejemplos de interés legítimo. Algunos de estos ejemplos son:
- La mercadotecnia directa.
- La prevención del fraude.
- Garantizar la seguridad de la red y de la información, así como de los servicios proporcionados a través de esos sistemas o redes de información.
- Compartir datos personales dentro de un mismo grupo empresarial o entre entidades afiliadas a un mismo organismo central con fines administrativos internos.
- La indicación de posibles actos delictivos o amenazas para la seguridad pública, así como la transmisión a la autoridad competente de los datos relacionados con dichos actos delictivos o amenazas para la seguridad pública.
Además, la LOPDGDD también recoge los siguientes ejemplos de interés legítimos en estos supuestos:
- El tratamiento de los datos de empresarios individuales cuando se refieran a ellos en dicha condición y no se traten para entablar una relación con los mismos como personas físicas.
- El tratamiento de los datos de las personas físicas que presten servicios en una persona jurídica, siempre que se trate de los datos mínimos imprescindibles para su localización profesional y se utilicen para mantener la relación con la persona jurídica.
Además de estos ejemplos citados en la normativa, también son ejemplos de interés legítimo en protección de datos, la instalación de cámaras de videovigilancia (cómo ya hemos explicado más arriba), la comunicación de datos personales entre las administraciones públicas o la inclusión en listas de morosos (cuando se cumplen los requisitos establecidos por la ley).
En definitiva, pese a la indefinición del interés legítimo en protección de datos, lo cierto es que sí hay criterios para determinar si como responsables del tratamiento podemos llevar a cabo un tratamiento concreto amparado en nuestro interés legítimo y siempre es necesario llevar a cabo esa ponderación entre el interés legítimo y los derechos fundamentales de los interesados, labor que en algunos casos puede resultar compleja y, dado el grado de subjetividad presente, puede resultar recomendable pedir el asesoramiento de expertos en protección de datos, como una consultoría o un abogado, que aportará mayor objetividad a la valoración.