Conoce Atico34 - Solicita presupuesto
LOPDGDD & RGPD

Interés legítimo y Protección de Datos. Concepto y aplicación

El principio de licitud constituye el pilar fundamental sobre el que descansa el derecho de protección de datos personales. En virtud de este principio, el tratamiento de cualquier información concerniente a una persona natural solo puede tener lugar si concurre previamente el consentimiento del titular u otra fuente habilitante prevista por la ley. Las bases de legitimación son los supuestos definidos legalmente y que, junto al consentimiento del titular, permiten tratar datos personales. Dedicamos este artículo a explicar qué es el interés legítimo en protección de datos, su alcance y las diferencias con el interés jurídico, los intereses difusos y el derecho subjetivo.

¿Qué es el interés legítimo? Definición

El concepto de interés legítimo es difícil de determinar, no solo por su alta indeterminación jurídica, sino porque, en la determinación de su sentido y alcance, existen distintas opiniones jurídicas formales, desde decisiones judiciales hasta opiniones de grupos expertos.

En materia de protección de datos personales, el interés legítimo se ha configurado como una base jurídica que permite al responsable de una base de datos personales o a otro tercero el tratamiento de dicha información sin necesidad de recabar previamente el consentimiento del titular de la misma. En este sentido, este interés vendría a atribuir y determinar una cierta calidad especial que un tercero, como sujeto interesado, tendría respecto de datos personales ajenos.

El interés legítimo constituye un concepto jurídico indeterminado y ambiguo, ya que su aplicación exige sopesar los hechos que rodean un determinado procesamiento de datos: el beneficio material que una o varias operaciones específicas de tratamiento de datos personales ajenos proporciona al sujeto interesado, consideradas como herramientas adecuadas para satisfacer una necesidad tutelada por el derecho, y el grado en que los derechos o la esfera jurídica del titular de datos se ven negativamente afectados por dichos tratamientos (externalidad).

Ponderar todas esas circunstancias en conjunto hará posible establecer si el interesado está habilitado para ejecutar ciertas actividades de tratamiento sobre los datos personales de un tercero, sin que este haya dado su consentimiento.

Desde el punto de vista semántico, el concepto de interés legítimo tiene dos significados:

  • Interés de una persona reconocido y protegido por el derecho.
  • Situación jurídica ostentada sobre la actuación de otra persona y que da lugar a la facultad de exigirle, mediante un procedimiento administrativo o judicial, un comportamiento conforme a derecho.

Algunas cuestiones que deben controlarse y comprobarse para afirmar que estamos ante intereses legítimos desconocidos y violados son:

  • Ilegitimidad o inoportunidad del acto.
  • Interés personal del inconforme en razón de su especial situación frente al orden jurídico.
  • Círculo definido y limitado de individuos afectados
  • Interés patrimonial o moral lesionado.
  • Interés subjetivo del recurrente.
  • Interés actual, eventual o retrospectivo.

tarifas proteccion datos

El interés legítimo en protección de datos

En una primera fase, el interés legítimo en protección de datos fue entendido como una excepción a la regla general habilitante para el tratamiento de datos personales, sin la autorización del titular. Después, al evolucionar el derecho de protección de datos en el ámbito europeo, se han ampliado las fuentes de licitud para el tratamiento más allá del binomio consentimiento-ley, basándose en el cumplimiento de otros bienes jurídicos o derechos.

En este sentido, el Grupo de Trabajo del Artículo 29 sostuvo que el consentimiento sería uno de varios fundamentos jurídicos para tratar datos personales, en lugar del principal fundamento. Si bien tiene un papel importante, sostiene el WP29 que no excluye la posibilidad de que otros fundamentos jurídicos puedan ser más apropiados, ya sea desde el punto de vista del responsable del tratamiento o desde el punto de vista del titular de datos.

En la actualidad, el interés legítimo en el tratamiento de datos se considera una base habilitante bien definida y delimitada. Ya no se encuentra dentro de las meras excepciones al régimen general, sino que es una base de legitimación independiente, con un estatuto diferenciado y con distintos alcances. El interés legítimo no cumple la mera función de sustituir al consentimiento del titular, y el alcance y las consecuencias de las operaciones de procesamiento basadas en esta fuente de licitud serán distintas, incluso respecto al ejercicio de los derechos de acceso, rectificación, cancelación, oposición, limitación y portabilidad.

Interés legítimo en el RGPD

El RGPD establece, en su artículo 6, las fuentes de licitud para tratar datos personales, incluido el interés legítimo, sin una jerarquía entre ellas. Sin embargo, se ha incorporado un matiz relevante, al exigir que los tratamientos basados en el consentimiento del titular de datos se fundamenten en una manifestación de voluntad no solo inequívoca, sino que además libre, específica e informada (voluntad positiva), sujeta a una serie de nuevas condiciones, establecidas en el artículo 7 del Reglamento.

El interés legítimo se encuentra regulado en el RGPD, apartado 1, letra f) del artículo 6. Aquí se habilita el tratamiento de datos personales, cuando exista un interés legítimo del responsable o de un tercero, siempre que ese interés legítimo no prevalezca sobre los intereses o derechos y libertades fundamentales del interesado.

Es decir, que si bien se puede usar el interés legítimo como fuente de licitud del tratamiento, en su aplicación habrá que tener en cuenta que dicho interés no se sobrepone a los derechos y libertades del interesado. Así, el RGPD obliga a llevar a cabo una ponderación entre el interés legítimo del responsable del tratamiento y los derechos fundamentales del interesado, para determinar cuál tiene prevalencia.

Interés legítimo en la LOPDGDD

La Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) regula también el interés legítimo y establece una presunción de prevalencia del interés legítimo del responsable de bases de datos, respecto de las siguientes operaciones:

  • Tratamiento de los datos de contacto y, en su caso, los relativos a la función o puesto desempeñado de las personas físicas que presten servicios en una persona jurídica.
  • Tratamiento de los datos relativos a los empresarios individuales y a los profesionales liberales.
  • Tratamiento de datos personales relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito por sistemas comunes de información crediticia.
  • Tratamientos de datos que pudieran derivarse del desarrollo de cualquier operación de modificación estructural de sociedades o la aportación o transmisión de negocio o de rama de actividad empresarial.

interés legítimo protección de datos

¿Cómo determinar si puedo basar el tratamiento de datos en el interés legítimo?

Dada la naturaleza difusa del concepto de interés legítimo, cuando como empresa y responsables del tratamiento vamos a basar su licitud en él, debemos ponderar, como decíamos más arriba, la prevalencia de nuestro interés legítimo sobre el del interesado o de sus derechos y libertades.

Esta ponderación es importante llevarla a cabo, especialmente cuando tengamos dudas respecto a si es necesario o no recabar el consentimiento expreso del interesado para un determinado tratamiento de datos.

La ponderación del interés legítimo se basa en tres criterios:

  • Idoneidad del tratamiento (es realmente necesario llevar a cabo dicho tratamiento para los intereses de nuestra empresa).
  • Necesidad del tratamiento (¿existe otro medio menos intrusivo para conseguir la finalidad que buscamos con el tratamiento de datos?).
  • Proporcionalidad del tratamiento (¿qué impacto tendrá el tratamiento sobre los derechos y libertades de los interesados?).

Ejemplos de interés legítimo en protección de datos

No tiene sentido crear una lista predefinida y cerrada de intereses legítimos, ya que estos pueden ser infinitos atendiendo al responsable del tratamiento, finalidad, ámbito de la empresa, sector, etc. Sin embargo, el RGPD establece como ejemplo casos concretos de interés legítimo. Algunos de estos ejemplos son:

  • La mercadotecnia directa.
  • La prevención del fraude.
  • Garantizar la seguridad de la red y de la información, así como de los servicios proporcionados a través de esos sistemas o redes de información.
  • Compartir datos personales dentro de un mismo grupo empresarial o entre entidades afiliadas a un mismo organismo central con fines administrativos internos.
  • La indicación de posibles actos delictivos o amenazas para la seguridad pública, así como la transmisión a la autoridad competente de los datos relacionados con dichos actos delictivos o amenazas para la seguridad pública.

Además, la nueva LOPD-GDD recoge los siguientes supuestos:

  • El tratamiento de los datos de empresarios individuales cuando se refieran a ellos en dicha condición y no se traten para entablar una relación con los mismos como personas físicas.
  • El tratamiento de los datos de las personas físicas que presten servicios en una persona jurídica, siempre que se trate de los datos mínimos imprescindibles para su localización profesional y se utilicen para mantener la relación con la persona jurídica.

Además de estos ejemplos citados en la normativa, también son ejemplos de interés legítimo en protección de datos, la instalación de cámaras de videovigilancia (el interés del responsable por proteger bienes y/o personas), la comunicación de datos personales entre las administraciones públicas o la inclusión en listas de morosos (cuando se cumplen los requisitos establecidos por la ley).

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.