Conoce Atico34 - Solicita presupuesto
LOPDGDD & RGPD

Interés legítimo: Definición y ejemplos

Entre las bases legitimadoras del tratamiento de datos personales, encontramos el interés legítimo, en apariencia, una suerte de «cajón de sastre» al que los responsables del tratamiento recurren en ocasiones para justificar tratamientos que no tienen cabida ni el consentimiento del interesado ni otras bases jurídicas, pero ¿qué es el interés legítimo en protección de datos? ¿Cómo se determina si existe o no un interés legítimo para el tratamiento?

En este artículo respondemos a estas y otras cuestiones relativas al interés legítimo y la protección de datos.

¿Qué es el interés legítimo en protección de datos?

El interés legítimo en protección de datos es la base jurídica que permite hacer un tratamiento de datos personales sin recabar el consentimiento del interesado para satisfacer una necesidad legítima del responsable del tratamiento o de un tercero, previa comprobación de que satisfacer ese interés legítimo no afecta significativamente a los derechos y libertades del interesado.

El interés legítimo en Derecho constituye un concepto jurídico indeterminado y ambiguo, que en su aplicación, incluido en el ámbito de la protección de datos, requiere sopesar los hechos que rodean un determinado tratamiento de datos: el beneficio material que una o varias operaciones específicas de tratamiento de datos personales ajenos proporciona al sujeto interesado, consideradas como herramientas adecuadas para satisfacer una necesidad tutelada por el derecho, y el grado en que los derechos o la esfera jurídica del titular de datos se ven negativamente afectados por dichos tratamientos (externalidad).

Es decir, la aplicación del interés legítimo en el tratamiento de datos personales requiere de la ponderación entre los intereses legítimos alegados por el responsable del tratamiento o un tercero interesado, y los derechos fundamentales del interesado o interesados cuyos datos quieren tratarse, para determinar cuáles tienen prevalencia.

Ponderar todas las circunstancias en conjunto hará posible establecer si el responsable o el tercero en cuyo nombre se actúa está habilitado para realizar las actividades de tratamiento de datos personales de los interesados, sin necesidad de recabar el consentimiento para ello.

Cabe señalar que el interés legítimo en la protección de datos puede afectar al ejercicio de derechos de supresión, oposición y limitación.

Así mismo, que se pueda basar el tratamiento de datos personales en el interés legítimo no anula la obligación de informar a los interesados sobre el tratamiento de sus datos y su finalidad.

tarifas proteccion datos

Interés legítimo en el RGPD

Como una de las seis bases legitimadoras del tratamiento de datos personales, el interés legítimo en el RGPD está regulado en el apartado 1, letra f) del artículo 6. Aquí se habilita el tratamiento de datos personales, cuando exista un interés legítimo del responsable o de un tercero, siempre que ese interés legítimo no prevalezca sobre los intereses o derechos y libertades fundamentales del interesado.

Es decir, que si bien se puede usar el interés legítimo como fuente de licitud del tratamiento, en su aplicación habrá que tener en cuenta que dicho interés no se sobrepone a los derechos y libertades del interesado. Así, el RGPD obliga a llevar a cabo una ponderación entre el interés legítimo del responsable del tratamiento y los derechos fundamentales del interesado, para determinar cuál tiene prevalencia.

Interés legítimo en la LOPDGDD

Por su parte, el interés legítimo en la LOPDGDD (Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales) está regulado de la misma forma que en el RGPD, es decir, para su aplicación es necesario ponderar los intereses del responsable o un tercero con los derechos fundamentales de los interesados y determinar cuáles prevalecen.

Si bien, la LOPDGDD establece una presunción de prevalencia del interés legítimo del responsable de bases de datos, respecto de las siguientes operaciones:

  • Tratamiento de los datos de contacto y, en su caso, los relativos a la función o puesto desempeñado de las personas físicas que presten servicios en una persona jurídica.
  • Tratamiento de los datos relativos a los empresarios individuales y a los profesionales liberales.
  • Tratamiento de datos personales relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito por sistemas comunes de información crediticia.
  • Tratamientos de datos que pudieran derivarse del desarrollo de cualquier operación de modificación estructural de sociedades o la aportación o transmisión de negocio o de rama de actividad empresarial.

interés legítimo protección de datos

Aplicación del interés legítimo en protección de datos

Dada la naturaleza difusa del concepto y, cómo venimos diciendo en puntos anteriores, la aplicación del interés legítimo en protección de datos requiere de una ponderación entre el interés legítimo del responsable del tratamiento o un tercero y los derechos fundamentales de los interesados.

Esta ponderación debería hacerse siempre con carácter previo al tratamiento, especialmente cuando se tengan dudas respecto a si puede o no ser necesario recabar el consentimiento expreso de los interesados para un determinado tratamiento de datos.

La ponderación del interés legítimo se basa en tres criterios:

  • Idoneidad del tratamiento: Realizar el tratamiento de datos es realmente necesario para los intereses de nuestra empresa.
  • Necesidad del tratamiento: No existe otro medio menos intrusivo para conseguir la finalidad que buscamos con el tratamiento de datos.
  • Proporcionalidad del tratamiento: Analizar el tratamiento y determinar qué impacto tendrá sobre los derechos y libertades de los interesados.

Cómo aplicar los criterios de ponderación para probar el interés legítimo

Para aplicar los criterios de ponderación del interés legítimo en protección de datos, se debe llevar a cabo un análisis exhaustivo del interés legítimo alegado por el responsable del tratamiento o del tercero que lo alegue para realizar un tratamiento de datos en contraposición de los derechos fundamentales del interesado que pueden verse afectados.

La normativa no recoge cómo debe llevarse a cabo esta ponderación, por lo que los responsables pueden realizarlo siguiendo la metodología que crean oportuna, siempre y cuando se contemplen los tres criterios de ponderación que hemos citado en el punto anterior.

Así, el responsable del tratamiento deberá valorar si el tratamiento de datos personales que quiere realizar es realmente necesario para los intereses de su organización, es decir, si tratar esos datos es útil e imprescindible para alcanzar un determinado objetivo. Determinada la relevancia de la necesidad, se debe comprobar que no existen tratamientos menos intrusivos para lograr esa finalidad u objetivo. Y finalmente, se debe determinar si de la realización del tratamiento de datos se derivan más beneficios que inconvenientes para los interesados y si esos beneficios tienen realmente prevalencia sobre los derechos fundamentales del interesado.

Para entenderlo mejor, veámoslo con un ejemplo de aplicación de los criterios de ponderación del interés legítimo en un tratamiento de datos concreto; la videovigilancia.

Un comercio (responsable del tratamiento) quiere instalar cámaras de videovigilancia en las instalaciones para prevenir la comisión de hurtos en su interior y, en caso de que sucedan, tener pruebas para su denuncia. La instalación de estas cámaras supone un tratamiento de datos personales, ya que captan y almacenan imágenes de personas identificables. El interés legítimo que alegará el comercio será la seguridad de bienes, empleados y clientes.

En lo que respecta a la idoneidad, las cámaras de seguridad responden a la necesidad del comercio de prevenir y, en su caso, denunciar, los casos de hurto en las instalaciones, hechos que le suponen pérdidas económicas. Por tanto, el tratamiento es necesario para evitar estas pérdidas.

En cuanto a la necesidad, la colocación de las cámaras de seguridad son una herramienta disuasoria de este tipo de conductas delictivas, pero además, generan una prueba para la denuncia de los delitos cometidos. Pese a su intrusión en el derecho a la intimidad y la imagen de los interesados, la finalidad perseguida, evitar hurtos y tener pruebas, no podría lograrse de la misma manera con otro tipo de medidas (tener guardas de seguridad podría prevenir los hurtos, pero no captarían imágenes de los mismos ni pueden estar presentes en todos los puntos de vigilancia del establecimiento).

Finalmente, se ponderan el interés del comercio de evitar hurtos y su derecho a la tutela judicial en caso de que estos se produzcan, frente al derecho a la intimidad y la imagen de las personas que visitan el establecimiento. En este caso prevalece el interés legítimo del comercio, si bien, deberá informar de la presencia de las cámaras y la finalidad de las mismas a las personas que visiten o trabajen en el establecimiento y deberá adoptar las medidas de seguridad técnicas y organizativas que garanticen que terceros no autorizados no tendrán acceso a las imágenes de seguridad.

Ejemplos de interés legítimo en protección de datos

Aparte del ejemplo de interés legítimo de la videovigilancia del punto anterior, tenemos otros ejemplos, algunos de los cuales están contemplados en los considerandos del propio RGPD:

  • La mercadotecnia directa. Por ejemplo, cuando existe una relación contractual entre un responsable y un interesado para la prestación de un servicio, el responsable puede enviar comunicaciones comerciales relativas o relacionadas con ese servicio al interesado, sin necesidad de recabar su consentimiento. Sería el caso de los proveedores de telefonía e internet con quienes tenemos contratada nuestra línea telefónica y nuestra conexión a la Red, pueden llamarnos o enviarnos correos electrónicos promocionales de sus servicios.
  • La prevención del fraude. Por ejemplo, un banco puede monitorizar las transacciones de sus clientes para la detección de patrones sospechosos y proteger así la seguridad financiera del propio banco y los titulares de las cuentas.
  • Seguridad en el centro de trabajo. Por ejemplo, la instalación de controles de acceso físico mediante identificación (tarjeta, código, etc., asignados a los empleados) garantiza tanto la seguridad las instalaciones, al impedir el acceso de personas autorizadas, como de los propios empleados.
  • La comunicación de datos entre las administraciones públicas para poder realizar un mejor servicio público a los ciudadanos, evitando que tengan que facilitar diferente documentación cada vez que van a realizar determinados trámites.
  • La inclusión en listas de morosos para poder recuperar el dinero de una deuda pendiente, siempre y cuando se cumplan los requisitos que establece la ley para ello.
  • La comunicación de datos de trabajadores dentro de un mismo grupo empresarial, para que la compañía pueda cumplir con determinados fines administrativos internos.
  • La instalación de aplicaciones o programas de control de la actividad laboral en los dispositivos entregados por la empresa para la realización de las tareas laborales.

En definitiva, pese a la indefinición del interés legítimo en protección de datos, lo cierto es que sí hay criterios para determinar si como responsables del tratamiento podemos llevar a cabo un tratamiento concreto amparado en nuestro interés legítimo y siempre es necesario llevar a cabo esa ponderación entre el interés legítimo y los derechos fundamentales de los interesados, labor que en algunos casos puede resultar compleja y, dado el grado de subjetividad presente, puede resultar recomendable pedir el asesoramiento de expertos en protección de datos, como una consultoría o un abogado, que aportará mayor objetividad a la valoración.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.