Por conversaciones con clientes y compañeros, detecto que el interés legítimo, como base jurídica del tratamiento de datos, suscita muchos interrogantes y en ocasiones provoca cierto nerviosismo. Es curioso porque, aunque en España lo estuvimos manejando de forma errónea (hasta que nos corrigió el TJUE con su sentencia de 24 de noviembre 2011 sobre el asunto ASNEF y FECEMD), no se trata de ninguna novedad del Reglamento General de Protección de Datos (RGPD). Éste contempla exactamente los mismos fundamentos que legitiman el tratamiento de datos que ya contenía la Directiva 95/46.

No obstante, es cierto que, al exigir el Reglamento que, en los tratamientos basados en el consentimiento de los interesados, éste sea inequívoco y en sentido positivo, se esté acudiendo, o al menos se pretenda, al interés legítimo como base alternativa que legitima aquellos tratamientos para los que no se cuenta con un consentimiento otorgado con tales características y en los que no cabe aplicar ninguna otra base jurídica.

Por este motivo se pone el foco ahora sobre el interés legítimo y la incertidumbre surge porque, al igual que sucede con la Directiva, el RGPD exige no sólo la existencia de un interés legítimo, sino que éste prevalezca sobre los intereses o los derechos y libertades de los interesados. En definitiva, hay que ponderar (¡chan chan!). Y en toda ponderación suele suceder que, antes o después hay que chuparse el dedo y ponerlo al viento. Pero mejor hacerlo lo más tarde posible y contar previamente con elementos lo más objetivos posibles que nos puedan guiar como pesas que se van poniendo en la balanza (aunque, como apunto, al final tengamos que recurrir a lo del dedo a la hora de dar un valor a cada una de esas pesas).

El Reglamento regula el interés legítimo principalmente en su artículo 6.1.f), así como en los Considerandos 47 a 50, que, entre otras cosas, indican algunos de los supuestos en los que puede entenderse que el interés del responsable o de un tercero puede considerarse como legítimo (sin perjuicio de tener que llevar a cabo la necesaria ponderación comentada).

Art. 6.1.f):

El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.

Resulta oportuno transcribir igualmente los dos siguientes párrafos del Considerando 47, que aporta unas pinceladas muy genéricas, que he subrayado, de aspectos a tener en cuenta sobre la ponderación que hay que realizar:

El interés legítimo de un responsable del tratamiento, incluso el de un responsable al que se puedan comunicar datos personales, o de un tercero, puede constituir una base jurídica para el tratamiento, siempre que no prevalezcan los intereses o los derechos y libertades del interesado, teniendo en cuenta las expectativas razonables de los interesados basadas en su relación con el responsable.

(…)

En cualquier caso, la existencia de un interés legítimo requeriría una evaluación meticulosa, inclusive si un interesado puede prever de forma razonable, en el momento y en el contexto de la recogida de datos personales, que pueda producirse el tratamiento con tal fin. En particular, los intereses y los derechos fundamentales del interesado podrían prevalecer sobre los intereses del responsable del tratamiento cuando se proceda al tratamiento de los datos personales en circunstancias en las que el interesado no espere razonablemente que se realice un tratamiento ulterior.

No arroja, por tanto, mucha luz el Reglamento en cuanto al examen que debe llevarse a cabo para determinar cuándo un interés legítimo existente y necesario legitima un tratamiento de datos. Y entiendo que tampoco es función de esta norma llegar a tanto detalle e, incluso, podría ser contraproducente. En este punto, llamo la atención sobre el Anteproyecto de LOPD, donde quizá sí cabría desarrollar un poco más la cuestión[i], así como en un futuro Reglamento de desarrollo de esa nueva LOPD.

Las Administraciones Públicas lo tienen fácil con el interés legítimo respecto a los tratamientos de datos que deban realizar en ejercicio de sus funciones. Sencillamente no pueden basar ninguno de esos tratamientos en dicho supuesto, tal como dispone el propio art. 6 citado, al final del apartado f): …no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones. La razón, según se menciona en el Considerando 47 del propio RGPD, es que corresponde al legislador establecer por ley la base jurídica para el tratamiento de datos personales por parte de las autoridades públicas.

Ahora bien, para otros supuestos, y siempre que el responsable lo sea una entidad privada, conviene, llegados aquí, recurrir al GT29, concretamente a su Dictamen 06/2014, de 9 de abril de 2014, sobre el concepto de interés legítimo del responsable del tratamiento de los datos en virtud del artículo 7 de la Directiva 95/46/CE. Sí, es cierto, se refiere al interés legítimo previsto en la Directiva, no en el Reglamento, pero es que, como he apuntado anteriormente, la figura del Reglamento no es nueva, sino que se trata del mismo interés legítimo que se contempla en la Directiva; el mencionado dictamen, por tanto, resulta perfecta y plenamente aplicable.

En dicho dictamen el GT29 nos guía a la hora de realizar el pertinente examen sobre el interés legítimo para concluir si éste puede legitimar un determinado tratamiento de datos o no. Para ello deberemos dar los pasos que se resumen en el siguiente esquema:

Vayamos por partes.

 

A) ¿SE TRATA DE UN INTERÉS LEGÍTIMO?

No todo interés del responsable o de un tercero tiene por qué ser legítimo y esta característica es requisito indispensable para que dicho interés pueda acabar legitimando un tratamiento de datos.

El GT29 exige que, para que pueda considerarse legítimo un interés, éste sea:

• Lícito: que sea conforme a la legislación nacional y de la UE, es decir que no se trate de materia prohibida, ni atente contra el orden público, ni sea contraria a los principios generales del Derecho (cuáles son éstos es otro cantar).
• Suficientemente concreto: Lo que requiere que quede claramente delimitado y definido, para poder ponerlo en contraposición a los intereses y los derechos fundamentales del interesado.
• Representativo de un interés real y actual, es decir, que no sea especulativo.

No tiene sentido crear una lista cerrada de intereses legítimos, pues estos pueden ser infinitamente dispares y además variar en función del tiempo y de las circunstancias. No obstante, el RGPD, en sus Considerandos 47 a 50, nos marca ya algunos supuestos concretos de interés legítimo:

• La prevención del fraude (Considerando 47).
• La mercadotecnia directa (Considerando 47).
• Garantizar la seguridad de la red y de la información, así como de los servicios proporcionados a través de esos sistemas o redes de información (Considerando 49).
• Compartir datos personales dentro de un mismo grupo empresarial o entre entidades afiliadas a un mismo organismo central con fines administrativos internos (Considerando 48).
• La indicación de posibles actos delictivos o amenazas para la seguridad pública, así como la transmisión a la autoridad competente de los datos relacionados con dichos actos delictivos o amenazas para la seguridad pública (Considerando 50).

A éstos habrá que añadir los que, en su caso, recoja finalmente la reforma definitiva de nuestra LOPD. Actualmente en el Anteproyecto se mencionan los dos siguientes:

• El tratamiento de los datos de las personas físicas que presten servicios en una persona jurídica, siempre se trate de los datos mínimos imprescindibles para su localización profesional y se utilicen para mantener la relación con la persona jurídica en cuestión.
• El tratamiento de los datos de empresarios individuales cuando se refieran a ellos en dicha condición y no se traten para entablar una relación con los mismos como personas físicas.

Además, en el propio dictamen del GT29 se aportan más supuestos que pueden considerarse como interés legítimo y en su Anexo 2 se describen algunos ejemplos prácticos que pueden ser muy útiles. Entre los primeros se exponen a continuación, por no ser repetitivos, sólo aquellos que difieren de los recogidos en los Considerandos del RGPD:

• El ejercicio del derecho de libertad de expresión o información, incluidas las situaciones en las que se ejerza dicho derecho en los medios de comunicación y en las artes.
• La prospección convencional y otras formas de comercialización o publicidad.
• Los mensajes no comerciales que no hayan sido solicitados, incluidos los pertenecientes a campañas políticas o de recaudación de fondos para organizaciones caritativas.
• La ejecución de derechos reconocidos en procedimientos judiciales, incluido el cobro de deudas mediante procedimientos extrajudiciales.
• la prevención del uso indebido de servicios o del blanqueo de dinero.
• La supervisión de los empleados con fines de seguridad o de gestión. En relación con este concreto tratamiento, el propio GT29 ha emitido recientemente otro dictamen que aborda, entre otras, directamente esta cuestión: Dictamen 2/2017 sobre tratamiento de datos en el trabajo, de fecha 8 de junio de 2017, disponible en inglés en pdf en http://ec.europa.eu/newsroom/document.cfm?doc_id=45631.[ii]
• Los regímenes internos de denuncia de irregularidades.
• La seguridad física.
• El tratamiento con fines históricos, científicos o estadísticos.
• El tratamiento con fines de investigación (incluida la investigación de mercado).

Insisto, no podemos tratar estos listados con la condición de «númerus clausus», por lo tanto, aunque “nuestro” interés no figure entre los descritos, no significa que no pueda ser un interés legítimo. Lo será siempre que cumpla los requisitos iniciales: licitud, concreción, real y actual.

Si llegamos a la conclusión de que el interés no es legítimo, se paran las máquinas, no puede basarse el tratamiento de datos en dicho interés y habrá que ver si concurre alguna otra base jurídica que pueda legitimar dicho tratamiento.

No debemos confundir el interés del responsable o de un tercero con la finalidad del tratamiento. Ésta es la que se persigue como medio que permita la satisfacción del interés legítimo, pero pueden ser cosas totalmente distintas. También es importante que el interés legítimo quede lo mejor descrito o definido posible de cara al siguiente paso a dar: valorar si el tratamiento es necesario para poder conseguir el interés legítimo.

B) ¿EL TRATAMIENTO DE DATOS ES NECESARIO PARA CONSEGUIR EL INTERÉS LEGÍTIMO?

El GT29 en su dictamen nos exhorta a considerar que un tratamiento no será necesario si existen medios menos invasivos a través de los cuales se logra el mismo fin. Y ello sin que deba tenerse en cuenta si esos otros medios menos invasivos le resultan más o menos apropiados o eficaces para el responsable del tratamiento.

Por ello habrá que valorar la conveniencia de introducir, en la determinación del interés legítimo (paso previo), ciertas características propias del resultado que se pretende obtener, tales como el coste, el tiempo, esfuerzos y recursos a emplearse en la consecución del interés legítimo (“al menor coste posible”, “en un plazo no superior a”, “con una inversión ajustada de recursos o esfuerzos” …)

 

C) PONDERACIÓN ENTRE EL INTERÉS LEGÍTIMO Y LOS INTERESES O DERECHOS Y LIBERTADES DE LOS INTERESADOS.

Teniendo en cuenta que el RGPD marca que la ponderación debe hacerse teniendo en cuenta la expectativa razonable de los interesados en función de su relación con el responsable, así como las orientaciones que el GT29 aporta a lo largo de todo su dictamen, se detalla a continuación una batería de preguntas que el responsable del tratamiento puede plantearse para sopesar los intereses en juego y que convendrá que, junto con el resto de cuestiones, deje plasmado en un informe u otro documento que justifique su decisión:

1. ¿Coincide el interés legítimo del responsable o de un tercero con un derecho fundamental, un interés público o un interés de la comunidad en general aun cuando éste no se encuentre legalmente estipulado?
2. ¿Concurren en el tratamiento algún elemento característico de otras bases jurídicas que, aunque no pudiendo legitimar por sí solo el tratamiento, sí aporte refuerzo al interés legítimo? (Por ejemplo, si se obtuvo el consentimiento del interesado, aunque no en el modo que exige el RGPD para que dicho consentimiento pueda actuar como base jurídica).
3. ¿Existe reconocimiento jurídico, cultural o social de la legitimidad del interés? Es decir, si se puede contar con directrices, políticas, recomendaciones, guías, declaraciones, manifiestos, demandas sociales, etc., que impulsen la consecución del interés legítimo. En realidad, este podría ser un subtipo de la primera cuestión o una forma de demostrar que aquella se da positivamente.
4. ¿El análisis de riesgo del tratamiento o una evaluación de impacto en protección de datos sobre el mismo, arroja un resultado de riesgo alto para los derechos y libertades fundamentales de los interesados?
5. ¿El tratamiento afecta negativamente a algún otro derecho fundamental de los interesados?
6. ¿Se tratan datos de categorías especiales?
7. ¿Se revelan los datos al público o a un gran número de personas?
8. ¿Se combinan dichos datos con otros obtenidos por otras vías o de otras fuentes?
9. ¿Les cabe esperar a los interesados que sus datos puedan ser objeto del tratamiento en cuestión o para la finalidad del mismo?
10. ¿La/s categoría/s de interesados cuyos datos son objeto del tratamiento en cuestión pertenecen a un segmento más vulnerable de la población (menores, personas con discapacidad, solicitantes de asilo o refugio, víctimas de violencia de género, víctimas de terrorismo, etc.)?
11. ¿Se deriva del tratamiento algún beneficio para los interesados?
12. ¿Cuál es el grado de invasión en la privacidad de los interesados (bajo, medio o alto)?
13. ¿Cuál es la duración del tratamiento (una semana o menos, 1 mes, 3 meses, 6 meses, 1 año, más de 1 año…)?
14. ¿Cuál es la frecuencia del tratamiento (puntual, esporádica, continua)?
15. Al margen del nivel de invasión en la privacidad de los interesados y del riesgo que conlleve el tratamiento para éstos, ¿cabe esperar que el tratamiento en sí mismo les ocasione algún perjuicio o consecuencia negativa?
16. ¿Existe relación directa entre el responsable los interesados?
17. ¿Mantiene el responsable una posición dominante respecto a los interesados?
18. ¿Existe algún tipo de contraprestación o compensación a favor de los interesados por el tratamiento de sus datos?

Por supuesto éstos no son más que interrogantes que se proponen aquí con una función meramente orientadora. No se agrupan o clasifican en virtud de a quién beneficie la respuesta, en primer lugar, porque se parte de la idea de que los intereses del responsable y de los interesados no tiene por qué ser contrapuestos, aunque en muchos casos así pueda suceder, pero no como regla. También porque, dada la diversidad de intereses legítimos y de tratamientos de datos que pueden plantearse, no parece resultar apropiado determinar apriorísticamente las respuestas que juegan a favor del interés legítimo y las que lo hacen a favor de los intereses o derechos y libertades de los interesados. Es más, en determinados supuestos es posible tanto que algunas de las cuestiones planteadas resulten irrelevantes como que sea necesario incorporar otras distintas.

 

D) EL EQUILIBRIO PROVISIONAL.

Una vez realizada la ponderación anterior, el responsable puede estar ya en condiciones de determinar si prevalece su interés legítimo sobre los intereses o derechos y libertades de los interesados o no. Si claramente es así, se pueden concluir que el tratamiento de datos está legitimado y podrá llevarse a cabo, obviamente con cumplimiento del resto de exigencias que la normativa vigente impone.

Sin embargo, en caso contrario o si aún se tienen dudas, así como si sencillamente, a pesar de que claramente prevalezca el interés legítimo, se quiere reforzar éste (lo que siempre será una buena práctica), el responsable puede acudir a una serie de garantías adicionales, cuyo cumplimiento o concurrencia pueden acabar  inclinando la balanza a favor de unos intereses u otros, dependiendo de una ulterior evaluación de todas las circunstancias en conjunto.

 

E) GARANTÍAS ADICIONALES.

El GT29 en su dictamen recopila algunas herramientas o procedimientos que pueden ser considerados como garantías adicionales a los efectos aquí comprendidos. Sin embargo, considero que aquellas que pueden traducirse en obligaciones o exigencias legales (ya contenidas en su día en la Directiva o ahora en el Reglamento), no deben computar como tal, puesto que son de obligado cumplimiento independientemente de cualquier otra cuestión y no parece muy apropiado que puedan, por tanto, servir para reforzar ninguna base jurídica del tratamiento de datos.

Hecha esta salvedad, y teniendo en cuenta que tampoco en este caso podemos hablar de listas cerradas, se enumeran a continuación, con carácter igualmente orientativo, algunas posibles garantías adicionales:

1. Facilitar, directamente a los interesados o, en caso de que ello resulte imposible o altamente costoso, al público en general (por ejemplo, mediante publicación en la propia web, difusión en redes sociales propias, anuncios especializados, etc.), información transparente y más amplia que la exigida legalmente sobre el tratamiento de datos y el interés legítimo.
2. Enviar periódicamente recordatorios con la información anterior.
3. Facilitar a los interesados uno o varios mecanismos viables y accesibles para garantizar la posibilidad incondicional de que se excluyan voluntariamente del tratamiento.
4. Informar a los interesados de otros mecanismos que existan, aunque no los aplique o provea directamente en responsable, a través de los cuales aquellos puedan impedir o limitar, de forma sencilla y gratuita, el tratamiento de sus datos (bloqueadores de cookies, listas Robinson, configuraciones de privacidad, etc.)
5. Aplicar en el tratamiento técnicas de anonimización o medidas que garanticen que los datos no pueden utilizarse para adoptar medidas o emprender otras acciones en relación con los interesados.
6. Facilitar a los interesados mecanismos de empoderamiento, para que puedan de forma directa acceder, modificar, eliminar, transferir o reutilizar sus propios datos.

 

F) EQUILIBRIO FINAL.

Llegados a este punto, habrá que determinar finalmente si el interés legítimo del responsable o de un tercero prevalece sobre los intereses o derechos y libertades de los interesados, en cuyo caso podrá llevarse a cabo el tratamiento, o si por el contrario prevalecen éstos últimos y, por lo tanto el tratamiento no puede realizarse o deberá examinarse si concurre en él alguna otra base jurídica que pueda legitimarlo.

Es conveniente partir de la base de que cualquier tratamiento basado en el interés legítimo conlleva un riesgo para el responsable: el de que posteriormente la autoridad de control y/o, en su caso, los tribunales, consideren que el interés legítimo no existe, que el tratamiento de datos en cuestión no es necesario para conseguir dicho interés legítimo, o que deben prevalecer los intereses o derechos y libertades de los interesados frente a aquél. Esto supondría que el tratamiento de datos que se ha estado realizando es ilícito, salvo que pudiera basarse en otro supuesto que lo legitime de los contenidos en el art. 6 RGPD, y podría conllevar la pertinente sanción de hasta 20 millones de euros o hasta el 4% de volumen de negocio total anual global del ejercicio financiero anterior del responsable.

Por ello y porque en toda ponderación no se puede eliminar cierto grado, aunque sea mínimo, de subjetividad, conviene dejar documentado el proceso de determinación de la prevalencia del interés legítimo, donde queden reflejados, entre o tras cosas, los pasos que aquí se han comentado de la forma más objetiva posible, buscando un examen real y concienzudo y no un traje a medida para el tratamiento de datos en cuestión.

Por último, y por muy obviedad que nos pueda parecer, resulta oportuno recordar que, con independencia de que se den los requisitos necesarios para basar un tratamiento en el interés legítimo, hay que cumplir el resto de obligaciones que nos exige la normativa sobre protección de datos. Lo digo por aquellos que, dando por válido su interés legítimo y la prevalencia de éste, pudiendo perfectamente, no informan a los interesados sobre el tratamiento sus datos basado en aquél.

 

Imagen destacada: Designed by bearfotos in http://www.freepik.com

---

[i] En dicho Anteproyecto parece que sólo se hace referencia al interés legítimo para indicar, en su art. 9, que la ley podrá considerar fundado un determinado tratamiento en la existencia de un interés legítimo del responsable del tratamiento o de un tercero, así como para, tal cual se apunta en el mencionado artículo, considerar que el tratamiento de los datos de contacto de las personas físicas que presten servicios en una persona jurídica, así como de los datos de empresarios individuales podrían basarse en el interés legítimo (art. 12).

[ii] En relación con esta cuestión, recomiendo la lectura del artículo de Miguel Recio Gayo, “Nuevo dictamen del GT29 sobre tratamiento de datos en el trabajo: el interés legítimo”, publicado en Diario La Ley, Nº 8, Sección Ciberderecho, 19 de Julio de 2017, Editorial Wolters Kluwer, y disponible en línea en http://diariolaley.laley.es/home/DT0000251744/20170719/Nuevo-dictamen-del-GT29-sobre-tratamiento-de-datos-en-el-trabajo-el-interes-legi