El interés legítimo: ¿un cajón de sastre?


Ya sabemos que, con la regulación del RGPD, hay seis bases jurídicas que nos permiten tratar los datos de forma lícita: el consentimiento, el tratamiento para la ejecución de un contrato, el cumplimiento de una obligación legal, el interés vital del interesado, la misión de interés público y el interés legítimo (IL).

Estas bases legitimadoras, pues, se convierten en el engranaje fundamental para realizar cualquier tratamiento de datos. Un responsable de tratamiento de datos no podrá tratar datos siempre que quiera, sino solamente cuando esté habilitado para ello. Por tanto, solo cuando exista una base legitimadora (es decir, se encuentre ante uno de los supuestos establecidos legalmente) podrá proceder a dicho tratamiento.

¿Alguna de estas bases jurídicas tiene más fuerza que las demás?

 No. Todas ellas se encuentran reguladas en el artículo 6 del RGPD y tienen la misma fuerza de aplicación; ninguna de ellas es la principal y las demás son excepciones, sino que todas tienen la misma importancia: esto quiere decir que podemos tratar los datos basándonos en cualquiera de ellas, siempre, eso sí, ajustándolo al tratamiento concreto.

¿Cuándo escoger una u otra base legítima?

Es muy importante seleccionar correctamente las bases jurídicas, pues de ello se deriva proporcionar la correcta información al interesado, el correcto tratamiento de los datos y la aplicación de las medidas de seguridad más apropiadas. Se habilita el tratamiento de datos en los siguientes casos:

  1. Consentimiento: El interesado ha otorgado su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos. Debe ser libre, informado, específico e inequívoco, siendo inválido para el otorgamiento del mismo la inactividad o las casillas pre-marcadas en las casillas de verificación. Además, el interesado siempre deberá tener la posibilidad de retirar el consentimiento de manera sencilla y sin que le suponga ningún tipo de perjuicio.
  2. Contrato o medidas precontractuales: Cuando exista un contrato o precontrato en el que el interesado es parte y el tratamiento de datos es necesario para su ejecución (por ejemplo, para ejecutar un contrato de trabajo).
  3. Obligación legal: Aplicará esta base jurídica cuando exista una norma que obligue al responsable a llevar a cabo una actividad concreta que conlleve tratamiento de datos (por ejemplo, cuando una entidad debe transmitir información a autoridades públicas, como a la Comisión de Blanqueo de Capitales, a la Seguridad Social o la Agencia Tributaria).
  4. Interés vital del interesado: Esta base legitimadora aplicaría cuando fuera necesario para proteger la vida del interesado o de otra persona física (por ejemplo, para un tratamiento de datos en el ámbito hospitalario o servicios de emergencias).
  5. Interés público: Esto se daría cuando el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento (se dará principalmente en ámbitos relacionados con la administración pública).
  6. Interés Legítimo del responsable: Esta es, probablemente, la base legitimadora más difícil de entender, aunque, en muchas ocasiones, la más práctica. Es por ello que vamos a analizarla.

Primero de todo, ¿Qué es el Interés Legítimo?

Aunque parezca una base jurídica introducida por el RGPD, no lo es. Ya existía en la antigua normativa y el Grupo de Trabajo del art. 29 (hoy la CEPD) en su dictamen 6/2014, ya hablaba sobre el concepto del Interés Legítimo.

Así pues, el Interés Legítimo, en el dictamen 6/2014 se definía como el beneficio real y actual del responsable que se trata de obtener de forma lícita y clara. Sin embargo, el Interés Legítimo no puede aplicarse así sin más ni directamente, sino que deberá confrontarse a los intereses, derechos y libertades fundamentales de los interesados y solo podrá utilizarse como base jurídica del tratamiento cuando, tras esta ponderación, resulte favorable para el responsable.

¿Cuándo puede usarse el IL?

Para poder basar un tratamiento en esta base legitimadora, se deben dar varios elementos:

– que exista un interés por parte del responsable del tratamiento o un tercero (puntualicemos que no podrá ser una administración pública);

– que dicho interés sea lícito (es decir, no puede basarse en un hecho ilegal o fraudulento);

– que, tras la correspondiente ponderación, se determine que los intereses o derechos y libertades de los interesados no prevalezcan sobre el interés legítimo del responsable.

Importante recalcar que el IL no habilita para tratar categorías especiales de datos (no se recoge en el artículo 9 del RGPD), ni cuando el tratamiento lo lleven a cabo autoridades en el ejercicio de sus funciones (considerando 47 del RGPD).

¿Qué debemos analizar cuando queremos utilizar el IL como base legitimadora?

Para comprobar si el tratamiento de datos amparado en el IL es lícito, se deberán realizar tres “tests”:

  • test de finalidad, es decir, valorar la satisfacción de intereses legítimos del responsable,
  • test de necesidad, es decir, valorar si el tratamiento es necesario, y
  • test de proporcionalidad, es decir, que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades del interesado.

En definitiva, el juicio sobre finalidad, necesidad y proporcionalidad debe tener a buscar la alternativa menos intrusiva para los derechos y libertades del interesado.

Para ello, teniendo en cuenta la finalidad que se persigue con el tratamiento, deberán identificarse:

  • En primer lugar, los concretos “intereses legítimos” que persigue el responsable, así como los beneficios y afectaciones para el interesado.
  • En segundo lugar, hay que valorar si existen o no otras alternativas para lograr esos “intereses legítimos”.
  • Y, finalmente, valorar el daño o perjuicio potencial para los derechos del interesado y si estos deben prevalecer o no sobre los “intereses legítimos” del responsable.

Casos en que el RGPD permite directamente aplicar el IL:

El RGPD proporciona en los considerandos 47 y 48 algunos ejemplos concretos en los que el Interés Legítimo podría aplicar, como la prevención del fraude, garantizar la seguridad de la red, la transmisión de datos entre un grupo empresarial o el tratamiento de datos con fines de mercadotecnia directa, pero en cualquier caso es un concepto abierto que debe analizarse caso por caso, no eximiéndose al responsable de realizar el análisis del Interés Legítimo.

La transmisión de datos entre empresas de un mismo grupo:

Cada vez más nos encontramos en que grupos de empresas ubicadas en distintos países deben transmitirse entre ellas datos personales (de sus trabajadores o de clientes). Según el considerando 48 del RGPD, considera que los responsables que forman parte de un grupo empresarial pueden amparar dicha transmisión en el Interés Legítimo con fines administrativos internos.

Este IL requerirá igualmente la realización de un análisis, puesto que en ocasiones la base jurídica para el tratamiento de esos datos puede llevarnos a confusión. Por ejemplo, si deben facilitarse esos datos a organismos públicos, realizar declaraciones fiscales, prevenir el blanqueo de capitales, etc., nos encontraríamos ante una base jurídica para el tratamiento fundada en el cumplimiento de una normativa. Sin embargo, si ese fin administrativo es simplemente para la presentación de información estadística de actividad, proyecciones comerciales, etc., dicho grupo debería preguntarse si es necesario facilitar datos personales de sus clientes o empleados, o si dichos datos podrían facilitarse simplemente de forma anonimizada.

En otro post os hablaremos de los derechos de los usuarios relacionados con el uso del Interés Legítimo, así como os indicaremos una breve recopilación de buenas prácticas aplicables al proceso de valoración del Interés Legítimo de manera que os pueda facilitar su ejecución, se dote de mayor transparencia a los sujetos afectados e incluso se pueda evidenciar el correcto cumplimiento de la normativa, y así atender el principio de responsabilidad proactiva.

Y recordad, para cualquier duda o consulta que os haya surgido al respecto de este tema, estamos a vuestra disposición.

El equipo de PymeLegal.