Publicamos riguroso artículo de Dª. Victoria Hernández Turiel, Abogada y Politóloga. Especialista en derecho de nuevas tecnologías. Experta en protección de datos, comercio electrónico y propiedad intelectual e industrial.
En esta entrada, se analizarála base legitimadora del tratamiento de datos de carácter personal, en concreto el interés legítimo, cuya aplicación suele suscitar conflictos. Se analizará lo que engloba la base en cuestión y los requisitos para su aplicación. Así mismo se ilustrarán una serie de tratamientos que pueden ampararse en el interés legítimo.
¿En qué consiste el interés legítimo en materia de protección de datos?
Es una de las bases de legitimación del tratamiento que permite tratar los datos personales al responsable o de un tercero, cuando sea preciso para satisfacer sus intereses, siempre que sobre los mismos no prevalezcan los derechos fundamentales del interesado.
¿De qué depende la licitud de un tratamiento de datos personales?: Bases legitimadoras.
Los tratamientos de datos personales, para ser legítimos, tienen que ampararse en alguna de las bases legitimadoras que se encuentran tasadas en la ley, las cuales son seis, a saber: consentimiento, relación contractual, intereses vitales del interesado o de otras personas, obligación legal para el responsable, interés público o ejercicio de poderes públicos, e intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos.
¿Cuál es el origen del interés legítimo del responsable o de terceros?
El concepto de interés legítimo en materia de tratamiento de datos tuvo su origen en el artículo 7 f) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, que dispone:
“Los Estados miembros dispondrán que el tratamiento de datos personales sólo pueda efectuarse si (…) es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva”.
La sentencia del Tribunal de Justicia de la Unión Europea, de 24 de noviembre de 2011, en los asuntos acumulados C-468/10 y C-469/10 establece la interpretación que debe darse al apartado f) del artículo 7 de la Directiva 95/46/CE en el siguiente sentido:
“El artículo 7.(f) de la Directiva 95/46/CE debe interpretarse en el sentido de que se opone a una normativa nacional que, para permitir el tratamiento de datos personales necesario para la satisfacción del interés legítimo perseguidopor el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, exige, en el caso de que no exista consentimiento del interesado, no sólo que se respeten los derechos y libertades fundamentales de éste, sino además que dichos datos figuren en fuentes accesibles al público, excluyendo así de forma categórica y generalizada todo tratamiento de datos que no figuren en tales fuentes
En la práctica, cuando no se encuentra otra causa de licitud del tratamiento, acudimos a esta base del interés legítimo. De esta manera se ha convertido en una base de tratamiento de tipo “cajón de sastre”, por medio de la cual se puede justificar cualquier tratamiento de datos personales. Lo anterior se debe a que, España transpuso mal el concepto establecido en la Directiva, motivo por el cual nuestro Tribunal Supremo anuló preceptos de la antigua Ley Orgánica de Protección de Datos; pues el TJUE en una sentencia determinó que se aplicaba de forma incorrecta, dado que el concepto debería haber sido trasladado a la LOPD de forma integral.
Aplicación del interés legítimo en el marco del RGPD: Requisitos y supuestos en que opera.
El concepto de interés legítimo contenido en el RGPD es prácticamente idéntico al de la Directiva 95/46/CE, con especial énfasis en la protección de los menores.
Con respecto a los requisitos para la aplicación del interés legítimo, el articulo 6.1 f) del RGPD dispone que se aplica el interés legítimo siempre que noprevalezcan los intereses o los derechos y libertades fundamentales del interesado, que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
El Dictamen 06/2014 del Grupo de Trabajo del Artículo 29 [anterior al RGPD]. establece los tres requisitos que deben concurrir para que se aplique el interés legítimo. En consecuencia, para ser legítimo, el interés debe ser:
En primer lugar, lícito, es decir, conforme con la legislación nacional y de la UE, es decir que no se trate de materia prohibida, ni atente contra el orden público, ni sea contraria a los principios generales del Derecho, entre otros casos.
En segundo lugar, ser suficientemente concreto, esto, es, estarclaramente delimitado y definido, para poder ponerlo en contraposición a los intereses y los derechos fundamentales del interesado.
En tercer lugar, debe ser representativo de un interés real y actual, es decir, que no sea especulativo.
En consecuencia, se debe realizar un delicado ejercicio de ponderación para determinar si es aplicable o no el interés legítimo. Nos deberemos efectuar preguntas como: ¿el tratamiento es necesario?, ¿puede el responsable satisfacer su interés legítimo por otros medios menos invasivos?, ¿hay algún tipo de relación jurídica entre el responsable y el encargado?, ¿el interesado puede o no, esperar razonablementeque sus datos van a ser tratados por el responsable para ese fin declarado?, ¿cuál es el impacto que tendrá el tratamiento sobre los derechos e intereses de los interesados?, así como analizarotros factores que puedan ser relevantes en función de las circunstancias.
El interés legítimo se utiliza por ejemplo para legitimar el envío de publicidad, el cual no requiere consentimiento. No obstante, en el ámbito de la mercadotecnia directa, hay otras normas que resultan de aplicación a las actividades de marketing como la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI), la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones (LGTel), o la Ley 58/2003 de 17 de diciembre, General Tributaria (LGT) que son leyes especiales cuya aplicación prevalece sobre el RGPD.
Otros supuestos de tratamiento que pueden ampararse en el interés legítimo son los siguientes: Cuando existe una relación pertinente y apropiada entre el interesado y el responsable, por ejemplo, si se trata de un empleado y un candidato a ocupar un puesto, o un cliente actual frente a un cliente antiguo o no cliente, cuando se trate de tratamientos estrictamente necesarios para la prevención del fraude, tratamientos con fines de mercadotecnia directa, transmisión de datos dentro del grupo empresarial para fines administrativos internos, o tratamiento necesario para garantizar la seguridad de la red ( por ejemplo en el caso de transmisión de datos a los equipos de respuesta a emergencias informáticas (CERT) y a equipos de respuesta a incidentes de seguridad informática (CSIRT) para impedir el acceso no autorizado a las redes de comunicaciones electrónicas y la distribución malintencionada de códigos, y frenar ataques de «denegación de servicio» y daños a los sistemas informáticos y de comunicaciones electrónicas), y seguridad de la información.
Así, por ejemplo, si se produce un tratamiento de protección de datos personales en el marco de la transmisión de datos dentro de un grupo empresarial para fines administrativos internos, el responsable se puede basar en el interés legítimo, pero sin perjuicio de la obligación de cumplir con los requisitos relativos a la transferencia internacional de datos.
Consideraciones finales.
Como se ha comentado al inicio, el interés legítimo se ha configurado como una suerte de cajón de sastre, por lo que constituye una base jurídica de difícil aplicación. Por este motivo, hay que destacar que, el responsable tiene la posibilidad de realizar consultas a la AEPD, y, en el caso de que el interés legítimo sea dudoso o requiera reforzarse, el responsable implantara garantías adicionales.