¿PUEDO ALEGAR QUE TENGO UN INTERÉS LEGÍTIMO COMO ÚNICA JUSTIFICACIÓN PARA EL TRATAMIENTO DE DATOS PERSONALES DE TERCEROS?

20 Nov ¿PUEDO ALEGAR QUE TENGO UN INTERÉS LEGÍTIMO COMO ÚNICA JUSTIFICACIÓN PARA EL TRATAMIENTO DE DATOS PERSONALES DE TERCEROS?

Sí que puede. Y ello es así porque el Reglamento General sobre Protección de Datos (RGPD)  en su artículo 7, letra f), figura el interés legítimo del responsable del tratamiento de datos como la 7ª opción posible de entre los fundamentos que permiten el tratamiento lícito de los datos personales.

Como responsable del tratamiento de datos ¿cómo puedo estar seguro de estar cubierto por mi interés legítimo?

La citada norma legal insta a aplicar una prueba de sopesamiento: lo que es necesario para el interés legítimo del responsable del tratamiento (o terceros) debe sopesarse en relación con los intereses o los derechos y libertades fundamentales del interesado. El resultado de esta prueba de sopesamiento determinará si ese interés legítimo puede considerarse un fundamento jurídico del tratamiento.

¿Significa esto que esta opción de justificación para tratar los datos personales solo pueda utilizarse con moderación únicamente para cubrir las lagunas en situaciones raras o imprevistas como «un último recurso», o como una última posibilidad si no se pueden utilizar otros fundamentos?

No, no significa eso. No existe ninguna indicación legal de que la justificación del interés legítimo solo deba aplicarse en casos excepcionales y el texto no sugiere de ningún otro modo que el orden específico de los otros seis fundamentos jurídicos tenga ningún efecto jurídicamente pertinente. De hecho el Grupo 29 (en la actualidad Comité Europeo de Protección de Datos (CEPD) ha dictaminado que se trata de una de las varias maneras de justificación, en pié de igualdad con otras como el consentimiento expreso del afectado, o la obligación legal, por ejemplo. Y dicho interés legítimo tiene su ámbito propio aunque tampoco deberá percibirse como una opción preferente ni deberá extenderse su uso de manera indebida porque se considere menos restrictiva que los demás fundamentos.

¿qué es eso del sopesamiento?

Si, sí, ya lo sé: se trata de una concepto esquivo y aparentemente abierto. Y como éste hay muchos otros en las novedosas normativas en este campo y otros. Se diría que el estado de las cosas y las evoluciones sociales nos están llevando a que los legisladores empiecen a poner en las manos de los propios ciudadanos una cierta autonomía de decisión o de libre albedrío frente a aquella desconfiada profusión de listas detalladas y exhaustivas de situaciones, descripciones y casuísticas a que nos tienen acostumbrados. Es una tendencia que según se mire puede resultar peligrosa para la llamada seguridad jurídica o bien tener la ventaja de dejar margen a la interpretación y al equilibrio de intereses.

El sopesamiento es un examen que ha de hacer el propio responsable del tratamiento de datos, por sí mismo o auxiliado por un asesor especializado o un Delegado de Protección de Datos, (DPO) y puede llevar a la conclusión, en determinados casos, de que la balanza se inclina a favor de los intereses y los derechos fundamentales de los interesados y que, en consecuencia, el tratamiento no puede llevarse a cabo.

También debe destacarse que el motivo del interés legítimo, junto con otros fundamentos además del consentimiento, exige un examen de la «necesidad» del tratamiento.

El interés legítimo y los demás fundamentos del artículo 7 son fundamentos alternativos y, por tanto, es suficiente con aplicar uno de ellos.

Así pues en el sopesamiento deben ponerse en juego dos intereses: el propio del responsable del tratamiento, por un lado, y el propio de aquellos que vayan a resultar afectados en cuanto a sus derechos fundamentales o sus intereses legítimos propios.

El concepto de «interés» está estrechamente relacionado con el concepto de «finalidad» que es la razón específica por la que se tratan los datos: el objetivo o la intención del tratamiento de los datos. Un interés, por otro lado, se refiere a una mayor implicación que el responsable del tratamiento pueda tener en el tratamiento, o al beneficio que el responsable del tratamiento obtenga —o que la sociedad pueda obtener— del tratamiento.

Por ejemplo, una empresa puede tener un interés en garantizar la salud y seguridad del personal que trabaje en su central nuclear. Por consiguiente, la empresa puede tener como finalidad la aplicación de procedimientos de control de acceso específicos que justifique el tratamiento de determinados datos personales específicos con el fin de velar por la salud y la seguridad del personal.

¿Qué convierte a un interés en «legítimo» o «ilegítimo»?

En opinión del Grupo de trabajo 39, el concepto de interés legítimo podría comprender una amplia gama de intereses, tanto triviales como muy apremiantes, tanto claros como controvertidos. Así pues, será en una segunda fase, al tratar de sopesar dichos intereses en relación con los intereses y los derechos fundamentales de los afectados, cuando se deberá adoptar un enfoque más restringido y llevar a cabo un análisis más profundo.

La siguiente es una lista no exhaustiva de algunos de los contextos más comunes en los que puede surgir la cuestión del interés legítimo en el sentido del artículo 7, letra f). Se presenta a continuación sin perjuicio de si los intereses del responsable del tratamiento prevalecerán en último término sobre los intereses y los derechos de los interesados cuando se realice la prueba de sopesamiento.

• el ejercicio del derecho de libertad de expresión o información, incluidas las situaciones en las que se ejerza dicho derecho en los medios de comunicación y en las artes;
•  la prospección convencional y otras formas de comercialización o publicidad;
•  los mensajes no comerciales que no hayan sido solicitados, incluidos los pertenecientes a campañas políticas o de recaudación de fondos para organizaciones caritativas;
•  la ejecución de derechos reconocidos en procedimientos judiciales, incluido el cobro de deudas mediante procedimientos extrajudiciales;
•  la prevención del fraude, el uso indebido de servicios o el blanqueo de dinero;
•  la supervisión de los empleados con fines de seguridad o de gestión;
•  los regímenes internos de denuncia de irregularidades;
•  la seguridad física, la tecnología de la información y la seguridad en la red;
•  el tratamiento con fines históricos, científicos o estadísticos;
•  el tratamiento con fines de investigación (incluida la investigación de mercado).

Por consiguiente, un interés puede considerarse legítimo siempre que el responsable del tratamiento pueda perseguir este interés de conformidad con las leyes relativas a la protección de datos y con el resto de la legislación. En otras palabras, un interés legítimo debe ser «aceptable en virtud de la ley».

Por tanto, un «interés legítimo» que sea pertinente en virtud del artículo 7, letra f), debe:

– ser lícito (es decir, de conformidad con la legislación nacional y de la UE aplicable);

– estar articulado con la claridad suficiente para permitir que la prueba de sopesamiento se lleve a cabo en contraposición a los intereses y los derechos fundamentales del interesado (es decir, suficientemente específico);

– representar un interés real y actual (es decir, no especulativo).

El hecho de que el responsable del tratamiento tenga dicho interés legítimo en el tratamiento de determinados datos no significa que pueda, necesariamente, utilizar el artículo 7, letra f), como fundamento jurídico del mismo. La legitimidad del interés del responsable del tratamiento es solo un punto de partida, uno de los elementos que deben analizarse en virtud del artículo 7, letra f). Si el artículo 7, letra f), puede utilizarse como fundamento jurídico o no dependerá del resultado de la prueba de sopesamiento siguiente.