Tiempo de lectura: 9 min
Una de las seis bases de legitimación del tratamiento de datos personales es el interés legítimo del responsable o de un tercero, que figura tanto en el RGPD como en la anterior directiva 95/46. España transpuso esa base añadiéndole la condición adicional de que los datos procedieran de fuentes públicas, previsión que fue anulada por el Tribunal de Justicia de la Unión Europea en 2011.
El artículo trata el interés legítimo en el ámbito de los datos personales, un concepto con poca trayectoria en España hasta la plena aplicación del RGPD.
El interés legítimo se sustenta por deducciones e inferencias y no es automático: hay que ponderarlo (el RGPD usa el verbo prevalecer). Esa ponderación corre a cargo del responsable y consiste en enfrentar dos fuerzas-derechos antagonistas:
- El del responsable que quiere poner en marcha el tratamiento (desaparecen muchas herramientas del almacén; pondré cámaras en los vestuarios)
- El del interesado o titular de los datos personales tratados (tengo derecho a una cierta intimidad, incluso durante la jornada laboral).
La ponderación o sopesamiento
Para abordar la ponderación se han creado varias metodologías. Por una parte, el llamado método alemán, que vio la luz a mediados del siglo XX y consistía en mesurar el equilibrio de derechos entre el Estado y los derechos constitucionales de los ciudadanos, en un momento en que los datos personales no eran derechos fundamentales.
El criterio era triple, y eliminatorio:
- prueba de idoneidad. El tratamiento debe conseguir el fin que se persigue.
- prueba de necesidad, entendiendo necesidad como indispensabilidad. Si no hay otra posibilidad menos invasiva, se supera la prueba, pero si la hay, no.
- prueba de proporcionalidad. Si la injerencia en los derechos del interesado queda ampliamente compensada por ventajas para el interés general.
En el área específica de protección de datos, el Comité Europeo establece un método análogo, en su guía WP217 (dictamen 06/2016 sobre interés legítimo). Es conocido también el de la Autoridad Británica, ICO, LIA (Legitimate Interest Assessment). Ambos métodos aportan pasos adicionales al triple juicio y, sobre todo, criterios específicos de la protección de datos. Se añaden así matices con los que profundizar en el cómputo final.
Necesidad y proporcionalidad
En cualquier método de ponderación aparecen siempre los conceptos de necesidad y de proporcionalidad.
En cuanto al primero, necesidad, se sustenta en la premisa de que una cosa es necesaria si no se puede usar otra. Y, recíprocamente, si se puede usar otra, entonces no es necesaria. El Tribunal de Justicia de la Unión Europea, aclaró que “necesario” no tiene por qué ser “indispensable”, aunque tampoco significar algo tan alejado como “conveniente”, “útil” o “cómodo”. El Tribunal también recomendó que Europa acordara una definición común para la palabra “necesario” en el ámbito de la protección de datos. Algo que, de momento, no parece haber ocurrido.
El concepto proporcionalidad se basa en comparar las molestias derivadas de la injerencia en un derecho fundamental a una persona con las ventajas que esa injerencia produce en el interés general. Una tenue compensación no justifica la injerencia; una compensación relevante, sí.
Ciñéndonos al mundo empresarial, es habitual que no haya nada indispensable, ni que cualesquiera medidas afecten al interés general o deriven en grandes utilidades; más bien reportan ventajas incrementales.
De tal forma que el juicio de ponderación en el campo de los datos personales puede dar lugar a decisiones bloqueantes de cualquier iniciativa si se aplica el método con rigor literal. En el otro extremo, una aplicación laxa puede suponer un riesgo inherente de incumplimiento.
La carga subjetiva de ambos conceptos es enorme. Los juicios de ponderación cuentan con firmes detractores, no sólo en protección de datos.
La situación deseable
Lo jurídicamente seguro, especialmente para las pymes, es que el interés legítimo venga reconocido explícitamente en un texto legal. Así lo hace el RGPD, ocasionalmente, y la LOPD 3/2018 en su TITULO IV, el cual legitima diversos tratamientos (sistemas de información crediticia, datos de contacto de personas físicas al servicio de personas jurídicas, videovigilancia, geolocalización, exclusión publicitaria, sistemas de denuncias internas, ….).
De todas formas, los principios del RGPD imponen unos criterios generales pero estrictos que incluso una legitimación de barra libre debe respetar. Lo cual implica, necesariamente, un uso consciente de las habilitaciones mencionadas y la búsqueda de los límites para no sobrepasarlos.
Método WP 217
Veamos algunos conceptos de la guía WP217, que consta de cinco fases de evaluación, una de documentación y una sobre el derecho a oposición
Fase 1. Revisión de las seis bases jurídicas
Fase 2. Legitimidad del tratamiento
Se determina si el tratamiento es legítimo (o no), verificando:
- Conforme a ley (EU o España)
- Suficientemente específico y concreto
- Representa un interés real y actual (no especulativo)
Fase 3. Necesidad
Existencia de medios menos invasivos para alcanzar la finalidad prevista
Fase 4: Equilibrio provisional
Valoración del equilibrio entre los intereses del responsable del tratamiento y los intereses o derechos fundamentales de los interesados, atendiendo a:
- naturaleza de los intereses del responsable del tratamiento (derecho fundamental, otro tipo de interés, interés público)
- posible perjuicio que el responsable del tratamiento, los terceros o la comunidad en general puedan sufrir si no se realiza el tratamiento
- naturaleza de los datos (¿sensibles en sentido estricto o en sentido amplio?)
- posición del interesado (menor, empleado, etc.) y del responsable del tratamiento (por ejemplo, posición dominante en el mercado)
- modo del tratamiento: gran escala, prospección de datos, elaboración de perfiles, revelación a un gran número de personas o publicación
- cuáles intereses o derechos fundamentales podrían verse afectados
- expectativas razonables de los interesados
- repercusiones para el interesado y comparación con el beneficio previsto por el responsable del tratamiento.
Fase 5. Garantías adicionales y equilibrio final
- minimización de los datos (por ejemplo, limitaciones estrictas a la recopilación de datos; eliminación inmediata tras su uso)
- medidas técnicas y organizativas para garantizar que los datos no puedan utilizarse con otros fines (“separación funcional”)
- uso extensivo de técnicas de anonimización, agregación de datos, tecnologías de protección, diseño, evaluaciones del impacto
- aumento de la transparencia, derecho general e incondicional de oposición (exclusión voluntaria)
Nota: Las tecnologías y criterios de protección de la intimidad pueden inclinar la balanza a favor del responsable del tratamiento y proteger a las personas.
Fase 6: Documentación y transparencia
La documentación debe estar disponible para la autoridad de protección de datos e, idealmente, para los interesados.
Fase 7: ¿Qué sucede si el interesado ejerce su derecho de oposición?
- Si el derecho es condicionado (no es exigible por una norma) el responsable puede reevaluar el equilibrio entre intereses y derechos
- Si es incondicional (exclusión voluntaria, bien porque lo exija una norma o porque el responsable lo ha considerado útil) el derecho debe atenderse a la sola petición
Conclusión
Por todos esos motivos, el interés legítimo es difícil de aplicar y exige un esfuerzo de interpretación, valoración y documentación. El interés legítimo es una buena muestra de cómo el responsable puede aplicar el principio de responsabilidad proactiva. Pero existe el riesgo de que, llegado el caso, la Autoridad de Control o un tribunal tengan una opinión contraria.
Tratándose de un derecho fundamental, una interpretación intuitiva o puramente empresarial no suele dar resultados jurídicamente coherentes.