El interés legítimo y su ponderación


Manuel Castilleja Toscano     18/02/2022

El artículo 6.1 f) del GDPR, establece que el tratamiento será lícito si es necesario para la satisfacción de intereses legítimos del responsable del tratamiento o de un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un menor de edad.

Por tanto, para determinar si procedería basar un determinado tratamiento de datos personales en el citado precepto habrá que llevar a cabo la ponderación de dicho interés legítimo; es decir, será necesario valorar si el interés legítimo del responsable del tratamiento o de un tercero o terceros prevalece sobre el interés o los derechos y libertades fundamentales del interesado, o si, por el contrario, los derechos fundamentales o intereses de los interesados a los que se refiera el tratamiento de los datos han de prevalecer sobre el interés legítimo en que el responsable o el tercero pretende fundamentar el tratamiento de los datos de personales.

Tanto el GDPR como la LOPDGDD contemplan situaciones en las que ya se presupone la existencia de ese interés legítimo del responsable o de un tercero, así:

Considerando 47 GDPR:

  • Cuando existe una relación pertinente y apropiada entre el interesado y el responsable, como en situaciones en las que el interesado es cliente o está al servicio del responsable.
  • Cuando el tratamiento es necesario para la prevención del fraude.
  • Cuando el tratamiento se lleva a cabo con fines de mercadotecnia directa.

Considerando 48 GDPR:

  • Cuando se transmiten datos personales dentro de un grupo empresarial para fines administrativos internos, incluido el tratamiento de datos personales de clientes o empleados.

Destacar también del Considerando 47 el hecho de que esta base jurídica no debe aplicarse al tratamiento efectuado por las autoridades públicas en el ejercicio de sus funciones.

Conforme al Considerando 69 GDPR el interesado tiene derecho a oponerse al tratamiento, cuando este se base en el interés legítimo, estableciéndose la carga de probar ese interés en el responsable.

La LOPDGDD en su Exposición de Motivos establece una presunción de prevalencia del interés legítimo del responsable cuando se lleven a cabo con una serie de requisitos, lo que no excluye la licitud de este tipo de tratamientos cuando no se cumplen estrictamente las condiciones previstas en el texto, si bien en este caso si se deberá llevar a cabo la ponderación exigible, al no presumirse la prevalencia del interés legítimo. En estos supuestos, el responsable no precisaría acudir a la ponderación del interés legítimo, dado que la Ley lo ha ponderado ya. Para eso (no tener que llevar a cabo la ponderación), tendremos que verificar que el tratamiento cumple con los requisitos establecidos en los distintos preceptos de la LOPDGDD:

  • Tratamiento de datos de contacto, de empresarios individuales y de profesionales liberales (art. 19 LOPDGDD).
  • Tratamientos de datos personales relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito por sistemas comunes de información crediticia (art. 20 LOPDGDD).
  • Tratamientos relacionados con la realización de determinadas operaciones mercantiles (art. 21 LOPDGDD).

Caso de no cumplirse los requisitos establecidos en los anteriores preceptos, sí que se deberá llevar a cabo esa ponderación.

Además de lo visto hasta ahora y regulado sobre esta base jurídica en el GDPR y en la LOPDGDD, podemos también destacar lo indicado al respecto en el Dictamen 06/2014 del GT29, sobre el concepto de interés legítimo del responsable del tratamiento de los datos (WP 217):

      • Para que se considere legítimo y sea pertinente el interés deberá ser lícito, es decir, conforme a la legislación nacional y de la UE.
      • Debe estar articulado también con claridad y debe ser lo suficientemente específico para permitir que la prueba de sopesamiento se realice en contraposición a los intereses y los derechos fundamentales del interesado.
      • Debe representar un interés real y actual, es decir, no debe ser especulativo.
      • El tratamiento debe ser necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o, en el caso de revelación de los datos, por la tercera parte.
      • Se preferirán medios menos invasivos para servir al mismo fin.
      • El interesado a su vez tendrá derecho a que se tengan en cuenta todos los intereses que le afecten y a que se ponderen en relación con los intereses del responsable del tratamiento o la tercera parte.

El Dictamen 06/2014 indica que cuando se lleve a cabo una ponderación de estos intereses legítimos, se deben considerar los siguientes factores:

  • La naturaleza y fuente del interés legítimo, incluido el hecho de:
    • si el tratamiento es necesario para el ejercicio de un derecho fundamental, o
    • si se trata, de una cuestión de interés público o que se beneficia del reconocimiento jurídico o normativo, social o cultural de la comunidad afectada.
  • El impacto sobre los interesados, incluidas:
    • la naturaleza de los datos (categorías especiales o no, etc.);
    • la forma en la que se tratan los datos, por ejemplo, si los datos se han revelado al público se han puesto de otra manera a disposición de un gran número de personas, o si grandes cantidades de datos personales se tratan o combinan con otros datos (por ejemplo, en el caso de la elaboración de perfiles, con fines comerciales, de cumplimiento de la ley u otros);
    • las expectativas razonables del interesado, especialmente en relación con el uso y la revelación de los datos en el contexto pertinente;
    • la posición del responsable del tratamiento y del interesado, incluido el equilibrio de poder entre ambos, o si el interesado es un menor de edad o pertenece de otro modo a un segmento vulnerable de la población.
  • Las garantías adicionales para impedir un impacto indebido sobre los interesados:
    • minimización de los datos;
    • medidas técnicas y organizativas para garantizar que los datos no puedan utilizarse con el fin de adoptar medidas o emprender otras acciones en relación con las personas;
    • uso de técnicas de anonimización, agregación de datos, tecnologías de protección de la intimidad, protección de la privacidad desde el diseño, evaluaciones del impacto relativo a la protección de datos y a la intimidad;
  • aumento de la transparencia, derecho general e incondicional de exclusión voluntaria, portabilidad de los datos y medidas relacionadas para capacitar a los interesados.

MODELO DE ANÁLISIS PARA LA DETERMINACIÓN DEL INTERÉS LEGÍTIMO

Adjuntamos un modelo para cuando tengamos que llevar a cabo una ponderación de interés legítimo.

En esta tabla-modelo, en la última columna deberemos dar respuestas a las distintes preguntas planteadas en la primera columna de la tabla, ayudándonos para ello con las orientaciones que se facilitan en la segunda columna de la misma.

Una vez contestadas todas las preguntas, en el apartado “MEDIDAS Y CONTROLES ADICIONALES”, determinaremos la necesidad o no de adoptar controles o medidas adicionales para proteger al interesado o reducir cualquier riesgo o impacto potencialmente negativo del tratamiento. Por ejemplo: minimización de datos, cifrado, seudonimización, medidas técnicas y organizativas, etc. Incluiremos un listado con la descripción de los controles que se establecerán o ya se han establecido para preservar los derechos de los interesados.

Por último, en el apartado “DECISIÓN”, basándonos en las respuestas que hemos dado a las preguntas planteadas y las medidas adicionales adoptadas si ha sido el caso, debe tomarse una decisión respecto a si se considera que puede basarse en el interés legítimo del responsable o de un tercero la actividad de tratamiento objeto de análisis, o no.

ANÁLISIS DEL INTERÉS LEGÍTIMO

FINALIDAD

Preguntas

Orientación

Respuesta

¿Cuál es la finalidad del tratamiento?

¿Para qué se tratan los datos personales?

¿Es necesario el tratamiento para alcanzar uno o más objetivos específicos?

Si la operación de tratamiento se requiere para lograr un objetivo lícito.

¿Es el tratamiento necesario para cumplir uno o más objetivos específicos de un tercero?

Si bien solo necesitaremos identificar un interés legítimo, si es posible enumeraremos todos los intereses que se hayan detectado.

¿El GDPR, la LOPDGDD, u otra normativa aplicable identifican específicamente la actividad de tratamiento como una actividad legítima, sujeto a la realización de una prueba de ponderación y a un resultado positivo?

Por ejemplo:

  • Necesarios para la prevención del fraude; o con fines de mercadotecnia directa (Cdo. 47 GDPR)
  • Cesiones entre grupos de empresas (Cdo. 48 GDPR).
  • Tratamiento de datos de contacto, de empresarios individuales y de profesionales liberales (art. 19 LOPDGDD)
  • Sistemas de información crediticia (art. 20 LOPDGDD).
  • Tratamientos relacionados con la realización de determinadas operaciones mercantiles (art. 21 LOPDGDD).

PRUEBA DE NECESIDAD

Preguntas

Orientación

Respuesta

¿Por qué es importante la actividad de tratamiento para el responsable?

Debe determinarse la importancia de esta actividad en cuanto al tratamiento de los datos, en relación con la actividad de la entidad responsable.

¿Por qué es importante la actividad de tratamiento para terceras partes a las que los datos pueden ser cedidos, si es el caso?

Debe determinarse la importancia de esta actividad en cuanto al tratamiento de los datos, en relación con la actividad esas terceras partes.

¿Existe otra forma de alcanzar el objetivo?
  • Si no la hay, entonces claramente el tratamiento es necesario.
  • Si hay otra forma, pero requiere un esfuerzo desproporcionado, entonces el tratamiento sigue siendo necesario.
  • Si hay varias formas de lograr el objetivo, entonces una DPIA debería haber identificado los medios menos intrusivos de tratamiento de los datos que serían necesarios.
  • Si el tratamiento no es necesario no se basar en intereses legítimos.

PRUEBA DE EQUILIBRADO

Preguntas

Orientación

Respuesta

¿Esperaría el interesado que se lleve a cabo la actividad de tratamiento?
  • Si los afectados esperan que el tratamiento se lleve a cabo, es probable que el impacto sobre ellos ya haya sido considerado por ellos y aceptado.
  • Si no tienen ninguna expectativa, entonces el impacto es mayor y se le da más peso en la prueba de ponderación.

¿El tratamiento agrega valor a un producto o servicio que el individuo utiliza?

¿Es probable que el tratamiento afecte negativamente los derechos del individuo?

¿Es probable que el tratamiento resulte en daño o perjuicio injustificado para el individuo?

¿Habría un perjuicio para el interesado si e tratamiento no se lleva a cabo?

¿Habría un perjuicio para el tercero si el tratamiento no se llevara a cabo?

¿El tratamiento redunda en interés del interesado?

¿Cuáles son los beneficios para el individuo o la sociedad?

¿Están los intereses legítimos del individuo alineados con la parte que busca confiar en sus intereses legítimos para el tratamiento?
  • Si el tratamiento beneficia al individuo, es más probable que se pueda confiar en los intereses legítimos, ya que los intereses del individuo estarán alineados con los del responsable del tratamiento.
  • Cuando el tratamiento esté más estrechamente alineado con los intereses del responsable del tratamiento o de un tercero que con los del individuo, es menos probable que los intereses sean equilibrados y se haga mayor hincapié en el contexto del tratamiento y la relación con el individuo.

¿Cuál es la conexión entre el individuo y la organización?

Cliente actual, antiguo cliente, empleada/o, , cliente potencial (nunca ha comprado bienes o servicios), proveedor, ninguna de las anteriores: detallar….

¿Cuál es la naturaleza de los datos a tratar, tienen alguna protección especial GDPR?

Si se tratan categorías especiales de datos, debe darse una de las excepciones del art. 9.2 GDPR además de la base legitimadora.

Datos de menores

¿Existe una relación bidireccional entre el responsable del tratamiento y el interesado? Si es así, ¿cómo de cerca está esa relación?