El interés legítimo y la protección de datos
En el ámbito de la protección de datos y en aplicación del Reglamento General de Protección de Datos (RGPD), el consentimiento del interesado se ha consolidado como una de las bases principales de licitud para el tratamiento de datos personales.
Sin embargo, no es la única base de legitimación para el tratamiento de datos. El propio RGPD reconoce que existen situaciones en las que el tratamiento puede estar justificado sin necesidad de recabar un consentimiento expreso o explícito del interesado. En este contexto, el interés legítimo del responsable del tratamiento se configura como una alternativa válida, aunque de aplicación limitada y siempre sujeta a garantías.
Tratamiento de datos sin consentimiento explícito
El RGPD, en su artículo 6.1.f, establece que el tratamiento será lícito cuando “sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado”.
Esto significa que no siempre es necesario recabar un consentimiento formal para tratar datos.
Algunos ejemplos prácticos en los que el interés legítimo puede amparar el tratamiento son:
- Prevención del fraude: la verificación de operaciones sospechosas o la monitorización de accesos no autorizados.
- Seguridad informática: control de accesos a redes y sistemas, uso de firewalls o detección de incidentes de ciberseguridad.
- Videovigilancia en centros de trabajo con fines de seguridad, debidamente señalizados y respetando la proporcionalidad.
- Protección de intereses empresariales legítimos, como la defensa ante posibles reclamaciones.
En todos los casos el responsable debe demostrar que el interés que persigue es real, concreto y legítimo, y que el tratamiento es necesario para alcanzarlo.
Límite del interés legítimo con la privacidad e intimidad
El interés legítimo no puede convertirse en una vía para tratar datos de forma ilimitada. Al contrario, el RGPD exige que se realice un test de ponderación que contraste, por un lado, el interés del responsable y, por otro, los derechos fundamentales del interesado.
De hecho, se deben tener en consideración los siguientes principios para poder limitar la proporcionalidad, necesidad y viabilidad del tratamiento de los datos en base a un interés legítimo del responsable:
- Necesidad y proporcionalidad: solo pueden tratarse los datos estrictamente necesarios para la finalidad perseguida.
- Minimización: queda prohibido un tratamiento excesivo o desproporcionado que afecte a la intimidad de las personas.
- Transparencia: los interesados deben ser informados de manera clara y comprensible de que sus datos se tratan con base en el interés legítimo y de que pueden ejercer su derecho de oposición.
- Evaluación de impacto: en casos en que exista un alto riesgo para la privacidad, puede ser necesario realizar una Evaluación de Impacto en Protección de Datos (EIPD).
Postura de la AEPD
La Agencia Española de Protección de Datos (AEPD) mantiene una visión prudente y estricta sobre el uso del interés legítimo como base de legitimación. Entre sus principales criterios destacan:
- Documentación del test de ponderación (EIPD): la AEPD exige que el responsable realice y conserve un análisis formal en el que se identifique el interés perseguido, se valore la necesidad del tratamiento y se evalúe el impacto sobre los derechos de los afectados.
- Transparencia reforzada: recomienda que las políticas de privacidad incluyan de forma expresa la referencia al interés legítimo como base jurídica, detallando las finalidades y los derechos de oposición.
- Respeto a los derechos de oposición: los usuarios deben disponer de un mecanismo sencillo y gratuito para oponerse al tratamiento de sus datos cuando este se base en el interés legítimo.
En sus resoluciones, la AEPD ha sancionado prácticas en las que el interés legítimo se invocaba de manera genérica o sin un análisis real de proporcionalidad. La agencia recuerda que el interés legítimo no puede ser un comodín, sino una base excepcional, que requiere justificación individualizada.
En conclusión, el interés legítimo es una herramienta útil que permite a empresas y organizaciones tratar datos en determinadas circunstancias sin necesidad de consentimiento expreso o explícito. No obstante, su uso exige prudencia: el responsable debe justificar la necesidad del tratamiento, documentar un test de ponderación y garantizar la transparencia y los derechos de los interesados.
No obstante, hay que tener en consideración el derecho de privacidad e intimidad del interesado, si el tratamiento implica un impacto elevado en la esfera personal, el consentimiento seguirá siendo imprescindible. Además, será preciso acreditar que se ha analizado el equilibrio entre el interés empresarial y los derechos de las personas afectadas.
Midiala Fernández es abogada especialista en propiedad intelectual, derecho de las nuevas tecnologías y protección de datos.
Desde 2019 asesora en materias como comercio electrónico, marketing digital, publicidad, competencia desleal y ciberseguridad. Es graduada en Derecho por la Universidad Complutense de Madrid y cuenta con formación de posgrado en derecho y compliance TIC por la Universidad Camilo José Cela.
Artículos Relacionados
Uso de videocámaras para seguridad en el ámbito doméstico: ¿cómo afecta a la protección de datos?
Consideraciones legales sobre el uso del estilo visual de Studio Ghibli: derechos de autor y protección de datos
El CEPD aclara las normas para el intercambio de datos con las autoridades de terceros países y aprueba la certificación del sello de protección de datos de la UE
The Phone House y la Agencia de Protección de Datos se enfrentan por una multa de 6,5 millones de euros
El delegado de protección de datos no puede presentar alegaciones en nombre de su cliente
La AEPD y el Consejo General de Colegios Oficiales de Médicos acuerdan colaborar para fomentar la protección de datos de la salud en el mundo digital