El Interés Legítimo, digámoslo bien claro desde el principio, siempre ha sido una especie de “apestado ilustre” en el ámbito de la protección de datos.
Me refiero a que el legislador español admitió la figura a disgusto, como a regañadientes, regulando requisitos adicionales que lo hacían casi inaplicable en la práctica.
Recordemos que podemos tratar datos personales de un titular:
- con su consentimiento, pero también
- porque hayamos firmado un contrato con el titular o algún documento precontractual,
- porque estemos habilitados por una disposición legal,
- por interés público,
- lo necesitemos para proteger un interés vital, o, por último,
- porque sea necesario para alcanzar nuestros intereses legítimos, siempre que sobre dichos intereses no prevalezcan los derechos o intereses de los titulares de los datos.
Pasarse dos pueblos y tres gasolineras
Tanto la LOPD -art. 6.2, aún en vigor- como su Reglamento de desarrollo o RLOPD -art. 10.2.b)- establecieron que esos datos personales susceptibles de ser tratados con base en un interés legítimo, sólo podían ser los comprendidos en fuentes accesibles al público (guías telefónicas, repertorios profesionales, etc...).
La Directiva 95/46/CE sobre Protección de Datos no recogía este requisito adicional:
La Federación de Comercio Electrónico y Marketing Directo acudió a los tribunales solicitando la nulidad del citado precepto del RLOPD, entre otros.
La cosa llegó al Tribunal de Justicia de la Unión Europea.
Cambio de sentido y vuelta atrás
A tenor de la resolución de la cuestión prejudicial por el TJUE, el Tribunal Supremo español declaró la nulidad del citado 10.2.b) RLOPD (sentencia en pdf).
El Supremo no declaró la nulidad del inciso correspondiente de 6.2 de la Ley Orgánica, simplemente porque no tenía competencia para anular leyes.
Tampoco hacía falta.
El TJUE declaró que la Directiva 95/46/CE era directamente aplicable en ese punto, con lo que cualquier responsable podría tratar datos personales amparándose en el interés legítimo, hubiera captado esos datos de fuentes accesibles al público, o no.
Ni tanto, ni tan calvo
La sentencia produjo un considerable revuelo mediático. Se entendió que se abría la veda a la cesión incontrolada de datos personales.
Algunos titulares: «Las empresas podrán comercializar datos personales sin pedir permiso» «Mutilación de derechos fundamentales».
Por supuesto, no era para tanto. Lo que pasó es que los periodistas buscaron los límites al “nuevo” tratamiento sobre interés legítimo y no los encontraron en la ley.
Porque no estaban.
Y no están porque los límites los tiene que poner cada uno. Y hacerlo bien.
Ejemplos cotidianos de tratamientos basados en el interés legítimo, aquí.
¿Llega la hora del Interés Legítimo?
Eso creo.
Aunque el Interés Legítimo siempre estuvo ahí, ahora puede convertirse en una de las “novedades” más populares en la materia.
Ese paladín es el Reglamento Europeo de Protección de Datos, ya en vigor, y esperando su aplicación el próximo 25 de mayo de 2018.
Los nuevos requisitos impuestos al consentimiento suponen la caducidad de muchísimas bases de datos.
El consentimiento debe ser ahora inequívoco (por contraposición a tácito). Los tratamientos consentidos por falta de oposición, u otras formas de consentimiento tácito dejarán de ser lícitos el 26 de mayo de 2018.
Si quieres conocer un resumen analítico sobre las novedades del consentimiento en el RGPD, te recomiendo este post.
En este sentido, las autoridades reguladoras están exhortando a las organizaciones a “refrescar” sus consentimientos o a buscar bases legitimadoras alternativas para sus tratamientos.
La alternativa más obvia, que no la única, es la del interés legítimo.
Interés Legítimo: Naturaleza y procedimiento
La regulación legal del Interés legítimo como base legitimadora del tratamiento ha sido confusa y escasa desde el principio.
Su utilización, complicada y arriesgada.
No podía ser de otro modo: requiere la realización de un “juicio de ponderación” basado en las circunstancias de cada caso.
Las fases del proceso de validación sólo se describen y aplican en la jurisprudencia y en informes emitidos por el Grupo del Artículo 29 (descarga, pdf) y el ICO británico (en preparación), entre otras Autoridades administrativas.
El proceso de validación del interés legítimo puede dividirse en tres fases:
- Determinación del interés legítimo
- Establecimiento de la necesidad del tratamiento
- Ponderación entre el interés legítimo
Si quiere saber más sobre el juicio de ponderación entre el interés legítimo y los derechos e intereses de los titulares de datos personales, te recomiendo este post.
Como resumen, el Interés Legítimo es una figura jurídica:
- Contextual, esencialmente casuística (imposible de definir a priori, porque depende por completo de las circunstancias de cada caso concreto, y no necesariamente de las de un sector o industria)
- Excepcional y de interpretación restrictiva (en la medida en que entraña una contraposición con, entre otros, derechos fundamentales),
- Dinámica (porque puede evolucionar “día a día” en función de cómo lo hagan los factores considerados en el juicio de ponderación).
Interés Legítimo: Ventajas, Riesgos
Ventajas
El responsable del tratamiento decide y ejecuta su tratamiento sin contar con nadie más. Desde luego, sin contar con el titular de los datos tratados.
Una vez realizado (y superado, y documentado) el juicio de ponderación entre nuestro interés y los derechos e intereses del titular de los datos que nos interesa tratar, los trataremos sin su consentimiento (pero normalmente con su conocimiento, como veremos).
El responsable que actúa en base al interés legítimo tiene mayor margen de maniobra que el que lo hace sobre el consentimiento del titular.
De acuerdo con el RGPD, el titular de datos que ha consentido el tratamiento puede revocar ese consentimiento, oponerse al tratamiento, puede solicitar la supresión de sus datos, puede portar sus datos o reutilizarlos a su antojo.
Sin embargo, cuando la base es el interés legítimo del responsable, no hay derecho de portabilidad, no hay consentimiento que revocar. El derecho de supresión tiene un ámbito limitado; el derecho de oposición del titular puede ser neutralizado por el responsable.
Excepción: en casos como el marketing directo, o las decisiones automatizadas, el derecho de oposición del titular sí debe ser respetado de forma automática por el responsable.
La figura del interés legítimo está basada en el principio de responsabilidad activa o “accountability”.
Su virtualidad o eficacia depende del rigor del responsable del tratamiento en la autoevaluación de sus propias circunstancias y procedimientos: nadie le asegura a priori que su interés legítimo en sus circunstancias le blindará indefectiblemente ante posibles responsabilidades.
Eso sólo lo dirá, -si se le pone a prueba- el tiempo (o el Delegado de Protección de Datos, o la Agencia), a la vista de las circunstancias reales y de la documentación del juicio de ponderación.
Es decir, hay que hacer las cosas bien.
La validación del interés legítimo tiene que ejecutarse de forma absolutamente rigurosa.
Por eso, considero la responsabilidad ligada al Interés Legítimo como algo netamente positivo. Como una “ventaja”, no como un “riesgo”.
La empresa o organización que haya hecho sus deberes no tendrá ningún inconveniente en tratar datos sin el consentimiento de los titulares.
En informarles de sus motivos para obrar así.
En ser totalmente transparente al respecto.
Y los titulares de los datos tampoco tendrán ningún inconveniente. En general, todo lo contrario.
Garantías
-
Garantías adicionales, ventajas para el interesado
Salvo en los supuestos más obvios y simples, el responsable suele necesitar la aplicación de garantías complementarias y ventajas adicionales favorables a los titulares de los datos tratados.
Si se consigue minimizar la posibilidad de impacto para los titulares, se facilita en a misma medida la legitimación del tratamiento del responsable.
El mismo efecto se consigue si se hace partícipe a los titulares de todos o alguno de los beneficios del tratamiento.
-
Documentación, información, transparencia y publicidad
El proceso de validación es esencial, pero además la calidad de la documentación del mismo proceso es clave.
De acuerdo con el RGPD, el Responsable debe documentar el proceso de valoración en su totalidad.
Y es recomendable publicar esta documentación en la máxima extensión posible.
También se debe cumplimentar con los interesados las nuevas obligaciones de información.
Ocurre lo mismo en las inspecciones fiscales: cuando Hacienda aparece, cuatro años después de los hechos cuestionados, ya no se trata de lo que hayas dicho que ibas a hacer. Lo que vale es si lo que decías era verdad, y de verdad lo has hecho.
En ese momento ya es mucho más fácil saber si el asesino fue o no el mayordomo.