¿Qué es el interés legítimo?
Como una de las bases de legitimación del tratamiento de los datos personales, el interés legítimo está previsto como base de legitimación del tratamiento de datos personales en el artículo 6 del Reglamento (UE) 2016/679, de 27 de abril de 2016 (en adelante, RGPD), que en su letra f) indica que el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
Al interés legítimo se refirió el Grupo de Trabajo del Artículo 29, que desde el 25 de mayo de 2018 se integró en el Comité Europeo de Protección de Datos. Este último ha asumido como propios los documentos emitidos por aquél. En concreto, en el Dictamen 06/2014 sobre el concepto de interés legítimo del responsable del tratamiento de los datos en virtud del artículo 7 de la Directiva 95/46/CE, WP 217, adoptado el 9 de abril de 2014, se explicaba que el interés legítimo es el fundamento jurídico permite el tratamiento «necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran protección.
Es decir, tras haber realizado una ponderación entre, por una parte, los intereses legítimos de quien va a tratar los datos personales y, por otra parte, los intereses y derechos fundamentales del interesado, siempre que no prevalezcan estos últimos, se podrán tratar los datos personales sobre la base de dicha base de legitimación.
Se trata, por tanto, de uno de los fundamentos legítimos previstos en la ley que, junto al consentimiento y demás bases de legitimación del tratamiento, pueden ser utilizadas por el responsable del tratamiento para tratar los datos personales del interesado.
El interés legítimo es una condición que, cumpliéndose con los requisitos necesarios, legítima el tratamiento de los datos personales.
Al respecto, como explica el Considerando 47 del Reglamento (UE) 2016/679el interés legítimo de un responsable del tratamiento, incluso el de un responsable al que se puedan comunicar datos personales, o de un tercero, puede constituir una base jurídica para el tratamiento, siempre que no prevalezcan los intereses o los derechos y libertades del interesado, teniendo en cuenta las expectativas razonables de los interesados basadas en su relación con el responsable.
En el caso de las transferencias internacionales de datos, y de manera totalmente excepcional, puede recurrirse al interés legítimo imperioso. El uso de este último término indica que tiene que tratarse de un interés legítimo reforzado, dadas las especiales circunstancias en las que podría llevarse a cabo la transferencia internacional de datos ya que la misma tendrá que ser no repetitiva y referirse solamente a un número limitado de personas físicas cuyos datos personales son objeto de tratamiento.
¿Cuáles son ejemplos de intereses legítimos del responsable o de un tercero?
En cuanto a ejemplos de intereses legítimos del responsable del tratamiento o de un tercero, este Considerando indica que el tratamiento de datos de carácter personal estrictamente necesario para la prevención del fraude constituye también un interés legítimo del responsable del tratamiento de que se trate. El tratamiento de datos personales con fines de mercadotecnia directa puede considerarse realizado por interés legítimo.
Y el Considerando 49 indica que Constituye un interés legítimo del responsable del tratamiento interesado el tratamiento de datos personales en la medida estrictamente necesaria y proporcionada para garantizar la seguridad de la red y de la información, es decir la capacidad de una red o de un sistema información de resistir, en un nivel determinado de confianza, a acontecimientos accidentales o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos personales conservados o transmitidos, y la seguridad de los servicios conexos ofrecidos por, o accesibles a través de, estos sistemas y redes, por parte de autoridades públicas, equipos de respuesta a emergencias informáticas (CERT), equipos de respuesta a incidentes de seguridad informática (CSIRT), proveedores de redes y servicios de comunicaciones electrónicas y proveedores de tecnologías y servicios de seguridad. En lo anterior cabría incluir, por ejemplo, impedir el acceso no autorizado a las redes de comunicaciones electrónicas y la distribución malintencionada de códigos, y frenar ataques de «denegación de servicio» y daños a los sistemas informáticos y de comunicaciones electrónicas.
En el caso de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) se incluyen varios supuestos en los que el tratamiento se podrá llevar a cabo sobre la base del interés legítimo y que son los relativos al tratamiento de datos de contacto, empresarios individuales y de profesionales liberales, así como en el caso de comunicaciones de datos por los responsables del tratamiento previstos en el artículo 77.1 LOPDGDD, que se refieren en particular a las Administraciones Públicas, a sujetos de derecho privado en los que concurra un interés legítimo.
EJEMPLO
Específicamente, en el ámbito laboral, el Grupo de Trabajo del Artículo 29 emitió también el Dictamen 2/2017 sobre el tratamiento de datos en el trabajo, WP 249, adoptado el 8 de junio de 2017, en el que menciona el ejemplo relativo a Un empresario dispone de una sala de servidores en la que se almacenan en formato digital datos sensibles de la empresa, datos personales de los trabajadores y datos personales de los clientes.
Para cumplir las obligaciones legales de proteger los datos contra el acceso no autorizado, el empresario ha instalado un sistema de control de acceso que registra la entrada y salida de los trabajadores que tienen permiso para entrar en la sala. Si desaparecen elementos del equipo o algún dato es objeto de acceso no autorizado, pérdida o robo, los registros guardados por el empresario le permiten determinar quién tuvo acceso a la sala en ese momento.
Habida cuenta de que el tratamiento es necesario y no prima sobre el derecho a la vida privada de los trabajadores, este puede ser en el interés legítimo con arreglo al artículo 7, letra f), si los trabajadores han sido informados adecuadamente sobre la operación de tratamiento.
Y otro ejemplo, como expone el ya hoy Comité Europeo de Protección de Datos en el referido Dictamen 2/2017 sería el relativo a que Una empresa de transporte equipa todos sus vehículos con una cámara de vídeo dentro de la cabina que graba sonido y vídeo. El objetivo del tratamiento de estos datos es mejorar las habilidades de conducción de los trabajadores. Las cámaras están configuradas para conservar grabaciones de los momentos en que se producen incidentes como frenazos repentinos o cambios bruscos de dirección. La empresa asume que tiene un fundamento jurídico para el tratamiento en su interés legítimo con arreglo al artículo 7, letra f), de la Directiva, con el fin de proteger la seguridad de sus trabajadores y la de los demás conductores.
¿Cómo tiene que ser la ponderación a efectos de determinar el interés legítimo?
Como ha explicado el Comité Europeo de Protección de Datos, al hacer como suyo el Dictamen 06/2014 sobre el concepto de interés legítimo del responsable del tratamiento de los datos en virtud del artículo 7 de la Directiva 95/46/CE, esta ponderación o evaluación a efectos de determinar el interés legítimo no consiste en una evaluación de sopesamiento directa que consista simplemente en ponderar dos «pesos» fácilmente cuantificables y comparables, sino que requiere tener en consideración los factores relativos a: "a) evaluación del interés legítimo del responsable del tratamiento; b) impacto sobre los interesados; c) equilibrio provisional y d) garantías adicionales aplicadas por el responsable del tratamiento para impedir cualquier impacto indebido sobre los interesados."
Aplicada específicamente al tratamiento de datos personales en el ámbito laboral, en el Dictamen 2/2017, ya citado, el Comité Europeo de Protección de Datos concluye que El interés legítimo de los empresarios puede invocarse, en ocasiones, como fundamento jurídico, pero solo si el tratamiento es estrictamente necesario para un fin legítimo y cumple los principios de proporcionalidad y subsidiariedad. Debería realizarse una prueba de proporcionalidad antes de la utilización de cualquier herramienta de observación para determinar si todos los datos son necesarios, si este tratamiento prevalece sobre los derechos generales de privacidad que los trabajadores tienen también en el lugar de trabajo y qué medidas deben adoptarse para garantizar que las violaciones del derecho a la vida privada y el derecho al secreto de las comunicaciones se limiten al mínimo necesario.
Es decir, la ponderación o evaluación del equilibrio entre el interés legítimo del empresario para proteger su empresa, como responsable del tratamiento, y los trabajadores, como interesados, por lo que se refiere a sus derechos y libertades fundamentales, incluida su expectativa razonable de privacidad, requiere que:
- 1. La finalidad del tratamiento sea legítima,
- 2. El tratamiento de los datos personales sea proporcional a la finalidad para la que se tratan los datos personales, es decir, las necesidades del responsable del tratamiento, y
- 3. El interesado, cuyos datos personales son objeto de tratamiento, tiene derecho a oponerse al tratamiento por razones legítimas.
Jurisprudencia del Tribunal de Justicia de la Unión Europea sobre el interés legítimo
El Tribunal de Justicia de la Unión Europea (TJUE) ha tenido oportunidad de pronunciarse en diversas ocasiones sobre el interés legítimo, debiendo considerar que sus conclusiones, aunque emitidas para interpretar la Directiva 95/46/CE, son aplicables también al Reglamento (UE) 2016/679.
En concreto, en la sentencia del TJUE de 24 de noviembre de 2011, asuntos acumulados C–468/10 y C–469/10 (caso ASNEF), el Tribunal indica que la ponderación o evaluación que se haga requiere considerar la gravedad de la lesión de los derechos fundamentales de la persona afectada por dicho tratamiento.
También en la sentencia del TJUE de 13 de mayo, asunto C-131/12 (caso Google Spain y Google), citando la anterior indicó que el interés legítimo precisa de una ponderación de los derechos e intereses en liza de que se trate, en cuyo marco debe tenerse en cuenta la importancia de los derechos del interesado, que resulta de los artículos 7 y 8 de la Carta (véase la sentencia ASNEF y FECEMD, EU:C:2011:777, apartados 38 y 40)».
Por último, en la sentencia del TJUE de 4 de mayo de 2017, asunto C-13/16 (caso Rīgas satiksme), y por lo que se refiere al interés legítimo de un tercero, el TJUE ha indicado que no hay en sí, la obligación de que se efectúe el tratamiento de datos (por ejemplo, la comunicación a un tercero de datos necesarios para la satisfacción de un interés legítimo perseguido por éste), sino que confiere la facultad de llevar a cabo ese tratamiento.
Por tanto, en virtud de la jurisprudencia del TJUE, como han indicado Piñar Mañas y Recio Gayo, se requiere: 1) la existencia del interés legítimo, 2) que el tratamiento de los datos personales sea necesario para la satisfacción de dicho interés legítimo, y 3) que no prevalezcan los derechos y libertades fundamentales de los interesados.
Recuerde que...
- • Junto con otras, como el consentimiento, el interés legítimo es una de las bases de legitimación del tratamiento de los datos personales por el responsable del tratamiento o un tercero.
- • La aplicación del interés legítimo como base de legitimación del tratamiento requiere de una ponderación o evaluación.
- • La ponderación deberá demostrar que existe un interés legítimo para el tratamiento de los datos, que el tratamiento es necesario y proporcional en atención a su finalidad y que no prevalecen los derechos y libertades fundamentales de los interesados.