Me piden que aclare un concepto ya antiguo pero que se ha puesto de moda con la entrada en vigor del nuevo Reglamento europeo de Protección de Datos: el interés legítimo.

No es fácil explicar un concepto jurídico indeterminado a personas que no tienen conocimientos jurídicos. Y más cuando en España se ha venido utilizando este concepto incorrectamente.

Pero intentaré hacerlo sin que nadie se pegue un tiro.

Significado de interés legítimo

El interés legítimo es un concepto que responde a los motivos que tiene un responsable del tratamiento, para recoger, almacenar o ceder a terceros los datos de alguien. Esta posibilidad, viene recogida en la ya lejana Directiva de 1995 así como en el Reglamento General de Protección de Datos, que entrará en vigor en mayo de 2018. En ambos casos, el interés legítimo constituye una base legítima para tratar los datos de alguien y, en ambos casos, está al mismo nivel que las otras bases legales como:

  • el consentimiento,
  • el cumplimiento de un contrato,
  • el cumplimiento de una ley o
  • el interés vital del interesado o el interés público.

Cabe mencionar que el RGPD, incluye entre los supuestos en que el tratamiento de datos puede ser realizado para cumplir el interés legítimo de las empresas (sin consentimiento), el tratamiento de los mismos con fines de marketing.

Al exigir el Reglamento que, en los tratamientos basados en el consentimiento de los interesados, éste sea inequívoco y en sentido positivo, se está acudiendo, o al menos se intenta acudir al interés legítimo como base alternativa que legitima los tratamientos para los que no se dispone de un consentimiento otorgado con tales características y en los que no sería posible utilizar ninguna otra base jurídica.

¿Existen límites al interés legítimo?

Evidentemente los hay.

Para que el tratamiento de datos personales basado en un interés legítimo sea legal, el responsable del tratamiento debe hacer un análisis de hasta qué punto este tratamiento invade o impacta los derechos de los titulares de los datos.

En definitiva, hay que ponderar. Y en toda ponderación suele suceder que, antes o después hay que ver de qué lado viene el viento. Pero mejor hacerlo lo más tarde posible y contar previamente con elementos lo más objetivos posibles que nos puedan guiar como pesas que se van poniendo en la balanza.

Supuestos de interés legítimo según el Grupo Europeo de Protección de Datos del Artículo 29

El Grupo del Artículo 29 ofrece la siguiente lista (no cerrada) de supuestos en los que se considera que existe interés legítimo para el tratamiento:

  • Ejercicio de los derechos fundamentales de libertad de expresión e información
  • Marketing directo
  • Envío de mensajes no comerciales (por ejemplo, para campañas políticas o de beneficencia)
  • Tratamiento de datos para fines históricos, científicos, estadísticos o de investigación (incluye también la investigación en el campo del marketing)
  • Prevención de fraude o blanqueo de capitales
  • Tratamiento de datos
  • Seguridad (redes, IT)
  • Cumplimiento de solicitudes que tengan base legal, incluyendo el cobro de deudas por vía no judicial
  • “Whistle-blowing” o sistemas de denuncias internas.
  • Monitorización de los empleados por razones de seguridad.

Sin embargo, debe precisarse que, el hecho de que un responsable tenga interés legítimo para realizar el tratamiento no justifica plenamente el mismo.  Debe procederse al “balance de intereses” con los derechos y libertades fundamentales de los afectados.

Test de proporcionalidad e interés legítimo

Ante un tratamiento de datos personales basado en un interés legítimo es necesario realizar una evaluación de proporcionalidad para comprobar si el tratamiento es necesario para alcanzar dicho interés legítimo. Y si las medidas adoptadas son las adecuadas para asegurar que la intromisión en los derechos a la vida privada y al secreto es mínima.

Al respecto, el interés legítimo, como base legal del tratamiento de datos personales, requiere que concurran estos requisitos:

  • El responsable del tratamiento persiga un interés legítimo
  • El tratamiento de los datos personales sea necesario para satisfacer el interés legítimo
  • Que no prevalezcan los derechos y libertades fundamentales del interesado en lo referido a la protección de sus datos personales.

Ámbito laboral

Aplicándolo al entorno laboral, implica que el empresario, como responsable del tratamiento, tenga que tratar los datos personales:

  • para una finalidad o interés legítimo, como por ejemplo proteger la propiedad de la organización
  • el método o la tecnología que se utilice para el tratamiento de datos personales tiene que ser necesario para el interés legítimo del empleador
  • el tratamiento tiene que ser proporcionado a las necesidades del negocio
  • tiene que llevarse a cabo de la manera menos invasiva posible y estar dirigido al área específica de riesgo.

El GT29 indica, de manera ilustrativa, algunas medidas que puede adoptar el empleador para asegurarse de que no se infringe la vida privada del trabajador en el caso de monitorización.

Dichas limitaciones a la monitorización pueden ser de carácter:

  • Geográfico: excluyendo ciertos lugares tales como aseos, áreas de descanso o lugares destinados al culto
  • Orientadas a los datos: excluyendo archivos y comunicaciones electrónicas personales
  • Temporales: llevando a cabo monitorizaciones puntuales y no continuas.

¿Cómo evolucionará el interés legítimo?

La actual LOPD ha limitado de manera injustificada esta base legal para tratar datos, haciendo necesario que los datos que se traten para satisfacer el interés legítimo del responsable deban estar en fuentes accesibles al público.

El Reglamento europeo no realiza tal limitación y simplemente establece que: “ El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones (…) f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.”

Esto debería conseguir abrir definitivamente la lata del interés legítimo en España y que las empresas estudien seriamente si ésta puede ser la base para el tratamiento de los datos de clientes, trabajadores o potenciales clientes.

Informes de la AEPD

La AEPD ha emitido algunos informes en los que se refiere a este interés legítimo. Adopta la misma posición del GT29 estableciendo esa necesidad de ponderación con los derechos y libertades fundamentales de los afectados.

El riesgo para los derechos y libertades fundamentales es el que se produce como consecuencia de un uso ilícito o mal uso de la capacidad que ofrece la tecnología para la monitorización de las comunicaciones o tratamiento de los datos personales en cuanto a seguir a la persona sin límites especiales o temporales. Dicho seguimiento puede producirse a lo largo del tiempo, en cualquier lugar ya sea en el entorno laboral o fuera de éste y a través del uso de diferentes dispositivos, tales como teléfonos inteligentes, ordenadores, tablets o vehículos, que permiten, en particular, un tratamiento de datos personales que, sin las garantías debidas, puede resultar ser ilícito.

Ejemplos de interés legítimo y alto riesgo para la Protección de Datos

En los casos de tratamientos de datos personales de trabajadores por parte de la empresa basándose en el interés legítimo existen situaciones que suponen un alto riesgo para los derechos de esos trabajadores. Como ejemplo de esos casos podemos indicar los siguientes:

Durante el proceso de contratación

En caso de que se obtengan los datos personales de las redes sociales, deben tenerse en cuenta unos requisitos:

  • Considerar si el perfil del candidato en la red social es profesional o privado;
  • Recoger y tratar datos personales de los candidatos siempre que sea necesario y relevante para el desarrollo del puesto de trabajo al que se presentan;
  • Suprimir los datos personales tan pronto como el candidato sea descartado o rechace la oferta;
  • Informar al interesado de dicho tratamiento de datos antes de que participe en el proceso de contratación.

Por tanto, para que el interés legítimo sea aplicable como condición que legitime el tratamiento, por una parte, este tiene que ser necesario para evaluar riesgos específicos de los candidatos para una función específica, es decir, que el tratamiento sea necesario y, por otra parte, es necesario que se haya informado previamente al candidato sobre dicho tratamiento.

Como resultado de un proceso de evaluación

En este caso, para poder aplicar el interés legítimo como condición de legitimación, es necesario que el empresario se asegure de que no hay otros medios menos invasivos. Y que se haya informado adecuadamente al interesado sobre la observación de las comunicaciones públicas.

Como resultado de la monitorización del uso de las TIC en el lugar de trabajo

Una monitorización constante es una respuesta desproporcionada que vulnera el derecho al secreto de las comunicaciones y, por tanto, es necesario que el empresario considere otras medidas menos invasivas para proteger la confidencialidad de los datos de los clientes y la seguridad de su red.

Es muy importante implementar y comunicar políticas de uso aceptable de las TIC (redes, equipos y otros dispositivos, etc.) en la empresa por los empleados, junto con las correspondientes políticas de privacidad.

Referidos al tiempo de trabajo y a la asistencia al trabajo

Aquí, el empresario debe asegurarse de que, para poder aplicar el interés legítimo, el tratamiento de datos tiene que ser:

  • necesario,
  • justo para el interesado, de manera que no prevalezca sobre sus derechos y libertades fundamentales, y
  • transparente, lo que significa que se haya informado adecuadamente al interesado.

Por tanto, no podríamos utilizar el interés legítimo como condición de legitimación si el resultado de una monitorización constante del tiempo de trabajo es utilizado con otra finalidad, como por ejemplo la evaluación del desempeño de tareas por los trabajadores.

En el uso de sistemas de videovigilancia

Ante la posibilidad de un uso desproporcionado de tecnologías de videovigilancia, como por ejemplo que el empresario pueda monitorizar las expresiones faciales de sus empleados o identificar desviaciones de patrones de movimientos predefinidos en el ámbito de una fábrica, surge la necesidad de que los mismos se abstengan de hacer uso de tecnologías de reconocimiento facial.

Relativos al uso de vehículos por los empleados

En este caso, debemos informar claramente del tratamiento de datos personales derivado, entre otros, del uso de dispositivos de seguimiento. Y antes de usarlo debe evaluarse si el tratamiento para los fines correspondientes es necesario. También si la implementación de las medidas cumple con los principios de proporcionalidad y subsidiariedad.

Casos de comunicación de datos de empleados a terceros

Para poder usar el interés legítimo es necesario que se analice previamente si el tratamiento de los datos personales es necesario para satisfacer aquél. No pudiendo basarse sin más en dicho interés legítimo como condición que justifique del tratamiento de los datos personales.

Espero que estas líneas hayan servido para ofrecerte algunas ideas y ejemplos prácticos sobre lo que es el interés legítimo y cómo debe utilizarse.

¡Y eso no es todo, amigos! Se avecinan nuevos e importante cambios, así que ¡permanecer atentos!

¿Necesitas cumplir la LOPD?

Papel en blanco: esta vez sobre el interés legítimo
4.8 (95%) 12 votos