[{"@context":"http:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/ayudaleyprotecciondatos.es\/2020\/11\/23\/interes-legitimo\/#BlogPosting","mainEntityOfPage":"https:\/\/ayudaleyprotecciondatos.es\/2020\/11\/23\/interes-legitimo\/","headline":"El Inter\u00e9s Leg\u00edtimo y la protecci\u00f3n de datos","name":"El Inter\u00e9s Leg\u00edtimo y la protecci\u00f3n de datos","description":"Abordamos el concepto de inter\u00e9s leg\u00edtimo y su aplicaci\u00f3n en el \u00e1mbito de la protecci\u00f3n de datos. \u00bfQu\u00e9 dicen la LOPD y el RGPD al respecto? \u2705","datePublished":"2020-11-23","dateModified":"2021-06-09","author":{"@type":"Person","@id":"https:\/\/ayudaleyprotecciondatos.es\/author\/helena\/#Person","name":"Helena","url":"https:\/\/ayudaleyprotecciondatos.es\/author\/helena\/","image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/b023e7afa5522ddec000b8b3b8bf4f7c?s=96&d=blank&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/b023e7afa5522ddec000b8b3b8bf4f7c?s=96&d=blank&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"AyudaLeyProteccionDatos","logo":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2020\/10\/interes-legitimo.jpg","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2020\/10\/interes-legitimo.jpg","height":1067,"width":1600},"url":"https:\/\/ayudaleyprotecciondatos.es\/2020\/11\/23\/interes-legitimo\/","about":["EMPRESAS","LOPDGDD & RGPD"],"wordCount":2123,"articleBody":" if (typeof BingeIframeRan === \"undefined\") { window.addEventListener(\"message\", receiveMessage, false); function receiveMessage(event) { try { var parsed = JSON.parse(event.data) if (parsed.context === \"iframe.resize\") { var iframes = document.getElementsByClassName(\"binge-iframe\"); for (let i = 0; i < iframes.length; ++i) { if (iframes[i].src == parsed.src || iframes[i].contentWindow === event.source) { iframes[i].height = parsed.height; } iframes[i].style.opacity = 1; } } } catch (error) { } } var BingeIframeRan = true; } En este art\u00edculo vamos a abordar el concepto de inter\u00e9s leg\u00edtimo en relaci\u00f3n a la protecci\u00f3n de datos, puesto que es una de las bases de legitimaci\u00f3n que ampara el tratamiento de datos personales por parte del responsable de tratamiento. Sin embargo, es tambi\u00e9n una de las bases de legitimaci\u00f3n m\u00e1s ambiguas en su interpretaci\u00f3n y que mayores controversias a ha levantado.Definici\u00f3n de \u00abInter\u00e9s leg\u00edtimo\u00bbInter\u00e9s Leg\u00edtimo y LOPDInter\u00e9s Leg\u00edtimo y RGPDCriterios para la ponderaci\u00f3nAplicaci\u00f3n a las Administraciones P\u00fablicasEjemplos de inter\u00e9s leg\u00edtimoJurisprudencia sobre inter\u00e9s legitimoDefinici\u00f3n de \u00abInter\u00e9s leg\u00edtimo\u00bbCon car\u00e1cter general, el significado de inter\u00e9s leg\u00edtimo es doble; por un lado, se refiere al \u00abinter\u00e9s de una persona reconocido y protegido por el derecho\u00bb. Y por otro lado, es la \u00absituaci\u00f3n jur\u00eddica que se ostenta en relaci\u00f3n con la actuaci\u00f3n de otra persona y que conlleva la facultad de exigirle, a trav\u00e9s de un procedimiento administrativo o judicial, un comportamiento adecuado\u00bb.El concepto de inter\u00e9s leg\u00edtimo es parte fundamental del ordenamiento jur\u00eddico administrativo, puesto que marca el l\u00edmite de legitimaci\u00f3n para interponer recursos en la v\u00eda administrativa o contencioso-administrativa (cuando el ciudadano entiende que un acto, una norma, un la ley, etc., de la Administraci\u00f3n le supone un perjuicio o desventaja o lesiona sus derechos fundamentales). Basado en el derecho fundamental de la tutela judicial efectiva del art\u00edculo 24.1 de la Constituci\u00f3n Espa\u00f1ola, que se articula en torno a los conceptos de derecho subjetivo e inter\u00e9s leg\u00edtimo.Pero tambi\u00e9n es parte fundamental en la protecci\u00f3n de datos, puesto que es una de las 6 posibles bases jur\u00eddicas que legitiman el tratamiento de datos por parte del responsable de tratamiento o terceros, sin necesidad de contar con el consentimiento expl\u00edcito de los interesados, si bien no elimina su derecho a ser informados.En cualquier caso, se trata de un concepto difuso y ambiguo, sujeto a interpretaci\u00f3n, incluso con la regulaci\u00f3n que recogen sobre \u00e9l tanto la LOPD como el RGPD, tal y como veremos a continuaci\u00f3n.Inter\u00e9s Leg\u00edtimo y LOPDLa actual LOPDGDD (Ley Org\u00e1nica de Protecci\u00f3n de Datos y Garant\u00eda de Derechos Digitales, que actualiz\u00f3 a su antecesora, la LOPD) no define el inter\u00e9s leg\u00edtimo en la protecci\u00f3n de datos, pero s\u00ed recoge varios supuestos en los que el tratamiento de datos personales se podr\u00e1 llevar a cabo en base al inter\u00e9s leg\u00edtimo; concretamente, estos se refieren al tratamiento de datos de contacto, empresarios individuales y de profesionales liberales, as\u00ed como las comunicaciones de datos por los responsables del tratamiento previstos en el art\u00edculo 77.1 de la Ley, que se refieren a las Administraciones P\u00fablicas, a sujetos de derecho privado en los que concurra un inter\u00e9s leg\u00edtimo.En estos supuestos, el legislador supone una presunci\u00f3n de prevalencia del inter\u00e9s leg\u00edtimo del responsable, pero eso no excluye la necesidad de llevar a cabo un proceso de ponderaci\u00f3n respecto a los intereses, libertades y derechos fundamentales del interesado.Inter\u00e9s Leg\u00edtimo y RGPDEl RGPD (Reglamento General de Protecci\u00f3n de Datos) recoge en la letra f del art\u00edculo 6 que \u00abel tratamiento [de datos personales] es necesario para la satisfacci\u00f3n de intereses leg\u00edtimos perseguidos por el responsable de tratamiento por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protecci\u00f3n de datos personales, en particular cuando el interesado sea un ni\u00f1o\u00bb.Es decir, que siempre que prevalezca el inter\u00e9s leg\u00edtimo del responsable del tratamiento sobre los intereses o derechos y libertades fundamentales del interesado, el primero podr\u00e1 llevar a cabo el tratamiento de los datos. Sin embargo, esto no quiere decir que se pueda usar el inter\u00e9s leg\u00edtimo para legitimar cualquier tratamiento, ya que el propio Reglamento indica que es necesario hacer una ponderaci\u00f3n entre los intereses leg\u00edtimos de quienes van a tratar los datos y los intereses y derechos fundamentales del interesado, o, lo que es lo mismo, enfrentar ambos intereses y derechos para determinar cu\u00e1l tiene prevalencia.El RGPD tambi\u00e9n recoger el inter\u00e9s leg\u00edtimo imperioso, con el que se pueden legitimar las transferencias internacionales de datos. Se trata de una \u00abversi\u00f3n\u00bb reforzada del inter\u00e9s leg\u00edtimo que tiene en consideraci\u00f3n las circunstancias especiales que permiten la transferencia internacional de datos personales.En los Considerandos 47, 48, 49 y 50 se recogen varios supuestos de inter\u00e9s leg\u00edtimo del responsable del tratamiento (que pueden considerarse adem\u00e1s ejemplos):Prevenci\u00f3n del fraude.Mercadotecnia directa.Transferencia de datos personales en un grupo empresarial para fines administrativos internos.Garantizar la seguridad de la red y de la informaci\u00f3n por parte de las autoridades p\u00fablicas, equipos de respuesta a emergencias inform\u00e1ticas (CERT), equipos de respuesta a incidentes de seguridad inform\u00e1tica (CSIRT), proveedores de redes y servicios de comunicaciones electr\u00f3nicas y proveedores de tecnolog\u00edas y servicios de seguridad.La transmisi\u00f3n a la autoridad competente de los datos respecto de casos individuales o casos diversos relacionados con un mismo acto delictivo o amenaza para la seguridad p\u00fablica.Criterios para la ponderaci\u00f3nComo el concepto de inter\u00e9s leg\u00edtimo es bastante difuso y abierto a interpretaci\u00f3n, determinar si el inter\u00e9s leg\u00edtimo del responsable de tratamiento tiene prevalencia sobre el del interesado o sus derechos y libertades fundamentales, no es una tarea sencilla y es necesario, como ya hemos indicado, ponderar ambos antes de llevar a cabo ning\u00fan tipo de tratamiento de los datos.Este proceso de ponderaci\u00f3n se puede llevar a cabo realizando tres an\u00e1lisis:Idoneidad del tratamiento, mediante la que evaluar si existe realmente un inter\u00e9s leg\u00edtimo detr\u00e1s del tratamiento.Necesidad del tratamiento, para determinar si no existe otro medio menos intrusivo o moderado, pero igual de eficaz, que cumpla el mismo prop\u00f3sito. Es decir, llevar a cabo un an\u00e1lisis de impacto.Proporcionalidad, analizando la naturaleza de los datos a tratar, la expectativa razonable de que se produzca dicho tratamiento y el impacto que tendr\u00eda sobre los derechos de los interesados.Es decir, los criterios de ponderaci\u00f3n deben tener en cuenta que la finalidad del tratamiento sea leg\u00edtima. Que el tratamiento sea proporcional a dicha finalidad para la que se tratan dichos datos. Y que el interesado podr\u00e1 ejercer su derecho de oposici\u00f3n por razones leg\u00edtimas.Aplicaci\u00f3n a las Administraciones P\u00fablicasLas Administraciones p\u00fablicas pueden tratar datos de inter\u00e9s leg\u00edtimo cuando, tal y como recoge la letra e del art\u00edculo 6.1 del RGPD, \u00abel tratamiento es necesario para el cumplimiento de una misi\u00f3n realizada en inter\u00e9s p\u00fablico o en el ejercicio de poderes p\u00fablicos conferidos al responsables del tratamiento\u00bb.Se entiende como \u00abmisi\u00f3n realizada en inter\u00e9s p\u00fablico\u00bb aquellas operaciones de tratamiento con fines de archivo en inter\u00e9s p\u00fablico, de investigaci\u00f3n cient\u00edfica e hist\u00f3rica o fines estad\u00edsticos, estando tambi\u00e9n sujetas a salvaguardar las garant\u00edas adecuadas para los derechos y libertades de los interesados (principio de minimizaci\u00f3n de los datos).La LOPDGDD, por su parte, recoge en su art\u00edculo 8.2 que el tratamiento de datos personales solo estar\u00e1 legitimado en el cumplimiento de una misi\u00f3n realizada en inter\u00e9s p\u00fablico o en el ejercicio de poderes p\u00fablicos conferidos al responsable, cuando la competencia atribuida se consecuencia de una norma con rango de ley.Respecto a los datos de categor\u00edas especiales, el art\u00edculo 9 del RGPD estable las excepciones a la prohibici\u00f3n de tratar estos datos cuando sea en inter\u00e9s p\u00fablico, en concreto, el tratamiento de datos personales en el \u00e1mbito de la legislaci\u00f3n laboral, la legislaci\u00f3n sobre protecci\u00f3n social y con fines de seguridad, supervisi\u00f3n y alerta sanitaria, la prevenci\u00f3n o control de enfermedades transmisibles y otras amenazas graves para la salud. Sin excluir tampoco la adopci\u00f3n de medidas adecuadas y espec\u00edficas para proteger los derechos y libertades fundamentales de los interesados.Ejemplos de inter\u00e9s leg\u00edtimoPara ilustrar mejor el inter\u00e9s leg\u00edtimo en la protecci\u00f3n de datos, vamos a ver algunos ejemplos en los que se puede aplicar (algunos, recogidos en los Considerando del RGPD).Un primer ejemplo de inter\u00e9s leg\u00edtimo lo tenemos en el tratamiento de datos personales para la prevenci\u00f3n del fraude.Un segundo ejemplo de tratamiento de datos personales legitimado en el inter\u00e9s leg\u00edtimo del responsable, lo tenemos en la instalaci\u00f3n de c\u00e1maras de videovigilancia en una tienda. Las c\u00e1maras recogen la imagen de los clientes, que es un dato personal, pero no es una intrusi\u00f3n en su derecho a la privacidad, y el responsable del tratamiento (que puede ser el due\u00f1o de la tienda) tiene un inter\u00e9s leg\u00edtimo para evitar robos o presentar pruebas en caso de que se cometiera un delito en el interior de la tienda. Aunque no es necesario recoger el consentimiento expl\u00edcito de los clientes, s\u00ed que se les debe informar de la presencia de las c\u00e1maras y sus derechos.Para el tercer ejemplo, nos vamos al \u00e1mbito empresarial; los responsables de un grupo empresarial pueden tener un inter\u00e9s leg\u00edtimo en transmitir datos de sus trabajadores dentro del grupo empresarial para poder cumplir con determinados fines administrativos internos.Y, finalmente, las comunicaciones comerciales tambi\u00e9n pueden ampararse en el inter\u00e9s leg\u00edtimo del responsable siempre y cuando existiera una relaci\u00f3n contractual previa con el interesado y el responsable hubiera obtenido de forma l\u00edcita los datos de contacto del mismo, y adem\u00e1s, las comunicaciones se refieran a productos o servicios similares a los que fueron objeto de la contrataci\u00f3n del interesado. Es decir, si un cliente contrat\u00f3 una l\u00ednea de telefon\u00eda e Internet, la compa\u00f1\u00eda telef\u00f3nica podr\u00eda enviarle informaci\u00f3n comercial de productos similares.Jurisprudencia sobre inter\u00e9s legitimoAl tratarse de un concepto difuso, en torno al inter\u00e9s leg\u00edtimo se ha creado toda una serie de jurisprudencia que han ayudado a matizarlo y delimitarlo m\u00e1s claramente. A\u00fan as\u00ed, seguir\u00e1 siendo necesario atender cada caso particular.Estas son tres sentencias del TJUE (Tribunal Justicia de la Uni\u00f3n Europa) respecto a tres casos sobre inter\u00e9s leg\u00edtimo llevados ante \u00e9l:Sentencia de la Sala Segunda de 29 de julio de 2019 (asunto C-40\/17), sobre la instalaci\u00f3n de un m\u00f3dulo social por parte del administrador de un sitio de Internet, que permit\u00eda comunicar los datos personales del visitante al proveedor de dicho m\u00f3dulo.Sentencia de la Gran Sala de 13 de mayo de 2014 (asunto C-131\/12), sobre motores de b\u00fasqueda, tratamiento de datos contenidos en sitios de Internet, b\u00fasqueda, indexaci\u00f3n y almacenamiento de estos datos y responsabilidad del gestor del motor de b\u00fasqueda. Este caso en concreto tuvo como partes a Google Spain y Google Inc. y a la AEPD y un interesado particular.Sentencia de la Sala Tercera de 24 de noviembre de 2011 (asunto C-468\/10 y C-469\/10), sobre tratamiento de datos personales y efecto directo. Conocido como el caso ASNEF, fue un litigio entre esta entidad y la FECEMD (Federaci\u00f3n de Comercio Electr\u00f3nico y Marketing Directo) y la Administraci\u00f3n del Estado."},{"@context":"http:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/#breadcrumbitem","name":"Ayuda Ley Protecci\u00f3n Datos"}},{"@type":"ListItem","position":2,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/2020\/11\/23\/interes-legitimo\/#breadcrumbitem","name":"El Inter\u00e9s Leg\u00edtimo y la protecci\u00f3n de datos"}}]}]