En este artículo vamos a abordar el concepto de interés legítimo en relación a la protección de datos, puesto que es una de las bases de legitimación que ampara el tratamiento de datos personales por parte del responsable de tratamiento. Sin embargo, es también una de las bases de legitimación más ambiguas en su interpretación y que mayores controversias a ha levantado.
Definición de «Interés legítimo»
Con carácter general, el significado de interés legítimo es doble; por un lado, se refiere al «interés de una persona reconocido y protegido por el derecho». Y por otro lado, es la «situación jurídica que se ostenta en relación con la actuación de otra persona y que conlleva la facultad de exigirle, a través de un procedimiento administrativo o judicial, un comportamiento adecuado».
El concepto de interés legítimo es parte fundamental del ordenamiento jurídico administrativo, puesto que marca el límite de legitimación para interponer recursos en la vía administrativa o contencioso-administrativa (cuando el ciudadano entiende que un acto, una norma, un la ley, etc., de la Administración le supone un perjuicio o desventaja o lesiona sus derechos fundamentales). Basado en el derecho fundamental de la tutela judicial efectiva del artículo 24.1 de la Constitución Española, que se articula en torno a los conceptos de derecho subjetivo e interés legítimo.
Pero también es parte fundamental en la protección de datos, puesto que es una de las 6 posibles bases jurídicas que legitiman el tratamiento de datos por parte del responsable de tratamiento o terceros, sin necesidad de contar con el consentimiento explícito de los interesados, si bien no elimina su derecho a ser informados.
En cualquier caso, se trata de un concepto difuso y ambiguo, sujeto a interpretación, incluso con la regulación que recogen sobre él tanto la LOPD como el RGPD, tal y como veremos a continuación.
Interés Legítimo y LOPD
La actual LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales, que actualizó a su antecesora, la LOPD) no define el interés legítimo en la protección de datos, pero sí recoge varios supuestos en los que el tratamiento de datos personales se podrá llevar a cabo en base al interés legítimo; concretamente, estos se refieren al tratamiento de datos de contacto, empresarios individuales y de profesionales liberales, así como las comunicaciones de datos por los responsables del tratamiento previstos en el artículo 77.1 de la Ley, que se refieren a las Administraciones Públicas, a sujetos de derecho privado en los que concurra un interés legítimo.
En estos supuestos, el legislador supone una presunción de prevalencia del interés legítimo del responsable, pero eso no excluye la necesidad de llevar a cabo un proceso de ponderación respecto a los intereses, libertades y derechos fundamentales del interesado.
Interés Legítimo y RGPD
El RGPD (Reglamento General de Protección de Datos) recoge en la letra f del artículo 6 que «el tratamiento [de datos personales] es necesario para la satisfacción de intereses legítimos perseguidos por el responsable de tratamiento por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño».
Es decir, que siempre que prevalezca el interés legítimo del responsable del tratamiento sobre los intereses o derechos y libertades fundamentales del interesado, el primero podrá llevar a cabo el tratamiento de los datos. Sin embargo, esto no quiere decir que se pueda usar el interés legítimo para legitimar cualquier tratamiento, ya que el propio Reglamento indica que es necesario hacer una ponderación entre los intereses legítimos de quienes van a tratar los datos y los intereses y derechos fundamentales del interesado, o, lo que es lo mismo, enfrentar ambos intereses y derechos para determinar cuál tiene prevalencia.
El RGPD también recoger el interés legítimo imperioso, con el que se pueden legitimar las transferencias internacionales de datos. Se trata de una «versión» reforzada del interés legítimo que tiene en consideración las circunstancias especiales que permiten la transferencia internacional de datos personales.
En los Considerandos 47, 48, 49 y 50 se recogen varios supuestos de interés legítimo del responsable del tratamiento (que pueden considerarse además ejemplos):
- Prevención del fraude.
- Mercadotecnia directa.
- Transferencia de datos personales en un grupo empresarial para fines administrativos internos.
- Garantizar la seguridad de la red y de la información por parte de las autoridades públicas, equipos de respuesta a emergencias informáticas (CERT), equipos de respuesta a incidentes de seguridad informática (CSIRT), proveedores de redes y servicios de comunicaciones electrónicas y proveedores de tecnologías y servicios de seguridad.
- La transmisión a la autoridad competente de los datos respecto de casos individuales o casos diversos relacionados con un mismo acto delictivo o amenaza para la seguridad pública.
Criterios para la ponderación
Como el concepto de interés legítimo es bastante difuso y abierto a interpretación, determinar si el interés legítimo del responsable de tratamiento tiene prevalencia sobre el del interesado o sus derechos y libertades fundamentales, no es una tarea sencilla y es necesario, como ya hemos indicado, ponderar ambos antes de llevar a cabo ningún tipo de tratamiento de los datos.
Este proceso de ponderación se puede llevar a cabo realizando tres análisis:
- Idoneidad del tratamiento, mediante la que evaluar si existe realmente un interés legítimo detrás del tratamiento.
- Necesidad del tratamiento, para determinar si no existe otro medio menos intrusivo o moderado, pero igual de eficaz, que cumpla el mismo propósito. Es decir, llevar a cabo un análisis de impacto.
- Proporcionalidad, analizando la naturaleza de los datos a tratar, la expectativa razonable de que se produzca dicho tratamiento y el impacto que tendría sobre los derechos de los interesados.
Es decir, los criterios de ponderación deben tener en cuenta que la finalidad del tratamiento sea legítima. Que el tratamiento sea proporcional a dicha finalidad para la que se tratan dichos datos. Y que el interesado podrá ejercer su derecho de oposición por razones legítimas.
Aplicación a las Administraciones Públicas
Las Administraciones públicas pueden tratar datos de interés legítimo cuando, tal y como recoge la letra e del artículo 6.1 del RGPD, «el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsables del tratamiento».
Se entiende como «misión realizada en interés público» aquellas operaciones de tratamiento con fines de archivo en interés público, de investigación científica e histórica o fines estadísticos, estando también sujetas a salvaguardar las garantías adecuadas para los derechos y libertades de los interesados (principio de minimización de los datos).
La LOPDGDD, por su parte, recoge en su artículo 8.2 que el tratamiento de datos personales solo estará legitimado en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, cuando la competencia atribuida se consecuencia de una norma con rango de ley.
Respecto a los datos de categorías especiales, el artículo 9 del RGPD estable las excepciones a la prohibición de tratar estos datos cuando sea en interés público, en concreto, el tratamiento de datos personales en el ámbito de la legislación laboral, la legislación sobre protección social y con fines de seguridad, supervisión y alerta sanitaria, la prevención o control de enfermedades transmisibles y otras amenazas graves para la salud. Sin excluir tampoco la adopción de medidas adecuadas y específicas para proteger los derechos y libertades fundamentales de los interesados.
Ejemplos de interés legítimo
Para ilustrar mejor el interés legítimo en la protección de datos, vamos a ver algunos ejemplos en los que se puede aplicar (algunos, recogidos en los Considerando del RGPD).
Un primer ejemplo de interés legítimo lo tenemos en el tratamiento de datos personales para la prevención del fraude.
Un segundo ejemplo de tratamiento de datos personales legitimado en el interés legítimo del responsable, lo tenemos en la instalación de cámaras de videovigilancia en una tienda. Las cámaras recogen la imagen de los clientes, que es un dato personal, pero no es una intrusión en su derecho a la privacidad, y el responsable del tratamiento (que puede ser el dueño de la tienda) tiene un interés legítimo para evitar robos o presentar pruebas en caso de que se cometiera un delito en el interior de la tienda. Aunque no es necesario recoger el consentimiento explícito de los clientes, sí que se les debe informar de la presencia de las cámaras y sus derechos.
Para el tercer ejemplo, nos vamos al ámbito empresarial; los responsables de un grupo empresarial pueden tener un interés legítimo en transmitir datos de sus trabajadores dentro del grupo empresarial para poder cumplir con determinados fines administrativos internos.
Y, finalmente, las comunicaciones comerciales también pueden ampararse en el interés legítimo del responsable siempre y cuando existiera una relación contractual previa con el interesado y el responsable hubiera obtenido de forma lícita los datos de contacto del mismo, y además, las comunicaciones se refieran a productos o servicios similares a los que fueron objeto de la contratación del interesado. Es decir, si un cliente contrató una línea de telefonía e Internet, la compañía telefónica podría enviarle información comercial de productos similares.
Jurisprudencia sobre interés legitimo
Al tratarse de un concepto difuso, en torno al interés legítimo se ha creado toda una serie de jurisprudencia que han ayudado a matizarlo y delimitarlo más claramente. Aún así, seguirá siendo necesario atender cada caso particular.
Estas son tres sentencias del TJUE (Tribunal Justicia de la Unión Europa) respecto a tres casos sobre interés legítimo llevados ante él:
- Sentencia de la Sala Segunda de 29 de julio de 2019 (asunto C-40/17), sobre la instalación de un módulo social por parte del administrador de un sitio de Internet, que permitía comunicar los datos personales del visitante al proveedor de dicho módulo.
- Sentencia de la Gran Sala de 13 de mayo de 2014 (asunto C-131/12), sobre motores de búsqueda, tratamiento de datos contenidos en sitios de Internet, búsqueda, indexación y almacenamiento de estos datos y responsabilidad del gestor del motor de búsqueda. Este caso en concreto tuvo como partes a Google Spain y Google Inc. y a la AEPD y un interesado particular.
- Sentencia de la Sala Tercera de 24 de noviembre de 2011 (asunto C-468/10 y C-469/10), sobre tratamiento de datos personales y efecto directo. Conocido como el caso ASNEF, fue un litigio entre esta entidad y la FECEMD (Federación de Comercio Electrónico y Marketing Directo) y la Administración del Estado.