El interés legítimo en protección de datos se determina como la base legal que permite a una empresa u organización a tratar los datos personales sin necesidad de obtener su consentimiento. Esto significa que, en ciertas ocasiones, una empresa puede procesar tu información personal sin que tú le des permiso directo, siempre y cuando se cumplan ciertas condiciones y no prevalezcan los intereses o los derechos y libertades fundamentales del interesado.
El Reglamento (UE) 2016/679 del parlamento europeo y del consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) y la ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) establecen el "interés legítimo" como una de las bases jurídicas que permite el tratamiento lícito de datos personales.
Concretamente se establece su regulación en el artículo 6.1 f) del Reglamento General de Protección de Datos (UE) 2016/679 (RGPD) que indica el "interés legítimo" como la base jurídica que permite el tratamiento lícito de datos personales.
La empresa u organización debe tener un interés real y concreto en tratar los datos personales.
El tratamiento de los datos personales debe ser necesario para alcanzar ese interés legítimo.
El interés legítimo no debe ser incompatible con los intereses o los derechos y libertades fundamentales del interesado.
La empresa u organización debe haber evaluado los riesgos y beneficios del tratamiento de los datos personales y haber concluido que el interés legítimo prevalece.
Prevención del fraude: Una empresa de servicios financieros puede tratar los datos personales de sus clientes para detectar y prevenir el fraude, siempre y cuando sea necesario para proteger sus intereses legítimos y no se vulneren los derechos y libertades fundamentales de los clientes.
Mejora de la experiencia del cliente: Una empresa de comercio electrónico puede tratar los datos personales de sus clientes para personalizar sus ofertas y mejorar su experiencia de compra, siempre y cuando sea necesario para alcanzar ese interés legítimo y no se vulneren los derechos y libertades fundamentales de los clientes.
Seguridad en el lugar de trabajo: Una empresa puede tratar los datos personales de sus empleados para garantizar la seguridad en el lugar de trabajo, siempre y cuando sea necesario para proteger su interés legítimo en la seguridad de sus empleados y no se vulneren los derechos y libertades fundamentales de los empleados.
Investigación y desarrollo: Una empresa de tecnología puede tratar los datos personales de sus usuarios para desarrollar y mejorar sus productos y servicios, siempre y cuando sea necesario para alcanzar ese interés legítimo y no se vulneren los derechos y libertades fundamentales de los usuarios.
Según el RGPD, el interés legítimo es una de las seis bases jurídicas que permiten el tratamiento lícito de datos personales. Este interés debe ser del responsable del tratamiento o de un tercero, y debe estar suficientemente justificado.
El concepto de «interés» está estrechamente relacionado con el concepto de «finalidad», aunque se trata de conceptos diferentes. En términos de protección de datos, «finalidad» es la razón específica por la que se tratan los datos: el objetivo o la intención del tratamiento de los datos. Un interés, por otro lado, se refiere a una mayor implicación que el responsable del tratamiento pueda tener en el tratamiento, o al beneficio que el responsable del tratamiento obtenga o que la sociedad pueda obtener del tratamiento.
La finalidad del interés legítimo es permitir el tratamiento de datos cuando este sea necesario para los intereses legítimos perseguidos por el responsable o por un tercero, siempre y cuando sobre estos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado. El considerando 47 del RGPD aclara que el interés legítimo podría servir de base legal para el tratamiento, siempre que se respete la expectativa razonable del interesado basada en su relación con el responsable del tratamiento.
Un interés debe estar articulado con la claridad suficiente para permitir que la prueba de sopesamiento se lleve a cabo en contraposición a los intereses y los derechos fundamentales del interesado
Realmente es la base con la que un responsable de tratamiento trata de obtener de forma licita y clara el tratamiento de datos
¿En qué casos puede existir un interés legítimo para tratar datos?
En base al RGPD:
-Prevención del fraude
-Mercadotecnia directa
-Grupo empresarial
-Seguridad de la red y de la información
En base a la LOPDGDD:
-Datos de contacto de empresarios individuales y profesionales liberales
-Sistemas de información crediticia
-Determinadas operaciones mercantiles
No obstante, pueden existir otros motivos para utilizar el interés legítimo como base legitimadora siempre y cuando sobre estos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado. Para ello es necesario realizar una ponderación y determinar si el tratamiento es necesario para conseguir el interés perseguido.
¿Cómo se debe ponderar ese interés legítimo para que el tratamiento de datos sea licito?
El Dictamen 06/2014 del Grupo de Trabajo del Artículo 29 sobre el concepto de interés legítimo proporciona una guía detallada sobre cómo evaluar y ponderar el interés legítimo.
La clave de la ponderación del interés legítimo está en realizar una adecuada ponderación entre el interés legítimo y los derechos y libertades del interesado. Para ello, se establecen tres pasos a seguir:
Identificar el interés legítimo perseguido: Debe ser un interés real y actual, no meramente hipotético o especulativo.
Evaluar la necesidad y proporcionalidad del tratamiento: Analizar si el tratamiento es necesario para alcanzar ese interés legítimo y si es proporcional, es decir, si no existen otras alternativas menos invasivas.
Realizar un test de equilibrio: Valorar si los intereses o derechos y libertades fundamentales del interesado prevalecen sobre el interés legítimo del responsable. Aquí entran en juego factores como la expectativa razonable del interesado, el impacto del tratamiento en sus derechos, o la existencia de salvaguardas adecuadas.
Para que un interés legítimo sea pertinente debe:
Ser lícito: Se considera que dicho tratamiento es licito. Dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales.
Estar articulado con la claridad suficiente para permitir que la prueba de sopesamiento se lleve a cabo en contraposición a los intereses y los derechos fundamentales del interesado (es decir suficientemente especifico) Se considera que es especifico y articulado en base a la finalidad.
Representar un interés real y actual (es decir, no especulativo). Dicho tratamiento no se realiza a bajo ninguna finalidad especulativa
Este tratamiento es licito, está articulado con claridad suficiente, es especifico y no se realiza bajo ninguna finalidad especulativa.
Solo si se supera satisfactoriamente esta ponderación, el tratamiento de datos personales con base en el interés legítimo será conforme a la normativa de protección de datos.
Es fundamental que los responsables del tratamiento documenten el proceso de ponderación y estén preparados para demostrar que el tratamiento es necesario para sus intereses legítimos y que no se vulneran los derechos y libertades de los interesados. Además, los interesados deben ser informados acerca del uso de sus datos bajo la premisa del interés legítimo y deben tener la oportunidad de ejercer su derecho de oposición.
En relación con las garantías que debe tener el interés legítimo y con la evaluación global del equilibrio, existen tres cuestiones a tener en cuenta:
• La existencia o la posible necesidad de medidas adicionales para aumentar la transparencia y la responsabilidad.
• El derecho de oposición al tratamiento por parte del interesado, y más allá de la oposición, la posibilidad de exclusión voluntaria sin la necesidad de justificación.
• El empoderamiento de los interesados: la portabilidad de los datos y la disponibilidad de mecanismos viables para que el interesado acceda modifique, elimine, transfiera o de otro modo reutilice (o permita reutilizar a terceros) sus propios datos.
En Datusmas te ayudamos si fuera necesario a realizar el test de equilibrio, la ponderación del interés legítimo y documentarlo, con la finalidad de valorar si los intereses o derechos y libertades fundamentales del interesado prevalecen sobre el interés legítimo del responsable.
En resumen, El interés legítimo como base legal para el tratamiento de datos personales está reconocido tanto en el Reglamento General de Protección de Datos (RGPD) de la Unión Europea como en la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Este concepto permite a las organizaciones tratar datos personales bajo ciertas condiciones sin necesidad de obtener el consentimiento del interesado, siempre que se realice una adecuada ponderación entre los intereses legítimos de quien trata los datos y los derechos y libertades de los sujetos de los datos. El interés legítimo es una base jurídica flexible que permite el tratamiento de datos, pero su aplicación requiere de un análisis cuidadoso y documentado de la ponderación entre los intereses en juego. Una evaluación inadecuada puede acarrear sanciones y responsabilidades para el responsable del tratamiento.