El Comité Europeo de Protección de Datos adopta nuevas directrices sobre el uso del interés legítimo
El Comité Europeo de Protección de Datos (EDPB, por sus siglas en inglés) ha adoptado hoy nuevas directrices sobre el uso del interés legítimo como base legal para el tratamiento de datos personales. Aunque el interés legítimo es una de las seis bases legales permitidas por el Reglamento General de Protección de Datos (RGPD), su uso ha sido objeto de numerosos debates. Estas directrices aclaran los criterios que los responsables del tratamiento deben cumplir para tratar datos de manera lícita en base al artículo 6(1)(f) del RGPD.
Directrices sobre el interés legítimo
Las directrices del EDPB se centran en el uso del artículo 6(1)(f) del RGPD, que permite el tratamiento de datos personales cuando es necesario para los fines de los intereses legítimos perseguidos por el responsable o un tercero, siempre que esos intereses no prevalezcan sobre los derechos y libertades de los interesados.
El EDPB aclara que el interés legítimo no debe utilizarse de forma automática, ni considerarse una opción «más fácil» en comparación con otras bases legales del RGPD (como el consentimiento o el cumplimiento de un contrato). En cambio, debe ser cuidadosamente evaluado y aplicado solo cuando sea apropiado.
Evaluación de la aplicación del Artículo 6(1)(f) – Tres condiciones acumulativas
Para utilizar el interés legítimo como base legal, se deben cumplir tres condiciones acumulativas:
1. El Interés legítimo del responsable o un tercero:
- El interés legítimo debe ser real y presente, no especulativo, y legal. Esto significa que el interés no puede violar leyes nacionales o de la UE, y debe estar claramente definido.
- Ejemplos de intereses legítimos pueden incluir prevenir fraudes, marketing directo o proteger la seguridad de la red. Sin embargo, no todos los intereses comerciales son automáticamente legítimos, y cada caso debe ser evaluado en función de su legalidad y legitimidad.
- El documento también menciona que los intereses de terceros pueden ser considerados legítimos, siempre que cumplan con los mismos criterios que los del responsable.
2. Necesidad del tratamiento de los datos:
- El tratamiento debe ser necesario para lograr el interés legítimo. Esto significa que no debe haber alternativas menos intrusivas que puedan cumplir con el mismo objetivo. La evaluación debe considerar los principios del artículo 5(1)(c) del RGPD, como el de minimización de datos, para asegurarse de que solo se tratan los datos estrictamente necesarios.
3. El test de equilibrio (Balancing Test):
- En este paso, se debe realizar un balance entre el interés legítimo del responsable y los derechos y libertades de los interesados.
- El impacto del tratamiento en los derechos del interesado es crucial. Se deben considerar factores como la naturaleza de los datos tratados, las expectativas razonables del interesado, y el contexto del tratamiento.
- Por ejemplo, los datos sensibles (como los relacionados con la salud o la raza) requieren una protección especial, y el interés legítimo difícilmente prevalecerá en esos casos.
- Las expectativas razonables del interesado también son clave. Si un interesado no espera razonablemente que sus datos se utilicen de una manera determinada, es menos probable que el interés legítimo del responsable prevalezca en el test de equilibrio.
- Se deben tener en cuenta también las consecuencias que podría tener el tratamiento para los interesados, como la posible discriminación, daños financieros, o un impacto en su vida privada o profesional.
Aplicaciones específicas del interés legítimo
Las directrices proporcionan ejemplos prácticos sobre cómo aplicar el interés legítimo en diferentes contextos, como:
- Marketing directo: Aunque el marketing directo puede ser un interés legítimo, debe evaluarse el impacto sobre los derechos de los interesados, especialmente si se utilizan datos sensibles o si no se ha obtenido un consentimiento claro.
- Prevención del fraude: El tratamiento de datos para prevenir fraudes generalmente se considera un interés legítimo, pero siempre debe cumplir con los principios de minimización de datos y transparencia.
- Seguridad de la información: Proteger la integridad de los sistemas de información también puede constituir un interés legítimo, siempre que el tratamiento sea necesario y proporcional.
Derechos de los interesados y transparencia
El uso del interés legítimo no exime al responsable de cumplir con los derechos de los interesados bajo el RGPD, como el derecho de acceso, rectificación, borrado y oposición. Las directrices enfatizan la importancia de que los responsables proporcionen información clara y transparente a los interesados sobre:
- La base legal utilizada para el tratamiento (en este caso, el interés legítimo).
- Los fines del tratamiento.
- Los derechos del interesado en relación con ese tratamiento, especialmente su derecho de oposición.
Medidas de mitigación y evaluación continua
Si el test de equilibrio sugiere que los derechos de los interesados podrían verse afectados negativamente, los responsables deben implementar medidas de mitigación. Estas medidas pueden incluir:
- Minimizar la cantidad de datos recogidos.
- Aplicar controles de acceso estrictos.
- Ofrecer a los interesados opciones claras para ejercer sus derechos, como la opción de oponerse al tratamiento de sus datos para fines de marketing directo.
Además, las directrices sugieren que los responsables documenten detalladamente el proceso de evaluación, incluyendo las medidas de mitigación adoptadas, para demostrar cumplimiento en caso de auditorías o consultas de las autoridades de protección de datos.
Conclusión
El uso del interés legítimo como base legal es útil para situaciones donde otras bases legales no se aplican, pero debe ser tratado con cautela. Las directrices del EDPB subrayan que esta base legal no es un recurso «por defecto», y que requiere una evaluación cuidadosa y bien documentada para garantizar que el tratamiento es necesario, proporcionado y respetuoso con los derechos de los interesados. Al aplicar el interés legítimo, las empresas deben adoptar un enfoque proactivo para evaluar los riesgos, implementar medidas de protección adecuadas y garantizar la transparencia hacia los interesados.