El artículo 6.1 f) del GDPR, establece que el tratamiento será lícito si es necesario para la satisfacción de intereses legítimos del responsable del tratamiento o de un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un menor de edad.
Por tanto, para determinar si procedería basar un determinado tratamiento de datos personales en el citado precepto habrá que llevar a cabo la ponderación de dicho interés legítimo; es decir, será necesario valorar si el interés legítimo del responsable del tratamiento o de un tercero o terceros prevalece sobre el interés o los derechos y libertades fundamentales del interesado, o si, por el contrario, los derechos fundamentales o intereses de los interesados a los que se refiera el tratamiento de los datos han de prevalecer sobre el interés legítimo en que el responsable o el tercero pretende fundamentar el tratamiento de los datos de personales.
Tanto el GDPR como la LOPDGDD contemplan situaciones en las que ya se presupone la existencia de ese interés legítimo del responsable o de un tercero, así:
Destacar también del Considerando 47 el hecho de que esta base jurídica no debe aplicarse al tratamiento efectuado por las autoridades públicas en el ejercicio de sus funciones.
Conforme al Considerando 69 GDPR el interesado tiene derecho a oponerse al tratamiento, cuando este se base en el interés legítimo, estableciéndose la carga de probar ese interés en el responsable.
La LOPDGDD en su Exposición de Motivos establece una presunción de prevalencia del interés legítimo del responsable cuando se lleven a cabo con una serie de requisitos, lo que no excluye la licitud de este tipo de tratamientos cuando no se cumplen estrictamente las condiciones previstas en el texto, si bien en este caso si se deberá llevar a cabo la ponderación exigible, al no presumirse la prevalencia del interés legítimo. En estos supuestos, el responsable no precisaría acudir a la ponderación del interés legítimo, dado que la Ley lo ha ponderado ya. Para eso (no tener que llevar a cabo la ponderación), tendremos que verificar que el tratamiento cumple con los requisitos establecidos en los distintos preceptos de la LOPDGDD:
Caso de no cumplirse los requisitos establecidos en los anteriores preceptos, sí que se deberá llevar a cabo esa ponderación.
Además de lo visto hasta ahora y regulado sobre esta base jurídica en el GDPR y en la LOPDGDD, podemos también destacar lo indicado al respecto en el Dictamen 06/2014 del GT29, sobre el concepto de interés legítimo del responsable del tratamiento de los datos (WP 217):
El Dictamen 06/2014 indica que cuando se lleve a cabo una ponderación de estos intereses legítimos, se deben considerar los siguientes factores:
Adjuntamos un modelo para cuando tengamos que llevar a cabo una ponderación de interés legítimo.
En esta tabla-modelo, en la última columna deberemos dar respuestas a las distintes preguntas planteadas en la primera columna de la tabla, ayudándonos para ello con las orientaciones que se facilitan en la segunda columna de la misma.
Una vez contestadas todas las preguntas, en el apartado “MEDIDAS Y CONTROLES ADICIONALES”, determinaremos la necesidad o no de adoptar controles o medidas adicionales para proteger al interesado o reducir cualquier riesgo o impacto potencialmente negativo del tratamiento. Por ejemplo: minimización de datos, cifrado, seudonimización, medidas técnicas y organizativas, etc. Incluiremos un listado con la descripción de los controles que se establecerán o ya se han establecido para preservar los derechos de los interesados.
Por último, en el apartado “DECISIÓN”, basándonos en las respuestas que hemos dado a las preguntas planteadas y las medidas adicionales adoptadas si ha sido el caso, debe tomarse una decisión respecto a si se considera que puede basarse en el interés legítimo del responsable o de un tercero la actividad de tratamiento objeto de análisis, o no.
ANÁLISIS DEL INTERÉS LEGÍTIMO |
||
FINALIDAD |
||
Preguntas |
Orientación |
Respuesta |
¿Cuál es la finalidad del tratamiento? |
¿Para qué se tratan los datos personales? |
|
¿Es necesario el tratamiento para alcanzar uno o más objetivos específicos? |
Si la operación de tratamiento se requiere para lograr un objetivo lícito. |
|
¿Es el tratamiento necesario para cumplir uno o más objetivos específicos de un tercero? |
Si bien solo necesitaremos identificar un interés legítimo, si es posible enumeraremos todos los intereses que se hayan detectado. |
|
¿El GDPR, la LOPDGDD, u otra normativa aplicable identifican específicamente la actividad de tratamiento como una actividad legítima, sujeto a la realización de una prueba de ponderación y a un resultado positivo? |
Por ejemplo:
|
|
PRUEBA DE NECESIDAD |
||
Preguntas |
Orientación |
Respuesta |
¿Por qué es importante la actividad de tratamiento para el responsable? |
Debe determinarse la importancia de esta actividad en cuanto al tratamiento de los datos, en relación con la actividad de la entidad responsable. |
|
¿Por qué es importante la actividad de tratamiento para terceras partes a las que los datos pueden ser cedidos, si es el caso? |
Debe determinarse la importancia de esta actividad en cuanto al tratamiento de los datos, en relación con la actividad esas terceras partes. |
|
¿Existe otra forma de alcanzar el objetivo? |
|
|
PRUEBA DE EQUILIBRADO |
||
Preguntas |
Orientación |
Respuesta |
¿Esperaría el interesado que se lleve a cabo la actividad de tratamiento? |
|
|
¿El tratamiento agrega valor a un producto o servicio que el individuo utiliza? |
|
|
¿Es probable que el tratamiento afecte negativamente los derechos del individuo? |
|
|
¿Es probable que el tratamiento resulte en daño o perjuicio injustificado para el individuo? |
|
|
¿Habría un perjuicio para el interesado si e tratamiento no se lleva a cabo? |
|
|
¿Habría un perjuicio para el tercero si el tratamiento no se llevara a cabo? |
|
|
¿El tratamiento redunda en interés del interesado? |
¿Cuáles son los beneficios para el individuo o la sociedad? |
|
¿Están los intereses legítimos del individuo alineados con la parte que busca confiar en sus intereses legítimos para el tratamiento? |
|
|
¿Cuál es la conexión entre el individuo y la organización? |
Cliente actual, antiguo cliente, empleada/o, , cliente potencial (nunca ha comprado bienes o servicios), proveedor, ninguna de las anteriores: detallar…. |
|
¿Cuál es la naturaleza de los datos a tratar, tienen alguna protección especial GDPR? |
Si se tratan categorías especiales de datos, debe darse una de las excepciones del art. 9.2 GDPR además de la base legitimadora. |
Datos de menores |
¿Existe una relación bidireccional entre el responsable del tratamiento y el interesado? Si es así, ¿cómo de cerca está esa relación? |
Cuando existe una relación en curso, o incluso una relación más formal, bien puede haber una mayor expectativa por parte del individuo de que su información será tratada por el responsable. Lo contrario también es posible, pero depende del fin del tratamiento. |
|
¿El tratamiento limitaría los derechos de las personas? |
Si el tratamiento impidiera la capacidad de ejercer esos derechos en el futuro, eso podría afectar el equilibrio. |
|
¿Se han obtenido los datos personales directamente del afectado o indirectamente? |
|
Se obtienen del interesado, de fuentes externas, o se dan ambas situaciones |
¿Existe algún desequilibrio de poder entre el responsable del tratamiento y el afectado? |
¿Tiene el afectado alguna capacidad de decisión respecto al tratamiento de su información personal? Si la organización tiene una posición dominante, esto inclinará ligeramente la balanza en contra del uso de intereses legítimos. |
Por ejemplo, ámbito laboral |
¿Es probable que el individuo pueda esperar que sus datos sean utilizados para este fin? |
Dada la relación entre las partes, los servicios que se prestan, o productos que se proporcionan, incluidos los avisos informativos disponibles, ¿esperaría razonablemente el interesado que sus datos personales se utilizarían para esos fines o con fines conexos? Cuanto mayor sea la expectativa, mayores serán las posibilidades de que los intereses legítimos puedan ser adecuados. |
Sí, no, no estamos seguro |
¿Podría considerarse que el tratamiento es intrusivo o inapropiado? En particular, ¿podría ser percibido como tal por el interesado o en el contexto de la relación? |
El tratamiento no debe ser injustificado, la intromisión en la vida privada de una persona puede estar justificada por la naturaleza de la relación o circunstancias especiales. Sin embargo, cuanto mayor sea la intrusión, percibida o no, mayor será el interés legítimo y tanto más deben considerarse los derechos del individuo dentro del equilibrio. Debe considerarse aquí la forma en que se tratan los datos (por ejemplo, a gran escala, extracción de datos, elaboración de perfiles, divulgación a un gran número de personas o publicación…). |
|
¿Se informa adecuadamente al interesado conforme al principio de información del art. 13 y 14 GDPR? |
Cuanto más inusual, inesperado o intrusivo sea el tratamiento, mayor será la importancia de concienciar al afectado sobre el tratamiento. En particular, cuando se trate de intereses legítimos. |
|
¿Puede el afectado, cuyos datos se están tratando, controlar fácilmente la actividad u objeto de tratamiento? |
Darle al individuo un mayor control o elementos de control puede ayudar al responsable del tratamiento a confiar en los intereses legítimos cuando de lo contrario no podría hacerlo. |
|
¿Se puede modificar el alcance del tratamiento para reducir/mitigar cualquier riesgo o daño subyacente a la privacidad? |
Se trata de un concepto similar al de una evaluación de impacto de la protección de datos. Cuando una DPIA puede identificar posibles daños potenciales a la privacidad, también permite a la organización mitigar el riesgo de incumplimiento adaptando o modificando el alcance de la actividad. Del mismo modo es aplicable a un análisis de ponderación de intereses legítimos. Si se concluye que el tratamiento presenta un riesgo para la protección de datos del afectado, el tratamiento puede ser limitado o adaptado para reducir el impacto potencial. |
Sí, debe explicarse en la siguiente sección, medidas y controles |
MEDIDAS Y CONTROLES ADICIONALES |
|
DECISIÓN |
|