Interés legítimo y LOPD
El interés legítimo de quien trata los datos personales (tanto empresas privadas como administraciones públicas), constituye una base legitimadora para tratar dichos datos. En otras palabras: a pesar que el Santo Grial del tratamiento de datos personales, es disponer del consentimiento de su titular, existen otros supuestos legales para que puedan tratarse dichos datos, sin vulnerar la normativa: uno de ellos es el interés legítimo del responsable del tratamiento.
¿Qué es el interés legítimo?
El interés legítimo es un concepto indeterminado que responde a las razones que tiene un responsable del tratamiento, para recoger, almacenar o ceder a terceros los datos de alguien. Esta posibilidad, viene recogida en la, ya lejana Directiva de 1995 (art. 7), así como en el Reglamento General de Protección de Datos, que entrará en vigor en mayo de 2018 (art. 6). En ambos casos el interés legítimo, constituye una base legal (o legítima) para tratar los datos de alguien y, en ambos casos, está al mismo nivel que las otras bases legales: el consentimiento, el cumplimiento de un contrato, el cumplimiento de una ley, el interés vital del interesado o el interés público. Resulta digno de mención que el mencionado Reglamento, incluye entre los supuestos en que el tratamiento de datos puede ser realizado para cumplir el interés legítimo de las empresas (sin consentimiento), el tratamiento de los mismos con fines de marketing.
En medio de las dos normas europeas, se encuentra la LOPD, que en su artículo 6, realizó una desafortunada transposición del interés legítimo al preverlo, únicamente, cuando los datos estuvieran en fuentes accesibles al público. Esto a la práctica, supone una gran limitación de los supuestos en que esta posibilidad para tratar datos de manera legal, puede ser utilizada.
¿Tiene algún límite?
Obviamente sí. Para que el tratamiento de datos para cumplir el interés legítimo del responsable sea legal, será necesario que no prevalezcan los derechos o libertades fundamentales del titular del dato. En otras palabras, cuando alguna empresa decida utilizar esta base para tratar datos, será necesario que haga un análisis de hasta qué punto este tratamiento invade o impacta los derechos de los titulares de los datos. En este sentido la extensa Opinión 6/2014 del Grupo de Trabajo del Artículo 29, da una serie de claves para realizar un test para confrontar, cual de los dos intereses, debe prevalecer. Entre las medidas que debería adoptar una empresa para que, basándose en el interés legítimo, pudiera tratar datos personales, están muchas de las que ya se prevén en el Reglamento europeo: aplicación de la Privacidad por defecto, des del Diseño, Estudios de Impacto de la Privacidad, transparencia, derecho a la portabilidad de datos. Es decir, la aplicación del interés legítimo no justifica, en caso alguno, la falta de cumplimiento de las normas y principios básicos de la normativa, más bien al contrario. Al no contar con el consentimiento del titular del dato, cualquier medida encaminada a darle el máximo poder disposición sobre los mismos, resulta necesaria.
¿Qué futuro tiene el interés legítimo?
Como hemos ya apuntado, la actual LOPD ha limitado de manera injustificada esta base legal para tratar datos, haciendo necesario que los datos que se trataran para satisfacer el interés legítimo del responsable, debieran estar en fuentes accesibles al público. Art. 6.2: no será el necesario el consentimiento para el tratamiento de datos “o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado”.
A todo esto el actual Reglamento de desarrollo de la LOPD, incluía en en el art. 10.2.b) una transcripción casi idéntica del articulo 6.2 de la LOPD, que fue derogado por la STS de 8 de febrero de 2012, a pesar de lo cual el poco interés que ha tenido el interés legítimo hasta la fecha, queda de manifiesto en los escasos informes que la AEPD ha emitido sobre el tema.
El Reglamento europeo, de aplicación directa a España y vigente a partir del 28 de mayo del 2018, no realiza tal limitación y simplemente establece que: « El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones (…) f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.» Esto debería hacer abrir definitivamente la lata del interés legítimo en España y que las empresas estudien seriamente si ésta, puede ser la base para el tratamiento de los datos de clientes, trabajadores o potenciales clientes.