En el presente artículo, se tratará un asunto relativo a la legitimación para el tratamiento de datos personales por parte del responsable del tratamiento de datos, bajo los presupuestos de licitud y lealtad. Estas características para una correcta legitimación han sido tratadas por la Unión Europea, pasando por Decisiones del Grupo de Trabajo sobre Protección de Datos de la Directiva 95/46/CE relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante la “Directiva”), hasta el ahora Reglamento General de Protección de Datos (en adelante “RGPD”), las cuales abordaremos en este trabajo.

Como se conoce, al amparo de lo que manda la Ley Orgánica de Protección de Datos Personales (en adelante “LOPD”), uno de los elementos vitales para un correcto tratamiento de datos es la obtención de un consentimiento expreso que debe ser libre, específico, informado e inequívoco; no obstante, existe otros presupuestos que servirán para legitimar el tratamiento de datos. Según fue analizado en su momento por el Grupo de Trabajo de la Directiva y que se recogió en el RGPD, el tratamiento de datos será leal y lícito, siempre que sea basado en el consentimiento inequívoco del interesado –al igual que lo que señala la LOPD–; no obstante, también será legítimo cuando: i) el tratamiento es necesario para la ejecución de un contrato con el interesado; ii) el tratamiento se da para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento; iii) por la protección del interés vital del interesado; iv) el cumplimiento de una misión de interés público; o, v) cuando el tratamiento es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento, sujeto a un examen de ponderación adicional en relación con los intereses y los derechos del interesado.

Este último inciso, da una pauta importante, pues permite el tratamiento –como algo necesario– para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero al que se comuniquen los datos, siempre que no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran protección. En otras palabras, se permite el tratamiento de datos, siempre que se haga una ponderación entre el interés legítimo del responsable del tratamiento o del tercero al que se comuniquen los datos, en relación con los intereses o los derechos fundamentales de los interesados.

Los estudios realizados en torno a la Directiva, así como la cooperación y el intercambio de puntos de vista entre las autoridades nacionales de protección de datos, han concluido una clara falta de interpretación acordada sobre esta excepción y ponderación, que ha llevado a aplicaciones diferentes en varios países de la Unión Europea, sobre todo en lo que respecta a esta ponderación o “prueba de sopesamiento”, lo que ha llevado a que esta excepción sea una forma de legitimar cualquier tratamiento de datos que no se justifique con ninguno de los requisitos establecidos directamente en las normas, como el caso de la entrega del consentimiento expreso que tratamos en la LOPD.

Al no contar con criterios armonizados y aplicables de manera uniforme, puede llevar a una falta de seguridad jurídica, que sin duda causaría una debilidad la posición de los titulares de datos personales e incluso a los responsables, lo cual irá de la mano con la necesidad de normativa aclaratoria que podría causar mayor confusión y una sobrecarga normativa. Esta sobrerregulación incluso afectaría a empresas y organizaciones con operaciones transfronterizas, algo que ya ha presentado problemas en la Unión Europea, como es el caso la sentencia de ASNEF y FECEMD que se resolvió ante el Tribunal de Justicia de la Unión Europea.

Por tanto, para evitar interpretaciones normativas a gusto, es necesario aclarar de qué se trata este interés legítimo particular y sujeto a una ponderación, sobre todo al estar en juego intereses de titulares de datos y responsables y así evitar que determinadas excepciones se conviertan en un camino fácil para eludir el cumplimiento de la legislación sobre la protección de datos.

Es así como, resulta fundamental que la ponderación que se haga sobre este interés legítimo de tratamiento no pase por encima de los derechos de los titulares, hecho que ha sido claramente recogido en el RGPD y en donde se ha concluido la imposibilidad de aclamar un interés legítimo que vaya en contra de las libertades de los titulares. A saber:

El interés legítimo de un responsable del tratamiento, incluso el de un responsable al que se puedan comunicar datos personales, o de un tercero, puede constituir una base jurídica para el tratamiento, siempre que no prevalezcan los intereses o los derechos y libertades del interesado, teniendo en cuenta las expectativas razonables de los interesados basadas en su relación con el responsable.[1]

Así, cualquier tipo de excepción a la obtención de un consentimiento expreso para tratamiento, solo podría ser aplicable cuando el interés legítimo del responsable del tratamiento no perjudique o prevalezcan los intereses y derechos del titular. Tal interés legítimo podría darse, por ejemplo, cuando existe una relación previa, oportuna y propia entre el titular y el responsable, como en situaciones en las que el titular es cliente o está al servicio del responsable. En cualquier caso, la existencia de un interés legítimo requeriría una evaluación meticulosa y no una mera ponderación, inclusive si un titular puede predecir de forma razonable, en el momento y en el contexto de la recogida de datos personales, que pueda producirse el tratamiento con tal fin por parte del responsable.

En particular, los intereses y los derechos fundamentales del titular deben prevalecer sobre los intereses del responsable del tratamiento cuando se proceda al tratamiento de los datos personales en circunstancias en las que el interesado no espere razonablemente que se realice un tratamiento ulterior. Este hecho debe ser tomado en cuenta por los responsables y posteriormente por las Autoridades que apliquen la LOPD, pues una excepción o fin no justifica los medios y tendrán que respetarse los derechos de los titulares para que el tratamiento sea legítimo.

Mario Ruiz

[1] Inciso 47 Reglamento General de Protección de Datos