Iñigo de Miguel Beriain (UPV/EHU)

Agradecimientos: El autor agradece los consejos, las aportaciones y los comentarios sobre los borradores de Bud Bruegger y Harald Zwingelberg.

Esta parte de las Directrices ha sido revisada y validada por Marko Sijan, Asesor Superior Especialista, (HR DPA)

El interés legítimo es una de las seis bases jurídicas para el tratamiento de datos personales establecidas en el artículo 6, apartado 1, del RGPD (véase la subsección “Legalidad, equidad y transparencia” en los “Principios” de la Parte II de estas Directrices). Esta base jurídica requiere que los intereses legítimos del responsable del tratamiento o de los terceros a los que se comunican los datos prevalezcan sobre los intereses, los derechos fundamentales y las libertades de los interesados (artículo 6, apartado 1, letra f). Para comprobar que esto es así, los responsables del tratamiento pueden hacer uso de una herramienta denominada prueba de equilibrio, recomendada, por ejemplo, por el Grupo de Trabajo del Artículo 29^[1]. Esta herramienta tiene por objeto garantizar que los intereses legítimos del responsable del tratamiento o de los terceros a los que se comunican los datos prevalecen sobre los intereses y los derechos y libertades fundamentales de los interesados.

¿Cuándo no prevalecen los derechos y libertades fundamentales de la persona afectada por la protección de datos?

Llevar a cabo una prueba de equilibrio implica considerar varios factores clave que son decisivos para determinar qué intereses, libertades o derechos prevalecen, a saber: ^[2]

• La naturaleza y el origen del interés legítimo: si el tratamiento de datos es necesario para el ejercicio de un derecho fundamental, si es de interés público o si goza de reconocimiento en la comunidad en cuestión. Es obligatorio evaluar el posible perjuicio sufrido por el responsable del tratamiento, por terceros o por la comunidad en general si el tratamiento de datos no se lleva a cabo.
• El poder y el estatus de las dos partes (responsable del tratamiento o tercero y sujeto de los datos). Por ejemplo, un empresario que pretende tratar los datos de un empleado está en una posición más fuerte que el empleado. Si el interesado es un menor de edad, sus intereses, derechos o libertades deben ser ponderados.
• La naturaleza de los datos. Aunque el tratamiento de cualquier dato personal debe ponderarse adecuadamente, el tratamiento de categorías especiales de datos personales, como el origen racial, las creencias religiosas, los datos genéricos o los datos relativos a la salud, debe tener mayor peso.
• El impacto del tratamiento en los interesados. Para ello, los responsables del tratamiento deben considerar si el tratamiento puede suponer un alto riesgo para los derechos y libertades de las personas. Si este es el caso, deben realizar una EIPD.
• Las expectativas razonables de los interesados sobre lo que ocurrirá con sus datos. Los responsables del tratamiento deben ser capaces de demostrar que un interesado esperaría el tratamiento a la luz de las circunstancias particulares aplicables. Si la finalidad y el método de tratamiento no son inmediatamente obvios y existe la posibilidad de que haya una serie de opiniones razonables sobre si la gente lo esperaría, los responsables del tratamiento podrían llevar a cabo algún tipo de consulta, grupo de discusión o estudio de mercado con las personas para demostrar las expectativas y apoyar su posición. Si existen estudios previos sobre las expectativas razonables en un contexto concreto, los responsables del tratamiento pueden basarse en ellos para determinar lo que los individuos pueden o no esperar.^[3]
• La forma en que se procesan los datos (a gran escala, extracción de datos, elaboración de perfiles, divulgación a un gran número de personas o publicación);
• Las salvaguardias adicionales que podrían limitar el impacto indebido sobre el interesado, como la minimización de los datos (por ejemplo medidas técnicas y organizativas que garanticen que los datos no puedan utilizarse para tomar decisiones u otras acciones con respecto a las personas (“separación funcional”) – amplio uso de técnicas de anonimización, agregación de datos, tecnologías que mejoren la privacidad, privacidad por diseño, evaluaciones de impacto sobre la privacidad y la protección de datos; – mayor transparencia, derecho general e incondicional a oponerse (opt-out), portabilidad de datos y medidas relacionadas para capacitar a los interesados, etc.

La cuestión de la salvaguardia adicional

El Grupo de Trabajo del Artículo 29 considera que las medidas de mitigación y las salvaguardias, como las medidas organizativas o técnicas adoptadas por el responsable del tratamiento para la protección de los datos del interesado, deben incluirse en la prueba de equilibrio. Sin embargo, existe un enfoque alternativo, que considera que el artículo 6.1.f) pide una prueba de equilibrio entre dos valores, los intereses legítimos del responsable del tratamiento (o de un tercero) y los intereses, derechos y libertades del interesado. Las medidas paliativas y las salvaguardias no se ajustan a ninguno de estos valores. Por lo tanto, no deben considerarse. De lo contrario, tendrían un peso excesivo para los responsables del tratamiento, ya que restarían importancia al posible daño que se causaría a los intereses, derechos y libertades del interesado. Kamara y De Hert han hecho algunas declaraciones convincentes sobre esta cuestión concreta, al afirmar que^[4]

“la inclusión de medidas de mitigación en la evaluación llevaría a una representación del impacto real previsto del tratamiento para los derechos de los interesados, y seguiría permitiendo que prevalecieran los intereses legítimos. Este enfoque no “castiga” al responsable del tratamiento que adopta medidas de mitigación y salvaguardias, al no incluirlas en la prueba de sopesamiento. Por el contrario, anima al responsable del tratamiento a hacerlo. Por otra parte, hay que tener en cuenta que el peso de las futuras salvaguardias y medidas de mitigación es siempre relevante para su realización y eficacia. Por lo tanto, dichas medidas deben tenerse en cuenta, pero no deben desempeñar un papel

Más información

1. A29WP, Dictamen 06/2014 sobre el concepto de intereses legítimos del responsable del tratamiento en virtud del artículo 7 de la Directiva 95/46/CE. Abril de 2014, p. 24. En: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf. Consultado el 05 de enero de 2020 ↑
2. A29WP, Dictamen 06/2014 sobre el concepto de intereses legítimos del responsable del tratamiento en virtud del artículo 7 de la Directiva 95/46/CE. Abril de 2014, p. 24. En: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf. Consultado el 5 de enero de 2020. ↑
3. ICO, ¿Cómo aplicamos los intereses legítimos en la práctica? En: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/legitimate-interests/how-do-we-apply-legitimate-interests-in-practice/ Consultado: 15 de enero de 2020 ↑
4. Kamara, Irene y De Hert, Paul, “Understanding the balancing act behind the legitimate interest of the controller ground: a pragmatic approach, Brussels Privacy Hub, Working paper, vol. 4, nº 12, 2018, p.17. En: https://brusselsprivacyhub.eu/BPH-Working-Paper-VOL4-N12.pdf Consultado: 17 de enero de 2020 ↑