21
Jul
2017
0
interés legítimo

Interés Legítimo en el RGPD (I): Cómo Tratar Datos sin Consentimiento

Tweet about this on TwitterShare on LinkedInShare on FacebookBuffer this pagePrint this pageShare on Google+Share on RedditEmail this to someone

Interés Legítimo en el RGPD

¿Es posible tratar datos personales sin el consentimiento de su titular?

Por supuesto.

El tratamiento de datos personales suele basarse en el consentimiento de su titular.

Es decir, el consentimiento es la base que, en la mayor parte de los casos, legitima el tratamiento de datos personales.

Pero hay otras bases que permiten tratar datos aparte del consentimiento:

  • Ese mismo consentimiento, plasmado en un contrato,
  • Una disposición legal (como bien sabe nuestro amigo Montoro),
  • El interés público (para las Fuerzas y Cuerpos de seguridad, por ejemplo),
  • La protección de un interés vital del titular (acceso a tu historial clínico en caso de urgencia médica) y
  • El interés legítimo perseguido por el responsable del tratamiento, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos del interesado.

Esta última es, quizá, la base más interesante y polémica de todas, y que trataremos en los próximos posts.

El interés legítimo está muy muy de moda

El interés legítimo es ahora particularmente importante para las empresas que ven cómo las bases de datos con las que trabajan, tienen fecha de caducidad en muchos casos (mayo de 2018).

El tratamiento de esas bases de datos se basa en los consentimientos prestados por sus titulares en el pasado.

Esos consentimientos, que eran correctos cuando se obtuvieron, tienen que cumplir los nuevos requisitos impuestos por el Reglamento General de Protección de Datos, para seguir siendo correctos.

Como se ha dicho ya, el nuevo RGPD exige que el consentimiento debe ser inequívoco, específico o separado y, en los casos más relevantes, explícito.

Los consentimientos de ayer que no cumplan los requisitos de hoy, no valdrán mañana.

Para indicaciones claras y concretas sobre los requisitos que debe cumplir en cada caso el consentimiento bajo la nueva regulación, te recomiendo este post.

Se trata de una situación delicada y polémica, especialmente para empresas con pocos recursos.

El período transitorio de dos años previo a la aplicación del Reglamento, se considera suficiente por Bruselas para que las organizaciones “refresquen” o renueven sus consentimientos, o busquen nuevas bases legitimadoras de sus tratamientos.

Como el interés legítimo.

Pero ¡ojo! Éste no vale para en todos los casos ni para todo el mundo, como veremos.

“Los consentimientos de ayer que no cumplan los requisitos de hoy, no valdrán mañana”

Una solución quiero

Las empresas afrontan la disyuntiva de

  1. acogerse a otra de las bases legitimadoras expuestas, o bien
  2. repetir de nuevo todo el proceso de consecución de consentimientos. Lo que viene siendo volver a empezar.

Y este segundo camino tiene inconvenientes y curvas:

  • Inconvenientes: principalmente que el afectado, cada día más informado, sea más selectivo hoy que ayer a la hora de prestar su consentimiento… y no lo preste.
  • Curvas: que el procedimiento de captación también tiene que ser conforme a la nueva regulación…

El interés legítimo siempre estuvo ahí

El interés legítimo como base de tratamiento no es algo nuevo. Ni extraordinario.

Está regulado en el nuevo Reglamento Europeo, claro.

Pero ya estaba presente en la Directiva 95/46, y por supuesto en la normativa nacional -en la LOPD y en el real decreto de desarrollo– aunque el legislador español se pasó de prudente al trasponer la Directiva a derecho interno, y se la anularon parcialmente.

Porque reconozcámoslo: que alguien pueda tratar tus datos sin tu consentimiento, porque tenga un interés legítimo en hacerlo, es una cosa que así, sin más, da bastante miedo

Pero no tiene por qué, necesariamente. En realidad tenemos ejemplos delante de nuestras narices: 

Ejemplo: la facultad de control del empresario

No es el consentimiento del trabajador (plasmado en su contrato de trabajo, o captado aparte) el que legitima la supervisión o control por la empresa del uso realizado por sus trabajadores del móvil, ordenadores o vehículos de empresa.

Este control se basa más bien en la facultad de control empresarial prevista en la ley, en el Estatuto de los Trabajadores, y en los intereses de la empresa que exceden lo que un contrato de trabajo por sí solo puede autorizar.

Hay que recordar aquí, como hace regularmente Iurisfriki, que el consentimiento del trabajador (conseguido, durante la vigencia de la relación laboral) es problemático: su validez está bajo especial sospecha, dada la débil posición de negociación frente a su jefe.

Hemos instalado una nueva política de control de dispositivos electrónicos, firma aquí en conformidad. Chaval. He dicho que firmes.

videovigilancia

videovigilancia

Otro ejemplo: Videovigilancia

En una variación de lo anterior: los obvios intereses de la empresa en protegerse frente al fraude, o a acciones ilícitas, explican que la última jurisprudencia (y con ella el borrador de nueva LOPD) permita la videovigilancia de los trabajadores aun sin su consentimiento o información específica (por el evidente interés legítimo de la empresa en la protección de sus activos).

Dicho esto, el interés legítimo siempre supone una habilitación relativa, sujeta a condiciones, dependiendo de las circunstancias concurrentes, que deben ser ponderadas caso por caso.

En este juicio de ponderación residen la grandezas y las miserias de la figura.

interés legítimo

Tercer ejemplo: el abogado

Otro supuesto es la cesión de datos que se produce cuando una parte incumple un contrato.

La parte perjudicada puede ceder los datos del incumplidor a terceros (abogados, empresas de recobro) porque tiene un interés legítimo en que el que ha incumplido, cumpla. Por las buenas o por las malas.

El consentimiento plasmado en el contrato no suele comprender esa cesión de datos a un abogado para que te meta p´alante si incumples.

El interés legítimo en el borrador de Anteproyecto de la nueva LOPD

El borrador de Anteproyecto de la nueva LOPD regula (y califica como tales) determinados supuestos específicos de interés legítimo en sus artículos 12 a 18:

Artículo 12. Tratamiento de datos de contacto y de empresarios individuales

Artículo 13. Tratamiento de datos hechos manifiestamente públicos por el afectado

Artículo 14. Sistemas de información crediticia.

Artículo 15. Tratamientos con fines de videovigilancia.

Artículo 16. Sistemas de exclusión publicitaria

Artículo 17. Sistemas de información de denuncias internas en el sector privado.

Artículo 18. Tratamientos relacionados con operaciones de reestructuración societaria o transmisiones de negocio.

Conclusión, por el momento:

El tratamiento de datos basado en interés legítimo (no en consentimiento) no es algo raro en la práctica.

La próxima semana hablaremos del “juicio de ponderación“, de la valoración del interés del responsable versus los derechos de los titulares de datos.

Buena semana a todos.

Jorge García Herrero. Abogado.

jorge.garcia.herrero.com

 

Tweet about this on TwitterShare on LinkedInShare on FacebookBuffer this pagePrint this pageShare on Google+Share on RedditEmail this to someone

You may also like

Brecha de seguridad
¿Qué es una Brecha de Seguridad? 7 ejemplos.
Cavoukian
“Cavoukian, contigo empezó todo”
Data Breach
EQUIFAX: 3 Lecciones del Mayor “data breach” de la Historia

Leave a Reply