datos categoría especial interes legítimo

¡¡SÍ SE PUEDE!! Datos de Categoría Especial tratados sobre Interés Legítimo

Sí se puede (I): Interés legítimo y datos de categoría especial

 

Voy a dedicar al interés legítimo unos cuantos posts cortos pero –espero que- incendiarios.

La rana y el príncipe.

El interés legítimo siempre ha sido el patito feo, el renacuajo de las bases de legitimación: menospreciado, incomprendido, mal regulado, temido e ignorado.

Como dice mi amigo Borja Adsuara, en este país de picaresca, una base de legitimación que te cocinas tú solo en casa, tiene mucho peligro.

Y por eso todo el mundo prefiere navegar en las tranquilas aguas del consentimiento.

Lo malo es que a veces no se puede. Y otras, le complicas extraordinariamente la vida al cliente. Y todo por sentirte tú más cómodo.

datos categoría especial interes legítimo

Ah! Interés legítimo, yo confío en ti. Para mí no eres una ranita, eres un príncipe y yo soy tu cerdita Peggy!

Contigo resuelvo situaciones y tratamientos de datos personales que, en la época anterior al bendito Reglamento General de Protección de Datos, se solucionaban mediante enrevesadas y artificiosas soluciones…

Y todo por puro desconocimiento.

Y por miedo.

Porque claro, lo desconocido da miedito.

datos categoría especial interes legítimo

¿¿No se pueden tratar datos de categoría especial con base en interés legítimo??

Pero vamos al grano.

Existe una opinión instalada en la mayoría de los que nos dedicamos a la protección de datos: no se pueden tratar datos de categoría especial con base en el interés legítimo.

¿Por qué?

Pues está bien claro: el artículo nueve del reglamento prevé las circunstancias que permiten tratar datos de categoría especial, y en el listado no está el interés legítimo.

Que encima, ya tú sabes que lo del interés legítimo es una cosa para golfos y gente de mal vivir que no pueden o no quieren pedir el consentimiento a la gente.

“Así que no, no se puede.”

Bueno, en mi humilde opinión, sería muy sorprendente que no se pudiera: desde cualquier punto de vista el interés legítimo es la base de legitimación del tratamiento de datos que más accountability exige al responsable del tratamiento:

.- Tienes que proceder a realizar un juicio de ponderación

.- Tienes que tener en cuenta todas las circunstancias concurrentes (y riesgos inherentes a las mismas), valorando tanto las que favorecen a tu interés legítimo, como las que cuentan a favor de los derechos e intereses de los titulares de los datos objeto de tratamiento, porque lo haces sin su consentimiento.

Sin su consentimiento, mas no sin su conocimiento ni control. Porque, veamos, estás obligado a

.- Informar de que efectivamente tratas sus datos,

.- De que te amparas en tu interés legítimo,

.- De cuál es ese interés legítimo,

.- De por qué entiendes que sobre este interés legítimo no prevalecen sus derechos e intereses, y

.- De qué medidas has tomado para mitigar los riesgos que has previsto que se puedan producir para los derechos de sus titulares, y por tanto para apuntalar el resultado positivo de tu juicio de ponderación.

Cuando publicas o notificas todo eso, te sacas una foto, y si luego lo que haces es distinto de lo que dices, cualquiera de los interesados puede meterte p´alante. Y con razón.

En mi humilde opinion, el interés legítimo encarna la manifestación más pura de la accountability.

¿¿Entonces quién dice que se pueden tratar datos de categoría especial con base en el interés legítimo??

Veo (y comprendo) que no se conformen con una opinión de la primera calva sebosa que les sale al paso esta semana. Yo tampoco me conformaría.

Pero, ¡Un momento! Es que… no lo digo yo.

Bueno, sí que lo digo. Lo que quiero decir es que no lo digo yo solito.

Cuando digo lo que digo, lo hago subido a hombros de gigantes. Veamos:

1.- Grupo de Trabajo del art 29 -de ayer- o Comité Europeo de Protección de Datos -de hoy-.

1.a.- Dictamen sobre el concepto del interés legítimo. (WP217)

Por un lado están los amigos del grupo de trabajo del artículo 29, que ya lo decían clarinete en su informe (WP217) sobre el interés legítimo del año 2014.

Del año 2014. Descargue aquí el potito informe con un par de cositas subrayadas.

Hace un mes le espeté este informe a la señora Mar España y me respondió que es que ese informe es previo al RGPD. Pero ya llegaremos a eso.

En sus páginas 17 a 19 se argumenta y explica que:

Los arts 7 y 8 de la Directiva (lo que vienen a ser los arts 6 y 9 del vigente Reglamento General de Protección de Datos) no se aplican de forma excluyente entre sí.

Es decir: si en medio de un tratamiento de datos (legitimado -por narices- con una base de las del art 6) te salta por ahí un dato “especial” tienes que legitimarlo con una circunstancia del art. 8 (de la antigua directiva del 95) o 9 (del actual Reglamento General de Protección de Datos).

Lo anterior no puede interpretarse en el sentido de que, por el hecho de aplicar una circunstancia del art 9 del Reglamento General de Protección de Datos –a datos especiales- puedas prescindir de justificar el tratamiento íntegro sobre una de las bases generales del art. 6, con los requisitos correspondientes. Porque de hacerlo así podría darse la paradoja de que los datos de los interesados acabaran siendo menos protegidos por el hecho de que concurrieran datos “especiales”.

datos categoría especial interes legítimo

Así que dos conclusiones:

.- Las bases del art 6 y las circunstancias del art. 9 se aplican conjuntamente, cada una en su propio ámbito.

.- El hecho de que sea aplicable una circunstancia del art. 9 como por ejemplo “datos que se han hecho manifiestamente públicos” no exonera al responsable, por la misma razón, de asegurarse de que tienen una base de tratamiento general de las del art 6 (la que sea: contrato, obligación legal, interés legítimo) y de que la aplica de forma rigurosa, es decir cumpliendo los requisitos correspondientes a cada una.

Así que sí, sí se puede.

1.b.- Wp249 tratamiento de datos de trabajadores en el entorno laboral.

Además, el informe relacionado con los tratamientos de datos personales de los trabajadores, hace referencias constantes a los tratamientos basados en interés legítimo, en muchos casos con datos de categoría especial implicados en dichos tratamientos.

Es cierto que no se hace la afirmación de forma explícita (sí en alguna nota a pie de página), pero lo cierto es que el documento en sí no tiene demasiado sentido, si los tratamientos que se comentan sólo fueron posibles con base en el consentimiento (cuando se reitera constantemente lo contrario).

2.- La ICO

Ya luego están mis queridos amigos de la ICO, la AEPD británica.

Esto sí que lo dicen con toda rotundidad. Estarán conmigo en que no hay nada más que comentar o añadir.

datos categoría especial interes legítimo

In claris non fit interpretatio, así que, ahí lo dejo.

3.- El CNIL

Como no sé francés, no puedo darles la cita concreta del CNIL, la AEPD francesa. Pero sé que vosotros me vais a ayudar en esto.

Pero estos ojitos que se van a comer los gusanos vieron como Cecilia Álvarez, la Iron Maiden de la protección de datos española, le comentaba a Mar España, la Galadriel del Concilio de Elrond de APEP en Junio, que los representantes del CNIL habían manifestado la misma “sorprendente” idea que da título a este post: que para legitimar el tratamiento de datos “especiales”, bastaba contar con una de las bases de legitimación del artículo seis para el tratamiento general, y añadir una de las circunstancias del artículo nueve, para justificar específicamente el tratamiento de los “especiales”.

Galadriel salió del paso como pudo, y pidió el comodín de la llamada (dijo que tenía que preguntar a sus elfos guerreros Rubí y Puente). Un murmullo de estupefacción recorrió el salón de actos. Alguno tomamos la palabra para decir que esa idea era moneda de uso común en Europa (no sólo CNIL, también ICO y GT29) pero nadie se atrevió a corroborar o desmentir.

Y también por eso este post.

Porque sí, amiguitos: sí se puede.

Buena semana.

Jorge García Herrero

Abogado y Delegado de Protección de Datos