¡¡SÍ SE PUEDE!! Datos de Categoría Especial tratados sobre Interés Legítimo
Indice
- Sí se puede (I): Interés legítimo y datos de categoría especial
- La rana y el príncipe.
- ¿¿No se pueden tratar datos de categoría especial con base en interés legítimo??
- ¿Por qué?
- ¿¿Entonces quién dice que se pueden tratar datos de categoría especial con base en el interés legítimo??
- 1.- Grupo de Trabajo del art 29 -de ayer- o Comité Europeo de Protección de Datos -de hoy-.
- 1.a.- Dictamen sobre el concepto del interés legítimo. (WP217)
- 1.b.- Wp249 tratamiento de datos de trabajadores en el entorno laboral.
Sí se puede (I): Interés legítimo y datos de categoría especial
Voy a dedicar al interés legítimo unos cuantos posts cortos pero –espero que- incendiarios.
La rana y el príncipe.
El interés legítimo siempre ha sido el patito feo, el renacuajo de las bases de legitimación: menospreciado, incomprendido, mal regulado, temido e ignorado.
Como dice mi amigo Borja Adsuara, en este país de picaresca, una base de legitimación que te cocinas tú solo en casa, tiene mucho peligro.
Y por eso todo el mundo prefiere navegar en las tranquilas aguas del consentimiento.
Lo malo es que a veces no se puede. Y otras, le complicas extraordinariamente la vida al cliente. Y todo por sentirte tú más cómodo.
Ah! Interés legítimo, yo confío en ti. Para mí no eres una ranita, eres un príncipe y yo soy tu cerdita Peggy!
Contigo resuelvo situaciones y tratamientos de datos personales que, en la época anterior al bendito Reglamento General de Protección de Datos, se solucionaban mediante enrevesadas y artificiosas soluciones…
Y todo por puro desconocimiento.
Y por miedo.
Porque claro, lo desconocido da miedito.
¿¿No se pueden tratar datos de categoría especial con base en interés legítimo??
Pero vamos al grano.
Existe una opinión instalada en la mayoría de los que nos dedicamos a la protección de datos: no se pueden tratar datos de categoría especial con base en el interés legítimo.
¿Por qué?
Pues está bien claro: el artículo nueve del reglamento prevé las circunstancias que permiten tratar datos de categoría especial, y en el listado no está el interés legítimo.
Que encima, ya tú sabes que lo del interés legítimo es una cosa para golfos y gente de mal vivir que no pueden o no quieren pedir el consentimiento a la gente.
“Así que no, no se puede.”
Bueno, en mi humilde opinión, sería muy sorprendente que no se pudiera: desde cualquier punto de vista el interés legítimo es la base de legitimación del tratamiento de datos que más accountability exige al responsable del tratamiento:
.- Tienes que proceder a realizar un juicio de ponderación
.- Tienes que tener en cuenta todas las circunstancias concurrentes (y riesgos inherentes a las mismas), valorando tanto las que favorecen a tu interés legítimo, como las que cuentan a favor de los derechos e intereses de los titulares de los datos objeto de tratamiento, porque lo haces sin su consentimiento.
Sin su consentimiento, mas no sin su conocimiento ni control. Porque, veamos, estás obligado a
.- Informar de que efectivamente tratas sus datos,
.- De que te amparas en tu interés legítimo,
.- De cuál es ese interés legítimo,
.- De por qué entiendes que sobre este interés legítimo no prevalecen sus derechos e intereses, y
.- De qué medidas has tomado para mitigar los riesgos que has previsto que se puedan producir para los derechos de sus titulares, y por tanto para apuntalar el resultado positivo de tu juicio de ponderación.
Cuando publicas o notificas todo eso, te sacas una foto, y si luego lo que haces es distinto de lo que dices, cualquiera de los interesados puede meterte p´alante. Y con razón.
En mi humilde opinion, el interés legítimo encarna la manifestación más pura de la accountability.
¿¿Entonces quién dice que se pueden tratar datos de categoría especial con base en el interés legítimo??
Veo (y comprendo) que no se conformen con una opinión de la primera calva sebosa que les sale al paso esta semana. Yo tampoco me conformaría.
Pero, ¡Un momento! Es que… no lo digo yo.
Bueno, sí que lo digo. Lo que quiero decir es que no lo digo yo solito.
Cuando digo lo que digo, lo hago subido a hombros de gigantes. Veamos:
1.- Grupo de Trabajo del art 29 -de ayer- o Comité Europeo de Protección de Datos -de hoy-.
1.a.- Dictamen sobre el concepto del interés legítimo. (WP217)
Por un lado están los amigos del grupo de trabajo del artículo 29, que ya lo decían clarinete en su informe (WP217) sobre el interés legítimo del año 2014.
Del año 2014. Descargue aquí el potito informe con un par de cositas subrayadas.
En sus páginas 17 a 19 se argumenta y explica que:
Los arts 7 y 8 de la Directiva (lo que vienen a ser los arts 6 y 9 del vigente Reglamento General de Protección de Datos) no se aplican de forma excluyente entre sí.
Es decir: si en medio de un tratamiento de datos (legitimado -por narices- con una base de las del art 6) te salta por ahí un dato “especial” tienes que legitimarlo con una circunstancia del art. 8 (de la antigua directiva del 95) o 9 (del actual Reglamento General de Protección de Datos).
Lo anterior no puede interpretarse en el sentido de que, por el hecho de aplicar una circunstancia del art 9 del Reglamento General de Protección de Datos –a datos especiales- puedas prescindir de justificar el tratamiento íntegro sobre una de las bases generales del art. 6, con los requisitos correspondientes. Porque de hacerlo así podría darse la paradoja de que los datos de los interesados acabaran siendo menos protegidos por el hecho de que concurrieran datos “especiales”.
Así queee:
.- Las bases del art 6 y las circunstancias del art. 9 se aplican conjuntamente, cada una en su propio ámbito.
.- El hecho de que sea aplicable una circunstancia del art. 9 como por ejemplo “datos que se han hecho manifiestamente públicos” no exonera al responsable, por la misma razón, de asegurarse de que tienen una base de tratamiento general de las del art 6 (la que sea: contrato, obligación legal, interés legítimo) y de que la aplica de forma rigurosa, es decir cumpliendo los requisitos correspondientes a cada una.
1.b.- Wp249 tratamiento de datos de trabajadores en el entorno laboral.
Además, el informe relacionado con los tratamientos de datos personales de los trabajadores, hace referencias constantes a los tratamientos basados en interés legítimo, en muchos casos con datos de categoría especial implicados en dichos tratamientos.
Es cierto que no se hace la afirmación de forma explícita (sí en alguna nota a pie de página), pero lo cierto es que el documento en sí no tiene demasiado sentido, si los tratamientos que se comentan sólo fueron posibles con base en el consentimiento (cuando se reitera constantemente lo contrario).
1.c.- Wp251 profiling y decisiones completamente automatizadas
Edito hoy 4 de noviembre de 2018, para incluir esta cristalina captura de las guidelines sobre profiling y decisiones completamente automatizadas (wp251). La tenía subrayada, y por alguna razón, no la incluí aquí…
Siempre digo que las guidelines del GT29 son como el Señor de los Anillos: cada vez que las lees, sacas petróleo.
Este pasaje dice, literalmente, (desde septiembre de 2017) lo que se decía indirectamente en los documentos anteriores.
Vamos, que tampoco hacía falta, pero, por si había alguna duda…
Dos conclusiones quedan completamente aclaradas por este pasaje:
1.- Que sí se puede, pero claro que se puede.
2.- Que siempre, pero siempre, hay que basar el tratamiento en una base del artículo 6. Y esto debería tenerlo claro todo el mundo:
Si no, se puede dar la paradoja de que los datos de categoría especial queden menos protegidos que los normales.
Por poner un ejemplo muy tonto, «la famosa excepción» de datos que se hayan hecho «manifiestamente públicos» no permite su tratamiento para cualquier fin (ejemplo datos personales «hechos públicos en internet o redes sociales») sino sólo con una base del 6 (consentimiento, interés legítimo, etc…) y cumpliendo los principios del art 5 y 6. Y todo lo demás, claro. Más sobre esto por aquí.
2.- La ICO
Ya luego están mis queridos amigos de la ICO, la AEPD británica.
Esto sí que lo dicen con toda rotundidad. Estarán conmigo en que no hay nada más que comentar o añadir.
In claris non fit interpretatio, así que, ahí lo dejo.
3.- El CNIL
Como no sé francés, no puedo darles la cita concreta del CNIL, la AEPD francesa. Pero sé que vosotros me vais a ayudar en esto.
Tema cerrado.
Porque sí, amiguitos: sí se puede.
Buena semana.
Jorge García Herrero
Abogado y Delegado de Protección de Datos