interés legítimo

Interés Legítimo en el RGPD (I): Cómo Tratar Datos sin Consentimiento

 

Esta es la primera entrada de una serie de posts sobre mi tema favorito: el Interés Legítimo que sigue en la segunda parte de este post, la tercera parte, el tutorial de uso del Interés legítimo en la LOPD los renglones torcidos de la LOPD y el Laboratorio del interés legítimo, un «work in progress» que sigue y sigue. Y sigue y sigue.

 

¿Es posible tratar datos personales sin el consentimiento de su titular?

Por supuesto.

El tratamiento de datos personales suele basarse en el consentimiento de su titular.

Es decir, el consentimiento es la base que, en la mayor parte de los casos, legitima el tratamiento de datos personales.

Pero hay otras bases que permiten tratar datos aparte del consentimiento:

  • Ese mismo consentimiento, plasmado en un contrato,
  • Una disposición legal (como bien sabe nuestro amigo Montoro),
  • El interés público (para las Fuerzas y Cuerpos de seguridad, por ejemplo),
  • La protección de un interés vital del titular (acceso a tu historial clínico en caso de urgencia médica) y
  • El interés legítimo perseguido por el responsable del tratamiento, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos del interesado.

Esta última es, quizá, la base más interesante y polémica de todas, y que trataremos en los próximos posts.

 

El interés legítimo está muy muy de moda

El interés legítimo es ahora particularmente importante para las empresas que tienen la conciencia de estar haciendo lo que han hecho siempre, porque podían hacerlo, pero ahora se ven en la necesidad de justificar y documentar las razones que efectivamente legitiman su tratamiento de datos personales, cuando no los han captado directamente del interesado o no cuentan con su consentimiento, por ejemplo.

Es el caso de las organizaciones que no tuvieron qur «reciclar» sus bases de datos con la aplicación del RGPD en mayo de 2018, porque el tratamiento de esas bases de datos se basaba en los consentimientos prestados por sus titulares en el pasado.

Esos consentimientos, que eran correctos cuando se obtuvieron, tenían que cumplir los nuevos requisitos impuestos por el Reglamento General de Protección de Datos, para seguir siendo correctos.

Como se ha dicho ya, el nuevo RGPD exige que el consentimiento debe ser inequívoco, específico o separado y, en los casos más relevantes, explícito.

Los consentimientos de ayer que no cumplan los requisitos de hoy, no valdrán mañana.

Para indicaciones claras y concretas sobre los requisitos que debe cumplir en cada caso el consentimiento bajo la nueva regulación, te recomiendo este post.

Se trata de una situación delicada y polémica, especialmente para empresas con pocos recursos.

El período transitorio de dos años previo a la aplicación del Reglamento, se considera suficiente por Bruselas para que las organizaciones “refresquen” o renueven sus consentimientos, o busquen nuevas bases legitimadoras de sus tratamientos.

Como el interés legítimo.

Pero ¡ojo! Éste no vale para en todos los casos ni para todo el mundo, como veremos.

 

Una solución quiero

Las empresas afrontan la disyuntiva de

  1. acogerse a otra de las bases legitimadoras expuestas, o bien
  2. repetir de nuevo todo el proceso de consecución de consentimientos. Lo que viene siendo volver a empezar.

Y este segundo camino tiene inconvenientes y curvas:

  • Inconvenientes: principalmente que el afectado, cada día más informado, sea más selectivo hoy que ayer a la hora de prestar su consentimiento… y no lo preste.
  • Curvas: que el procedimiento de captación también tiene que ser conforme a la nueva regulación…

 

El interés legítimo siempre estuvo ahí

El interés legítimo como base de tratamiento no es algo nuevo. Ni extraordinario.

Está regulado en el nuevo Reglamento Europeo, claro.

Pero ya estaba presente en la Directiva 95/46, y por supuesto en la normativa nacional -en la LOPD y en el real decreto de desarrollo– aunque el legislador español se pasó de prudente al trasponer la Directiva a derecho interno, y se la anularon parcialmente.

Porque reconozcámoslo: que alguien pueda tratar tus datos sin tu consentimiento, porque tenga un interés legítimo en hacerlo, es una cosa que así, sin más, da bastante miedo

Pero no tiene por qué, necesariamente. En realidad tenemos ejemplos delante de nuestras narices: 

 

Ejemplo: la facultad de control del empresario

No es el consentimiento del trabajador (plasmado en su contrato de trabajo, o captado aparte) el que legitima la supervisión o control por la empresa del uso realizado por sus trabajadores del móvil, ordenadores o vehículos de empresa.

Este control se basa más bien en la facultad de control empresarial prevista en la ley, en el Estatuto de los Trabajadores, y en los intereses de la empresa que exceden lo que un contrato de trabajo por sí solo puede autorizar.

Hay que recordar aquí, como hace regularmente Iurisfriki, que el consentimiento del trabajador (conseguido, durante la vigencia de la relación laboral) es problemático: su validez está bajo especial sospecha, dada la débil posición de negociación frente a su jefe.

Hemos instalado una nueva política de control de dispositivos electrónicos, firma aquí en conformidad. Chaval. He dicho que firmes.

videovigilancia

videovigilancia

Otro ejemplo: Videovigilancia

En una variación de lo anterior: los obvios intereses de la empresa en protegerse frente al fraude, o a acciones ilícitas, explican que la última jurisprudencia (y con ella el borrador de nueva LOPD) permita la videovigilancia de los trabajadores aun sin su consentimiento o información específica (por el evidente interés legítimo de la empresa en la protección de sus activos).

Dicho esto, el interés legítimo siempre supone una habilitación relativa, sujeta a condiciones, dependiendo de las circunstancias concurrentes, que deben ser ponderadas caso por caso.

En este juicio de ponderación residen la grandezas y las miserias de la figura.

interés legítimo

Tercer ejemplo: el abogado

Otro supuesto es la cesión de datos que se produce cuando una parte incumple un contrato.

La parte perjudicada puede ceder los datos del incumplidor a terceros (abogados, empresas de recobro) porque tiene un interés legítimo en que el que ha incumplido, cumpla. Por las buenas o por las malas.

El consentimiento plasmado en el contrato no suele comprender esa cesión de datos a un abogado para que te meta p´alante si incumples.

El interés legítimo en el borrador de Anteproyecto de la nueva LOPD

La nueva LOPDgdd de 2018 regula (y califica como tales) determinados supuestos específicos :

Artículo 19. Tratamiento de datos de contacto, de empresarios individuales y de profesionales liberales

Artículo 20. Sistemas de información crediticia.

Artículo 21. Tratamientos relacionados con la realización de determinadas operaciones mercantiles.

Artículo 22. Tratamientos con fines de videovigilancia.

Conclusión, por el momento:

El tratamiento de datos basado en interés legítimo (no en consentimiento) no es algo raro en la práctica.

Este es uno de mis temas favoritos. La próxima semana hablaremos del «juicio de ponderación«, de la valoración del interés del responsable versus los derechos de los titulares de datos.

Esta es la primera entrada de una serie de posts sobre el Interés Legítimo. Si el tema te interesa, chequea el tutorial de uso del Interés legítimo en la LOPD los renglones torcidos de la LOPD y el Laboratorio del interés legítimo, un «work in progress» que sigue y sigue. Y sigue y sigue.

Buena semana a todos.

Jorge García Herrero. Abogado.