Interés Legítimo

Interés Legítimo (II): Cómo no Meter la Pata

Esta es la segunda entrada de una serie de posts sobre el Interés Legítimo que sigue en la tercera parte, el tutorial de uso del Interés legítimo en la LOPD los renglones torcidos de la LOPD y el Laboratorio del interés legítimo, un «work in progress».

En este segundo post, explicaremos el procedimiento para determinar si nuestro interés legítimo, en nuestro caso concreto, puede o no legitimar el tratamiento de datos personales de tercero, sin su consentimiento.

Este procedimiento consiste sustancialmente en hacernos y responder las siguientes preguntas:

  1. ¿Cual es mi interés legítimo para tratar esos datos?

  2. ¿Necesito de verdad ese tratamiento para satisfacer ese interés?

  3. ¿Qué impacto puede tener mi tratamiento en los titulares de esos datos personales?

  4. ¿Mi interés prevalece sobre ese posible impacto?

  5. Si es que no, ¿puedo hacer algo para mejorar el resultado, para que resulte aceptable?

Disclaimer: No lo intente en casa

Este post explica cómo puede legitimarse un tratamiento de datos sin consentimiento.

Aunque el procedimiento puede llegar a ser sencillo, no debeis hacerlo sin asesoramiento.

Eso es jugar con fuego. A estas alturas todo el mundo conoce las nuevas sanciones que prevé el Reglamento.

No me entiendan mal, me encanta la gente con iniciativa.

Dicho esto, querido lector aventurero, esto va por ti: si eres de los que se lee cuatro blogs y luego se hace el papel solito, aquí puedes liarla parda.

No lo dudes.

Interés Legítimo

Esta bien, ¿pero esto cómo se hace?

Y ahora que nos hemos quedado sólo con los valientes, seguimos:

Tu interés legítimo como responsable para tratar datos personales sin consentimiento de sus titulares, tiene que prevalecer sobre el impacto de tu tratamiento sobre esos titulares, sobre sus derechos e intereses.

Es preciso realizar lo que el Grupo del Artículo 29 (ojo, pdf) llama «juicio de ponderación«.

Se tratar de evaluar el balance entre:

  1. el interés legítimo del responsable por una parte,
  2. los derechos o intereses de los titulares de datos, por otra, para determinar cuál prevalece.

Realizado el juicio de ponderación inicial, si el resultado es negativo para el responsable, es posible aplicar medidas o garantías adicionales, para que consigan “inclinar” la balanza a su favor en una nueva valoración.

Interés Legítimo

Interés legítimo del Responsable del tratamiento: Requisitos

Tu “interés legítimo” (artículo 6.1.f) del Reglamento) debe ser lícito, concreto, real y actual.

Ejemplos de intereses legítimos, entre otros:

  • La libertad de expresión e información (publicación de las rentas obtenidas por personas que ocupan cargos políticos, por ejemplo).

  • Actividades de prospección comercialización o publicidad (interés en adaptar o personalizar el producto a cada cliente o usuario).

  • Supervisión de los empleados con finalidad de seguridad.

  • Sistemas de denuncia interna de irregularidades (whistle-blowing).

  • Seguridad de redes y sistemas de información (ciberseguridad).

El interés legítimo puede ser propio (del responsable) o ajeno (de terceros en singular, de la sociedad en general). Aquí vale el mismo ejemplo de la publicación de las rentas obtenidas por cargos políticos, que nos interesa a todos.

Tu tratamiento de datos: Requisitos

El tratamiento debe ser necesario (y proporcionado) para la consecución del interés (o fin) perseguido.

Se debe responder a la pregunta:

¿existe un medio para satisfacer ese interés legítimo con un menor impacto en los titulares de los datos?

Interés Legítimo

Los derechos o intereses de los titulares de datos personales

Como cabía esperar, en la otra parte de la balanza, los derechos e intereses del titular se interpretan en sentido amplio.

Recordemos que estamos hablando de una vía para el tratamiento de datos personales sin consentimiento del titular, sin tener contrato firmado, sin una ley que habilite dicho tratamiento, sin un interés vital o un interés público que lo justifiquen.

En consecuencia, debe valorarse cualquier impacto no sólo sobre derechos (fundamentales o no, cualquier derecho) e intereses. Y no sólo sobre intereses legítimos, sino sobre intereses hasta dudosos o directamente ilegítimos de los titulares de datos personales.

Es decir, no es necesario que los intereses de los particulares sean lícitos para ser dignos de protección.

Algún ejemplo:

  • Este es el motivo por el que la gestión de listados de morosos está sometida a requisitos estrictos.

  • Por la que no existe un registro de acceso público de arrendatarios incumplidores.

  • En otro transparente ejemplo proporcionado por el grupo de trabajo del artículo 29, frente al interés de un supermercado en publicar en su tablón de anuncios la fotografía y dirección de los ladronzuelos habituales, siempre prevalecería el interés de éstos en mantener su anonimato.

Riesgo de impacto sobre derechos e intereses del titular

Al igual que ocurre en una Evaluacion de impacto en privacidad, no se trata de garantizar que no exista impacto alguno sobre el titular.

No se trata de impedir cualquier “impacto” o “riesgo de impacto”.

De lo que se trata es de identificar el perímetro de riesgo. Sólo así es posible analizarlo y minimizarlo de forma preventiva y eficaz.

El objeto es que sólo se toleren riesgos bajos. Que se eviten impactos desproporcionados.

Factores importantes en la determinación del riesgo de impacto, son:

  • La naturaleza de los datos personales tratados (cuanto más sensibles los datos, mayor riesgo)

  • La características del tratamiento (cantidad de datos, multiplicidad de bases, escala del tratamiento)

  • Expectativas razonables de los titulares

  • Paridad o no entre las posiciones jurídicas del tratamiento y titular de datos (se entiende que no existe paridad, por ejemplo, entre empleador y trabajador, entre administración y administrado, en presencia de menores o incapacitados).

Recursos humanos y RGPD

Aplicación de garantías adicionales por parte del responsable del tratamiento

Si se detectan riesgos que impidan legitimar el tratamiento, tal y como estaba planteado, tocará hacer una o varias cosas:

  1. Replantear el perímetro y/o naturaleza del tratamiento

  2. Aplicar garantías adicionales para minimizar el impacto en los titulares (privacidad desde el diseño, evaluaciones de impacto, anonimización y cifrado)

  3. Implementar incentivos o beneficios para el titular.

  4. En defecto de lo anterior, abandonar el proyecto.

Si mediante alguna de estas vías es posible reducir sustancialmente el riesgo resultante de la evaluación inicial, será posible legitimar “en segunda vuelta” ese tratamiento que de entrada hubiera resultado injustificable.

Resulta obvio aquí que el asesoramiento jurídico debe empezar desde el principio del proyecto. Esperar a el proceso listo para arrancar para pedirle “el parrafito” al abogado, no es lo más aconsejable. Por decir algo.

¿Cuáles pueden ser esas garantías adicionales?

Estas garantías adicionales suponen reconocer a los titulares facultades o derechos por encima de lo lo regulado en la norma. (Al estilo de lo que ocurre en -algunos- convenios colectivos laborales).

Algunas de las medidas propuestas por el Grupo del Artículo 29 se han acabado consagrando en el Reglamento (son obligatorias ahora, quiero decir).

No hay problema en aplicarlas, pero se trataría de hacerlo con alguna mejora sobre lo exigido por la norma:

  • El uso extensivo e intensivo de técnicas de anonimización y cifrado de datos personales.

  • Ejecución de evaluaciones de impacto en privacidad.

  • La protección de la privacidad desde el diseño.

Más ejemplos:

  • Técnicas de empoderamiento del titular, como:

    • El derecho de exclusión voluntaria incondicional. (es importante recordar aquí que el derecho de oposición del titular es más limitado en el caso del interés legítimo, que cuando el tratamiento se basa en su consentimiento).

    • Derecho de supresión de datos incondicional.

    • El derecho de portabilidad de datos. (Igualmente, el Reglamento no lo reconoce para tratamientos basados en interés legítimo).

  • Limitación del tiempo de retención de datos.

  • Una política de transparencia cualificada.

Las medidas adicionales deben reducir precisamente los riesgos apreciados en el primer juicio de ponderación.

Y hacerlo en medida suficiente como para desequilibrar el resultado de dicho juicio a favor del responsable.

Si el nuevo resultado arroja mejoras suficientes en términos de reducción de riesgo de impacto, el tratamiento será defendible como legítimo.

La aplicación (por sí sola) de medidas y técnicas de seguridad, en general no legitimará riesgos que resultaron inaceptables en la primera valoración.

Interés Legítimo

Disclaimer: esto no son matemáticas

Este proceso tiene un alto componente subjetivo. Por eso debe tratar de objetivarse en la medida de lo posible.

Los sucesivos pasos deben documentarse (con mayor extensión y cuidado, cuanto mayores sean los riesgos apreciados).

El propio Grupo del Artículo 29 dejó bien claro que la aplicación de alguna de estas técnicas (por ejemplo, la anonimización y cifrado) no legitimaría, sin más, un tratamiento del que hubiese resultado un impacto inadmisible en el juicio de ponderación inicial.

Obligación de documentación e información sobre nuestro Interés Legítimo

Todo el proceso el resultado (o resultados), y los responsables de su elaboración, debe quedar documentado y firmado, por imperativo de la obligación de accountability o responsabilidad proactiva.

Esta documentación será fundamental para acreditar nuestro cumplimiento diligente :

  • frente al cliente, usuario o en definitiva, titular de los datos tratados, y también, (no conviene olvidarse),

  • frente a la Agencia de Protección de Datos. Por si acaso.

  • Frente a nuestros competidores (sobre todo frente a esos que no lo hayan hecho igual de bien que nosotros). Recordemos la ventaja competitiva del compliance en esta materia.

Es muy recomendable la publicación general de esta documentación, con la extensión que resulte oportuna en cada caso.

Es obligatorio suministrar información sobre las circunstancias del tratamiento (especialmente en el caso del interés legítimo) «en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo«.

Por mi parte, añadiría que de forma necesariamente resumida (y por capas).

Bueno, pues todo eso.

Muy buena semana a todos.

Jorge García Herrero. Abogado.

 jorge.garcia.herrero.com