Interés Legítimo y LOPD: Tutorial de uso
Indice
Interés Legítimo y LOPD
Este post intenta reunir en un sólo lugar los enlaces a todos los post que voy escribiendo sobre el interés legítimo como base de tratamiento de datos personales. Si sólo estás interesado en los enlaces a cascoporro, vete directamente al final del post.
Una base de tratamiento de datos que siempre estuvo ahí, que ha sido mal regulada, que ha hecho merecedora a la administración española de una sonora colleja por parte del Alto Tribunal Europeo.
Es lo que es
La LOPD está pensada para asegurar que el tratamiento de datos se realice, por defecto, sobre la base del consentimiento (o dos consentimientos bajo la forma de relación contractual). Y excepcionalmente, sobre otras bases: señaladamente con base en la obligación o la habilitación legal.
Esto explica dos fenómenos:
1.- El tembleque generalizado cuando toca informar de o justificar el tratamiento de datos con base en interés legítimo.
2.- Por otro lado, en los últimos veinte años, la ley se ha llenado de «habilitaciones legales» que no son sino la plasmación normativa de fórmulas de tratamiento de datos basadas en intereses legítimos.
Podríamos hablar de «interés legítimo legalizado» o «ILL», enfermo en inglés.
Un, dos, tres, responda otra vez:
- El uso de videovigilancia privada, -sin el consentimiento del vigilado- (LVP 5/2014)
- La posibilidad de enviar comunicaciones comerciales a clientes, -sin su consentimiento- (21.2 LSSI)
- La posibilidad de controlar la prestación laboral de los trabajadores -sin su consentimiento- (20.3 ET)
- La cesión de datos de trabajadores (y más) entre empresas del mismo grupo (en supuestos en los que no aplica una relación de «encargado de tratamiento»)
Hay muchos más ejemplos de ILLs, si sabemos -o queremos- verlos.
Unos cuantos, por ejemplo en el famoso art 9 del RGPD:
Vamos a ver, joven, ha dicho usted «datos hechos manifiestamente públicos» -9.2.e)-, le he entendido «formulación, ejercicio o defensa de reclamaciones» -9.2.f)-, o esos fines de «investigación científica o histórica o fines estadísticos» -9.2.j)- de los que usted me habla… son intereses legítimos como catedrales, en unos casos de un individuo u organización, y en otros de la sociedad en su conjunto.
Habilitación legal no es lo mismo que obligación legal
Porque recordemos: cuando videovigilo, controlo o espameo de forma «legal», mi base de legitimación (la que tengo que poner en el papelito informativo) no necesariamente es la «obligación legal».
Esas normas no me «obligan» a vigilar, controlar o espamear.
Sólo me lo permiten, cumpliendo sus requisitos.
Sólo me «libran» de hacer la LIA, la «evaluación de IL».
Efectos colaterales de los ILLs
Así se han habilitado y generalizado determinados tratamientos que eran incompatibles con el consentimiento, sin tener que hacer o exigir cosas raras, de forma sosegada y apacible para administración y profesional.
Pero así también se consolidó el miedo hacia «otras bases de legitimación», o a utilizar el interés legítimo fuera de los estrechos límites regulados por la ley. Fuera de los ILLs.
Todo lo anterior nos lleva a la madre de todas las preguntas:
¿Cuándo va a sacar la AEPD una guía sobre el interés legítimo?
El Grupo de Trabajo del art. 29 sacó la suya en 2011.
El GT29 bajo su nueva configuración de CEPD, ha manifestado que sigue siendo válida en lo fundamental.
El ICO también ha sacado una guía sobre el interés legítimo en Semana Santa de 2018.
Está fenomenal, gracias.
El Tutorial
Lo único que puedo hacer es poner mi granito de arena, reuniendo en un solo lugar lo que he ido escribiendo sobre el tema:
- Interés legítimo: ¿Y qué es eso?
- ¿Cómo demonios se hace? El juicio de ponderación.
- Interés legítimo: ventajas y garantías.
- El interés legítimo debería ser la base de tratamiento de datos a considerar por defecto en el área de Recursos Humanos de las empresas.
- ¿Cuál es la base de legitimación más adecuada para las cámaras de videovigilancia privada?
- ¿Y qué pasa con las cámaras de control laboral?
- ¿Se pueden tratar datos especialmente sensibles o de categoría especial con base en nuestros intereses legítimos? Sí, sí se puede.
- ¿Son lícitos todos esos lectores de huella dactilar que vemos en todas partes?
- ¿Pueden las admininistraciones y las entidades públicas tratar datos con base en el interés legítimo? Sí, también se puede.
- Tratamiento de datos biométricos en el ámbito laboral: interés legítimo y evaluación de impacto.
- Cuándo aplica el interés legítimo en las cesiones de datos intragrupo, y cuando no?
- ¿Se puede aplicar el interés legítimo en el ámbito de los ensayos clínicos y la investigación biomédica? El EDPB dice… sí.
Birli y Birloque
La vida no va a ser todo sufrimiento lopedero, así que, como bonus track, no puede dejar de hacer referencia a mis diatribas dialécticas en twitter con el bueno de Borja Adsuara (recalcitrante anti-IL) enlazando el (glorioso) tuit en el que acuñaba el concepto de «genuino interés legítimo» («GIL») que para ser utilizado, tenía que ser «Imperioso»:
Inolvidable…
¿Puede una empresa ‘tratar’ nuestros datos sin nuestro consentimiento? https://t.co/qpRt7WHnIE Mi opinión, en @la_informacion, sobre cuándo existe un Genuino Interés Legítimo (GIL) de una empresa y cuándo es «imperioso» #RGPD pic.twitter.com/jEV2mBsqty
— Borja Adsuara Varela (@adsuara) 28 de mayo de 2018
… pero equivocado
Disfruten lo que queda de verano, que ya se nos viene septiembre, cargado de marrones.
Jorge García Herrero
Abogado y Delegado de Protección de Datos