interés legítimo reino unido

Laboratorio del interés legítimo: Reino Unido

 

 

El viernes pasado vimos el enésimo episodio de esa dramedia europea: “Brexit”. Concretamente, de su sexta temporada “Ni como, ni dejo comer”.

Se trata de una propuesta de reforma de la ley británica de protección de datos que tiene por objeto relajar las garantías del RGPD dos pasitos más de la cuenta, para ver si así recuperan algo de lo mucho que han perdido con su ideaca de abandonar la UE.

Una de los aspectos que más ha llamado la atención es la inclusión de una serie de habilitaciones legales con un numerus clausus de intereses legítimos.

 

«Intereses legítimos legalizados» (ILLs)

Pues sí: en el anexo 1 de la propuesta, se regulan unas presunciones de legitimidad para determinados intereses legítimos respecto de los que se exime al responsable de la obligación de documentación de LIA (en realidad todos salvo el interés superior del menor son intereses públicos, pero hey! Yo qué sé).

Los agraciados son:

  • National security, public security and defence
  • Emergencies
  • Crime
  • Safeguarding vulnerable individuals
  • Democratic engagement

 

En cuanto a las presunciones de legitimidad, el aspecto que más me llama la atención es la patente de corso que se adjudica a los partidos políticos para tratar los datos ideológicos del electorado.

Eso sí: en UK la cosa se ha quedado en la base general del art 9, sin hacer saltar por los aires el 9.1 como sí se intentó en España con el art 58 bis (recordemos, aprobado por una sonrojante unanimidad por todos nuestros representantes).

 

Also: “May be legitimate interests”

Adicionalmente se regulan unos “may be legitimate interests”, unos ejemplos de ILs como lista abierta y no exhaustiva, sin la exención anterior:

  • processing that is necessary for the purposes of direct marketing,
  • intra-group transmission of personal data (whether relating to clients, employees or other individuals) where that is necessary for internal administrative purposes, and
  • processing that is necessary for the purposes of ensuring the security of network and information systems.

 

Aquí básicamente se trata de llevar a derecho positivo puro y duro lo que hasta ahora sólo tenía rango de criterio interpretativo en los considerandos del RGPD.

Me interesa especialmente la parte de flujos intragrupo, y prometo sacar una segunda parte de aquel post sobre interés legítimo en los flujos de datos entre el grupo de empresas de Montgomery Burns, uno de mis favoritos de todos los tiempos.

En cuanto a los “may be ILs” lo único que se hace es dar carta de naturaleza en derecho positivo a lo que hasta ahora sólo eran considerandos del RGPD con valor interpretativo.

Al subrayarse en primer lugar el marketing directo, se hace un evidente guiño a la industria adtech, loca por encontrar algún tipo de buena noticia legal en estos aciagos tiempos de cruzadas anticookies, “IAB qué pasa”.

 

“Eso lo inventamos nosotros”

Lo cierto es que la habilitación de intereses legítimos en la propuesta de UK podrá sorprender en algún sitio de Europa, pero desde luego, no en España.

Es posible que, de verlos todos los días, no reconozcas tooodos esos intereses legítimos legalizados, pero están entre nosotros:

 

El 21.2 LSSI (enlace)

Cuando cualquier empresa remite comunicaciones comerciales sobre productos o servicios análogos a aquellos que ya ha conseguido vender a determinado cliente, no está haciendo nada malo, porque el artículo 21.2 de la ley reguladora de los servicios de la Sociedad de la información, le habilita a hacerlo.

Pero al identificar la información obligatoria al interesado sobre el tratamiento de los datos, la base legal no será “el artículo 21.2 LSSI”.

Tampoco es obligación legal, porque ese precepto no obliga a hacer nada. Sólo habilita a hacerlo, ahorrándote la LIA por el camino: porque la base es “interés legítimo”.

El art 21, esta vez de nuestra LOPDgdd (enlace)

Este precepto introduce una de varias presunciones “iuris tantum” de existencia de interés legítimo:

En este artículo hay dos cuestiones que llaman la atención:

  • Se recoge expresamente la realidad de las operaciones societarias, en las que precisamente los datos más sensibles cambian de manos en el minuto uno, para que el posible adquirente evalúe en profundidad, due diligence mediante, si es oro todo lo que reluce. Es decir, ese acceso a datos (que, claro, se hace a título de responsable, como acertadamente decía el antiguo art 19 del reglamento de 2007) no se produce como consecuencia de la operación, sino en la parte más significativa y sensible, mucho antes.

 

  • Y muy significativamente, se introduce una excepción al régimen general del “ciclo de vida del dato” (tratamiento/bloqueo/borrado) para aquellos casos en los que la operación no interesa o se malogra por lo que sea: borrado inmediato de los datos “cedidos”.

 

Justo esta es la situación que debe aterrar a cualquier compañía que sea objeto de una due diligence de compra por un competidor natural: que el presunto comprador se zambulla cual Tío Gilito en profundidad en tus fortalezas y flaquezas, secretos y confidencias, y luego recule, siga su camino y utilice en tu contra lo aprendido.

 

El art. 19 LOPgdd (enlace)

La presunción iuris tantum favorable al tratamiento de los datos de contacto profesional de personas físicas que representen a personas jurídicas, profesionales individuales y autónomos, siempre que los datos personales tratados se limiten a la posición profesional del interesado, y que la interacción tenga por objetivo al profesional u organización representada, no al interesado como persona física.

 

Fuera de las leyes datístiticas por antonomasia también puedes ver cosas:

 

Art 15 Ley de transparencia y buen gobierno

Un  ejemplo significativo  es la ponderación regulada en el art 15 de la Ley de Transparencia y Buen Gobierno. En este precepto que siempre se pone de ejemplo de «ponderación legal» ni siquiera se explicita el término «interés legítimo» de los interesados. Al menos introdujeron un “particularmente” en plan “sin perjuicio de otros”.

No digo que sea sólo por eso claro, pero… buena suerte si intenta convencer a un funcionario de que puede considerar otros criterios distintos de los mencionados….

“15.3. Cuando la información solicitada no contuviera datos especialmente protegidos, el órgano al que se dirija la solicitud concederá el acceso previa ponderación suficientemente razonada del interés público en la divulgación de la información y los derechos de los afectados cuyos datos aparezcan en la información solicitada, en particular su derecho fundamental a la protección de datos de carácter personal.

Para la realización de la citada ponderación, dicho órgano tomará particularmente en consideración los siguientes criterios:

  1. a) El menor perjuicio a los afectados, derivado del transcurso de los plazos establecidos en el artículo 57 de la Ley 16/1985, de 25 de junio, del Patrimonio Histórico Español.
  2. b) La justificación por los solicitantes de su petición en el ejercicio de un derecho o el hecho de que tengan la condición de investigadores y motiven el acceso en fines históricos, científicos o estadísticos.
  3. c) El menor perjuicio de los derechos de los afectados en caso de que los documentos únicamente contuviesen datos de carácter meramente identificativo de aquéllos.
  4. d) La mayor garantía de los derechos de los afectados en caso de que los datos contenidos en el documento puedan afectar a su intimidad o a su seguridad, o se refieran a menores de edad.

 

No será aplicable lo establecido en los apartados anteriores si el acceso se efectúa previa disociación de los datos de carácter personal de modo que se impida la identificación de las personas afectadas.”

 

Alguna cosa más

Y ya luego están esos otros casos que encajan perfectamente en el interés legítimo, pero que se embutieron a martillazos en otras bases because why not:

  • el control laboral (encaja mucho peor como elemento necesario del contrato de trabajo, más aún tras las estrictas decisiones vinculantes del EDPB contra Meta de este año),
  • las masivas entregas de certificados acreditativos de estar al corriente de nóminas y cotizaciones a la seguridad social, para eludir la responsabilidad solidaria en las subcontratas, ex art 42.2 del Estatuto de los trabajadores, o
  • la videovigilancia por interés público, por citar sólo las más clásicas.

 

Que conste que no me quejo, porque al final, nos ahorran trabajo, pero en fin.

El problema de las habilitaciones legales es doble:

  • Esa interesada confusión entre lo que la ley permite y la ley impone.
  • En general, cualquier base de funcionamiento binario (hola, consentimiento) incentiva abusos: la ley me obliga, así que HEY, olvidémonos de todo lo demás -por ejemplo: ese afán de controlar con biometría las gradas de animación en los estadios de fútbol por parte de LaLiga-.

 

Muy buena semana.

 

Jorge García Herrero

Abogado y Delegado de Protección de Datos