Sí, las Administración pública pueden tratar datos sobre interés legítimo. ¡Sí se puede! (II)
Sí, las Administración pública pueden tratar datos sobre interés legítimo
El artículo 6.1 del Reglamento General de Protección de Datos regula el interés público y el interés legítimo como aparentes compartimentos estancos en los apartados e) y f).
Y encima mete una coletilla final que parece excluir el interés legítimo del ámbito de maniobra del sector público.
Esa coletilla resaltada (en adelante, «La Coletilla de las Narices«) no deja lugar a muchas dudas, ¿verdad?:
De entrada parece obvio que el interés legítimo es una base de legitimación que sólo puede ser utilizada por organizaciones y empresas privadas, nunca por la Administración pública.
Y eso es perfectamente compatible con el acojone generalizado ante el pobrecito interés legítimo: una base de tratamiento que sólo utilizan oscuras empresas y gentuza de mal vivir, y que, por supuesto, sólo recomendamos y trabajamos ovejas negras de la profesión.
Como yo.
Lo peor.
Así que claro, es normal que las autoridades públicas -que tienen que ser “como la mujer del César” (meh)-, no puedan, ni directa ni indirectamente mancharse las manos con semejante agujero negro del sistema jurídico.
Porque está claro que no pueden. Estamos todos de acuerdo… ¿O no?
Pero leamos de nuevo La Coletilla de las Narices:
“Lo dispuesto (sobre el interés legítimo) no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.”
El matiz está precisamente en lo del “ejercicio de sus funciones”.
Tal y como yo lo veo (y lo leo), hay dos cosillas aquí:
1.- Ser administración pública y actuar en el ejercicio de tus funciones muchas veces no bastará para tratar datos personales con base en el interés público.
Esto amerita no uno, sino muchos posts: El RGPD impone y reclama, casi cada vez que se menciona el interés público, la necesidad de que dicho tratamiento sea proporcionado, respetuoso con el régimen de protección de datos y sujeto a medidas adecuadas y específicas de protección de los ciudadanos.
Al igual que la mera existencia de un interés legítimo no habilita a una empresa para tratar, sin más, datos personales amparándose en su existencia, las administraciones tienen que estar no sólo legitimadas, sino adecuadamente limitadas en su tratamiento de datos personales, y no sólo por el régimen general, sino por disposiciones legales específicas en cada caso.
No lo digo yo, lo reitera el Reglamento General de Protección de Datos: hagan una búsqueda por “interés público”.
2.- La administración pública podrá tratar datos personales basándose en sus intereses legítimos, siempre que no esté actuando en ejercicio de sus funciones públicas.
Dicho así, esto parece contrario a la literalidad de la La Coletilla de las Narices del 6.1.f) pero no lo es:
Uno: porque es la conclusión que resulta leyendo en sentido contrario su texto.
Dos: es habitual y normal. Lo vemos todos los días:
La Administración pública (en su sentido más amplio) desarrolla todos los días actividades en el sector privado, incluso en competencia con empresas privadas.
Obviamente las funciones estrictamente públicas sólo pueden ser realizadas por funcionarios, bajo el ministerio estricto de la ley.
Pero es visible y generalizada la práctica de subcontratar ámbitos cada vez más amplios al sector privado.
Y no digo que sean esas empresas contratadas las que puedan tratar datos sobre interés legítimo.
Hablo de la «Administración» en sentido amplio (administración pura y dura, universidades), empresas públicas (controladas por la administración de una u otra forma), y sector público en general (institutos, fundaciones, corporaciones, hierbas varias…).
Sí, todas ellas pueden utilizar el interés legítimo en todas aquellas actividades en las que no se ejerza estrictamente potestas administrativa y de hecho desarrollan a diario actividades que piden a gritos ampararse en esa base de legitimación.
Ejemplos muy gráficos y tontos (créanme, los hay mucho menos tontos):
- Control sobre la prestación de su personal laboral.
- Tratamientos en webs corporativas (de mantenimiento de seguridad sobre datos e infraestructura informáticas).
- Tratamientos sobre datos realizados por cualquier entidad educativa pública (que en sus análogas privadas se basen en el interés legítimo).
No lo digo yo
Bueno, claro que lo digo: Como siempre, esto no es un pensamiento novedoso que sale de mi recalentada calva, esto lo lleva diciendo un montón de tiempo la ICO, como pueden leer aquí (extracto de su guía sobre el interés legítimo, que ya les he apuntado por aquí más veces).
Es cierto que en el Reino Unido han modificado la ley para regular expresamente esta posibilidad. Pero en mi opinión, así simplemente han clarificado la cuestión.
Porque en mi opinión, no hacía falta.
Pero esto es sólo una opinión.
Buena semana, no me se torren.
Jorge García Herrero
Abogado y Delegado de Protección de Datos.