En defensa del Interés Legítimo, a cargo de Pablo García-Girón Pérez

AD 73/2019

Resumen:

La llegada del Reglamento General de Protección de Datos ha supuesto un cambio en el modo en que teníamos de entender la aplicación de la Protección de Datos, no sólo en España, también a nivel comunitario.

Entre otros aspectos, se han definido con mayor claridad un conjunto de bases de legitimación para el tratamiento de datos, que abandonan la idea de la existencia de una regla general basada en el consentimiento del titular de los datos, apostando por la existencia de un abanico de bases que se encuentran al mismo nivel.

Más allá de esto, encontramos la base del interés legítimo de forma más amplia que la regulación anterior, abriendo las posibilidades a su recurso. Sin embargo, esto implica la necesidad de estudiar cómo se puede utilizar dicha base, y en qué casos existen mayores posibilidades de éxito, en condiciones de seguridad para el afectado y el Responsable del Tratamiento.

Abstract: 

The arrival of the General Data Protection Regulation has meant a change in the way we had to understand the application of Data Protection, not only in Spain, but at the community level.

Among other aspects, a set of legitimation bases for data processing has been defined with greater clarity, which abandons the idea of ​​the existence of a general rule based on the consent of the data owner, betting on the existence of a range of bases that are at the same level.

Over this, we find legitimate interest in a broader way than the previous regulation, opening the possibilities to its resource. However, this implies the need to study how this base can be used, and in which cases there are greater possibilities of using it, in safety conditions for the affected party and for the Treatment Manager.

Palabras clave

Protección de datos, Reglamento General de Protección de Datos, Bases de legitimación, Videovigilancia, Sistemas de información crediticia, Consentimiento, Interés legítimo, Mercadotecnia, Ciberseguridad, Relación laboral, Grupo de Trabajo del Artículo 29, Datos de contacto, Clientes y Proveedores.

Key words

Data Protection, General Data Protection Regulation, Lawfulness of processing, Consent, Legitimate interest, Surveillance, Credit information systems, Marketing, Cybsersecurity, Labor Relationship, Working Group Article 29, Contact Information, Customers, Providers.

Índice

I Introducción. II El juego de las bases de legitimación. a) Un poco de (intra)historia: el consentimiento en Protección de Datos. b) Cambio en el paradigma: “Una nueva esperanza”. c) Opinión del Grupo de Trabajo del artículo 29: la ponderación de intereses o el juicio de proporcionalidad. d) El Imperio Contraataca, o las Guías de la AEPD. III Referencias concretas: cuándo “sí”. a) Determinadas comunicaciones de datos. b) Los casos previstos en los Considerandos del RGPD. c) Los casos previstos en la LOPD-GDD. IV Casos particulares, o particularmente polémicos. a) Trabajador y relación de parte débil: la facultad de control del empresario. b) Comunicaciones comerciales y regularización de consentimientos: “vamos a llevarnos bien”. c) ¿Qué ha ocurrido con la videovigilancia?. V Conclusiones: “Ayúdame Obi Wan Kenobi, eres mi única esperanza”. VI Referencias.

 I Introducción

Siempre he pensado que el título de cualquier artículo debía ser revelador del contenido del mismo. De ahí el título escogido.

En defensa del Interés Legítimo”, viene a ser lo que su propio nombre indica: argumentos a favor del desarrollo y la apuesta por esta base de legitimación.

La pregunta que surgirá al leer estas líneas probablemente sea muy parecida a la siguiente: ¿necesita ser defendido el interés legítimo? Y lo cierto es que algunos compañeros consideramos que así es.

A tenor de las actuaciones que ha llevado a cabo el legislador, y de opiniones contrarias al uso de esta base entre algunos profesionales, el presente artículo pretende ser un conjunto de argumentos que permitan ahondar en el desarrollo de un mecanismo que aliente el tratamiento de datos de carácter personal de un modo legítimo y proporcionado, teniendo como consideración la existencia real de un recurso que puede, y debe, utilizarse con mayor frecuencia.

En primer lugar, se realiza un recordatorio sobre la regulación que ha venido afectando en las últimas décadas a la protección de datos, desde el prisma de las bases que legitiman el tratamiento de datos de carácter personal.

En segundo lugar, se analiza el modo en que el RGPD ha impactado sobre esa normativa.

Posteriormente, se estudian los casos en que resulta meridianamente claro que es posible recurrir al interés legítimo, y aquellos casos en que no resulta tan evidente o, incluso, el legislador lo ha obviado, pero en este foro consideramos que debe poder recurrirse a ésta.

Finalmente, se establecen unas conclusiones donde el artículo pretende defender, esperemos que de un modo sólido, el motivo por el que debemos, y podemos, recurrir al interés legítimo como base para tratar datos de carácter personal.

Por último, he querido referenciar aquellas fuentes que me han servido de inspiración para elaborar el presente artículo.

 

II El juego de las bases de legitimación

  1. Un poco de (intra)historia: el consentimiento en Protección de Datos

Actualmente, la norma básica, transversal y referente en la regulación de los tratamientos realizados sobre datos de carácter personal, toda información que identifique, o permita identificar, a una persona física, se encuentra contenida en el Reglamento General de Protección de Datos (en adelante, RGPD).

Entre otras, la novedad más relevante, por impacto y cambio de paradigma, reside en la interpretación llevada a cabo sobre el modo en que debe prestarse el consentimiento, o lo que el propio RGPD tiene en consideración denominar en su artículo 7º, las condiciones del consentimiento. Este cambio de paradigma es uno de los detonantes que me llevan a realizar este estudio sobre el interés legítimo, motivo por el que me ha parecido un buen lugar para empezar la cuestión.

Antes de continuar, parece necesario dedicar unas líneas a considerar qué es el consentimiento en materia de Protección de Datos, de dónde venimos y hacia dónde nos hemos dirigido.

La primera vez que escuchamos hablar del consentimiento en esta materia a una norma comunitaria fue a través de la, ya derogada, Directiva 95/46/CE. De acuerdo con su artículo 7, el tratamiento de datos de carácter personal sólo podía llevarse a cabo cuando concurriesen, entre otras, alguna de las siguientes posibilidades:

  • El interesado había dado su consentimiento inequívoco

(…)

  • (El tratamiento) Era necesario para satisfacer el interés legítimo del responsable del tratamiento o un tercero al que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades del interesado

En este último caso, el considerando 45 explicitaba que, en todo caso, el interesado mantiene su derecho a oponerse al tratamiento.

La Directiva fue transpuesta en nuestro ordenamiento jurídico por la, también derogada, LOPD, considerando que, por regla general, el tratamiento de datos de carácter personal requeriría el consentimiento inequívoco del afectado, salvo que la Ley dijera lo contrario.

Esa parte de “en el caso en que la Ley disponga otra cosa” era lo que anticipaba la existencia del resto de bases sobre las que se podían tratar datos de carácter personal, en este caso, articuladas como excepciones a una supuesta regla general (el consentimiento del interesado).

En cualquier caso, llama la atención el modo en que se había regulado en la Directiva el consentimiento y las bases de tratamiento de datos, muy similar al contemplado por el RGPD, y la forma en que se transpuso por la LOPD, dándole una vuelta de tuerca por la que el consentimiento pasa a ser la “base general”, y el resto de opciones “meras” excepciones.

También se hacía referencia a la base del interés legítimo, sin embargo, respecto de la comunicación de datos obtenidos desde fuentes accesibles al público. Por tanto, aunque tienen su parte de razón las voces que avisan sobre la falta de novedad del interés legítimo como base de legitimación, lo cierto es que estaba transpuesta en nuestro ordenamiento de forma diferente a la previsión del RGPD, de forma más excluyente que las previsiones posteriores.

Si seguimos rebuscando en el baúl de los recuerdos, nos encontramos con el RDLOPD que desarrollaba ésta Ley, con referencias al modo en que debía prestarse el consentimiento del afectado, entre otras.

Esta norma rizaba un poco más el rizo, ahora tirabuzón, del interés legítimo, estableciendo que se permitía el tratamiento de datos sin recurrir al consentimiento del afectado cuando lo autorizase una norma con rango de ley, o norma de derecho comunitario y, cuando concurra que el tratamiento o cesión tengan por objeto satisfacer el interés legítimo del responsable, o del cesionario, siempre que no prevalezcan los intereses o derechos y libertades del interesado.

Recapitulando, lo que tenemos hasta ahora es lo siguiente:

  • Por regla general, si quiero tratar datos de carácter personal, necesito el consentimiento de la persona cuyos datos voy a tratar (regla general)
  • Excepcionalmente, puedo recurrir a otras vías que me eximan de pedir el consentimiento (excepción)
  • Una de esas excepciones es el interés legítimo que, al transponerse en la legislación nacional, aparece con requisitos extra:
    • En primer lugar, el interés legítimo se limita a comunicaciones de datos que provienen de fuentes de acceso público
    • En segundo lugar, el interés legítimo se limita, por segunda vez, a los casos en que sea previsto por una norma con rango de Ley, o por una norma comunitaria

Por tanto, aunque existía “algo” que se había venido en llamar “interés legítimo”, parece que tiene poco que ver con lo que nos aportaría posteriormente el RGPD.

  1. Cambio en el paradigma: “Una nueva esperanza”

El cambio de paradigma se produce con la introducción de los artículos 6 y 7 del RGPD, y  las previsiones del Considerando 47, donde se establecen seis bases de legitimación para tratar lícitamente datos de carácter personal. Entre otras, se encuentran el consentimiento  y el interés legítimo del responsable del tratamiento.

Por tanto, a priori, no parece descabello entender que el consentimiento es una base, entre otras, para tratar datos de carácter personal, desapareciendo su bula papal como la Regla General (con mayúsculas) para tratar datos.

El artículo 7 contempla en qué forma debe obtenerse el consentimiento del interesado. Aquí es donde se produce otro de esos cambios que vienen a definir una suerte de nuevo paradigma en la regulación de Protección de Datos: el responsable del tratamiento deberá ser capaz de demostrar que el interesado consintió en el tratamiento de sus datos.

Por tanto, ya no es posible recurrir al silencio positivo del afectado, el consentimiento tácito. O, al menos, no podremos recurrir a fórmulas parecidas a un consentimiento tácito, de la misma manera que veníamos haciendo antes del RGPD.

Si bien, es cierto que no se utiliza la palabra “expreso” para definir el consentimiento del RGPD, lo cierto es que se trata de un consentimiento muy parecido, dado que es complicado pensar en formas que permitan demostrar el consentimiento otorgado por una persona, más allá de fórmulas expresas (la firma de un documento, cliquear en una casilla desmarcada, etc.).

Muy recientemente aprobada la nueva LOPD-GDD, ha venido, entre otros polémicos menesteres, a adaptar algunos aspectos de nuestro ordenamiento que chocaban frontalmente con el RGPD. En este punto, parece interesante que nos paremos a estudiar el modo en que ha sido aprobada la nueva normativa europea.

Se escogió la fórmula de un Reglamento, lo que implica que su aplicación, y alegación por el ciudadano ante los tribunales nacionales, es directa. Una norma de aplicación directa, a diferencia de la anterior Directiva, no requiere de una Ley nacional que transponga su contenido en el Estado Miembro, de forma que sus disposiciones son “sacrosantas” para el derecho nacional, en virtud el principio de primacía del Derecho comunitario.

Esta cuestión no es baladí ya que define, y limita, claramente el modo en que debe aplicarse la base del interés legítimo: ¿recuerdan cuando comentábamos que la transposición de la LOPD limitaba la previsión de la Directiva 95/46/CE? Pues bien, con un Reglamento, esto no es posible.

Por tanto ésta norma nacional sólo puede matizar-desarrollar algunos aspectos del RGPD que han quedado cojos, pero nunca podrá contradecir o desarrollar en contrario, sus previsiones.

Esto es una cuestión que ya se apuntaba en el Dictamen del GT29[1], cuando establece que “(…)la sentencia (en el contexto de la STJUE, de 24.11.2011,   ASNEF y FECEMD) al establecer (establece) claramente que no les está permitido a los Estados Miembros imponer restricciones y exigencias unilaterales adicionales relativas a los fundamentos jurídicos del tratamiento lícito de datos en sus legislaciones nacionales(…)” así como “Los tribunales nacionales y otros organismos pertinentes (AEPD) deben interpretar las disposiciones nacionales a la luz de esta sentencia y, si es necesario, dejar de lado cualesquiera normas y prácticas nacionales que entren en conflicto (con la normativa, en este caso RGPD, comunitaria de Protección de Datos).

Si somos un poco vagos y le aplicamos un “control + F” a la norma, descubriremos que las palabras “interés legítimo” aparecen tan sólo en tres ocasiones: en dos de ellas, se define, indirectamente, un caso en el que será posible recurrir a esa base de legitimación.

La última de las referencias hace mención a la posibilidad de que una categoría  particular de responsables del tratamiento comuniquen datos de carácter personal cuando aprecien el interés legítimo de la persona que los solicita, y éste prevalezca sobre los derechos y libertades del afectado.

Esa última categoría hace referencia a administraciones públicas, entidades provenientes del sector público, órganos constitucionales, grupos parlamentarios, Banco de España, consorcios, fundaciones del sector público y órganos jurisdiccionales.

Además, importante señalar que en su Preámbulo V establece una pequeña introducción a los tratamientos previstos en su Título IV, donde “se establece una presunción iuris tantum de prevalencia del interés legítimo del responsable cuando se lleven a cabo una serie de requisitos”. Estos tratamientos serían:

  • Tratamientos de datos de contacto, empresarios individuales y de profesionales liberales
  • Sistemas de información crediticia
  • Tratamientos relacionados con la realización de determinadas operaciones mercantiles

Con respecto al consentimiento, en el mismo Preámbulo V se certifica que queda excluido en su modalidad tácita, requiriéndose una clara acción afirmativa por el afectado.

Por tanto, parece que hay argumentos suficientes para defender un cambio de paradigma consistente en lo siguiente:

  • Existen distintas bases que legitiman el tratamiento de datos de carácter personal
  • Estas bases se encuentran reguladas en el RGPD a la misma altura, siendo una de ellas el consentimiento del afectado, el cual se ha visto endurecido
  • El consentimiento del afectado deja de ser la regla general para tratar datos de carácter personal
  • Se abre la puerta a recurrir al interés legítimo del responsable del tratamiento, como una base de legitimación más

 

  1. Opinión del Grupo de Trabajo del artículo 29: la ponderación de intereses o el juicio de proporcionalidad

Es interesante recurrir también a las opiniones manifestadas por el Grupo de expertos del Artículo 29, en aras de clarificar cuál es el ecosistema que envuelve la base del interés legítimo.

En este sentido, destaca su opinión en el Dictamen 06/2014 donde podremos estudiar el modo en que se debe aplicar el interés legítimo.

En primer lugar, el GT29 nos dice que el interés legítimo no debe utilizarse como un último recurso para evitar bases de tratamiento más apropiadas que ésta, pero más exigentes en términos de requisitos exigibles (como el consentimiento). O dicho de otra modo, el GT29 nos está avisando de que el interés legítimo está para ayudar, y no para utilizarlo como si de un fraude de Ley se tratase, evitando recurrir al consentimiento del afectado en casos en los que, necesariamente, dicho consentimiento debe existir.

En segundo lugar, y para evitar el efecto pernicioso del que nos está alertando, nos informa que será condición indispensable realizar una ponderación de intereses, o juicio de proporcionalidad, entre el interés del Responsable del Tratamiento, y los derechos y libertades del afectado, que pasará por analizar lo siguiente:

  1. Primera Fase, Análisis del interés legítimo del Responsable del Tratamiento: qué tipo y origen, tiene ese interés, qué grado de necesidad de ejercer un derecho fundamental implica, y observar si es más apropiada otra base de legitimación.

 

En este sentido, siguiendo con el análisis del GT29, lo primero que debemos analizar es el grado de vaguedad de nuestro interés, es decir, éste debe tratarse de un interés concreto, no excesivamente disperso o especulativo.

 

El segundo cortapisas inicial que debe superar nuestro análisis consiste en el grado de legitimidad de nuestro interés. El primer detalle interesante es que, para tener un interés legítimo entre manos, es indiferente el grado de urgencia o apremio que este tenga, puede ser trivial o muy apremiante indistintamente. El segundo detalle que define su legitimidad consiste en la posibilidad de perseguir dicho interés en cumplimiento de la legislación aplicable al caso concreto, es decir, debe ser compatible con la ley.

 

  1. Segunda Fase, Análisis sobre los derechos y libertades afectados: estudiar el grado de repercusión que el tratamiento puede generar sobre el afectado, así como estudiar cuáles son sus expectativas razonables de privacidad sobre sus datos, qué tipo de datos se verán afectados, y cómo.

 

En primer lugar, de acuerdo con el GT29, los “intereses” y “derechos” deben interpretarse en un sentido amplio, teniendo en cuenta todo aquello que se pueda ver afectado por el tratamiento.

 

En segundo lugar, en este momento del análisis no entraremos a valorar si dichos intereses son legítimos o no, de tal manera que se fomenta el mayor grado de protección posible sobre el afectado, no entrando en su licitud. Esta interpretación nos conduce a cuerpos normativos de tipo “parte débil”, como pueden ser el Estatuto de los Trabajadores, o la regulación sobre el interés del menor en nuestro ordenamiento, lo que es revelador sobre el punto de interpretación que debemos tener sobre Protección de Datos, resaltando la importancia de documentar correcta y exhaustivamente el juicio de proporcionalidad que vamos a llevar a cabo. Ante la duda, existe una “parte débil” de la relación, a juicio del GT29, que se materializa en el afectado, motivo por el que la documentación que llevemos a cabo sobre nuestro juicio de proporcionalidad, cobra especial relevancia.

 

  1. Fase 3, o Juicio de proporcionalidad, en sentido estricto:

 

En este momento del proceso es donde comienza la ponderación de intereses, y donde podrá tener mayor incidencia el carácter urgente, o no, del interés del Responsable del Tratamiento. Dice el GT29 que, cuando el interés es menor y no muy apremiante podrá pesar más que los derechos del afectado, cuando su efecto sea aún menor que esa falta de apremio.

 

Otro factor importante será la posición que ostente el Responsable del Tratamiento, frente al afectado. O dicho de otro modo, la posible existencia de una relación de parte débil entre ambos, donde la parte menos favorecida sea la del afectado. En este caso, nos dice el GT29, tendremos más dificultades de poder alegar un Interés legítimo. Este apartado es relevante también sobre la posición del afectado, ya que el juicio se realiza sobre un “ciudadano medio”, pero habrá que tener en cuenta los conocimientos técnicos del mismo, según el caso concreto.

 

Además, es necesario aplicar garantías adicionales sobre el tratamiento, que reduzcan su impacto, como por ejemplo:

 

  1. Principio de minimización de datos: tratar los datos estrictamente necesarios para perseguir la finalidad informada a los afectados. Recordemos que ya existen previsiones en el RGPD que aluden a la privacidad desde el diseño y por defecto.

 

  1. Tecnologías no invasivas en el tratamiento de los datos: recurrir a los medios técnicos menos invasivos para alcanzar la finalidad definida.

 

  1. Primar la transparencia (para con el afectado): se debe informar, exhaustiva y didácticamente, sobre todos los aspectos que rodeen al tratamiento de los datos. La transparencia por el Responsable del Tratamiento es lo que permite al afectado tutelar sus derechos e intereses, por tanto, es un punto crítico.

 

  1. Derecho de oposición al tratamiento.

 

  1. Expectativa razonable de privacidad: en este punto hay que valorar las expectativas de privacidad, sobre sus datos, que pueden albergar los afectados, en función de la relación, o su ausencia de ella, que hayan venido manteniendo en el tiempo con el Responsable del Tratamiento.

 

  1. Grado de portabilidad de los datos: lo que se puede interpretar en un sentido más amplio, como el grado de control que el afectado puede tener sobre sus datos. El GT29 traduce esta idea como el grado de capacidad que tiene el afectado para transmitir sus datos de un Responsable del Tratamiento, a otro distinto.

 

  1. Aplicar criterios de privacidad desde el diseño y por defecto

 

  1. Aplicar técnicas de seudonimización[2] y cifrado sobre los datos

 

Estas garantías pueden ayudar a reducir el impacto sobre los derechos y libertades del afectado, o la probabilidad de que este se materialice, a tal nivel que, el interés legítimo, sea capaz de prevalecer en el juicio de ponderación. Hay que tener en cuenta que el análisis es casuístico, por lo que no siempre será posible aplicar reglas generales a través de esos factores.

Por tanto, muy resumidamente, para recurrir a la base del Interés legítimo será necesario tener en cuenta lo siguiente:

  • Hay que analizar caso por caso
  • Realizar un juicio de ponderación entre el interés legítimo del responsable, y los derechos y libertades del afectado, que determinará el resultado de la decisión
  • Aplicar medidas tendentes a minimizar el impacto, o la probabilidad de ocasionar un perjuicio, sobre el afectado
  • Documentar exhaustivamente todos los pasos y procesos que hemos seguido para llevar a cabo el juicio de ponderación
  • Recordar que el resto de requisitos para el tratamiento de datos (calidad, conservación, medidas de seguridad, etc.) siguen siendo válidos y vigentes, son acumulativos a la base de legitimación
  • Ser transparentes con el afectado, lo que se subdivide en:

 

  • Informarle sobre todos los aspectos del juicio de ponderación y tratamiento
  • Permitirle su derecho a oponerse al tratamiento

 

  1. El Imperio Contraataca, o las Guías de la AEPD

Cuando pensábamos que habíamos conseguido superar la regla general del consentimiento, aparecieron interpretaciones oficiales que nos llevaron a valorar muy cuidadosamente la aplicación del interés legítimo.

¿Qué es lo que opina el auditor al respecto? Lo cierto es que la Agencia Española de Protección de Datos (AEPD), se ha venido pronunciando de diversas formas, pero aquí nos centraremos en sus Guías de cumplimiento.

En primer lugar, destaca la Guía para Responsables del Tratamiento[3], uno de los primeros documentos nacionales oficiales que pudimos leer sobre la aplicación de la nueva norma europea. Ésta Guía es relevante porque:

  1. Confirma que hay varias bases de legitimación al mismo nivel
  2. Sólo hay dos referencias al Interés legítimo:
  1. La primera, en la página 6 donde se explica que, al basar un tratamiento sobre el interés legítimo del responsable, es necesario informar a los interesados y recordarles que tienen a su disposición, entre otros, el derecho de oposición
  2. La segunda, en la página 34, a modo de ejemplo en el marco de la explicación sobre la obligación de identificar una base jurídica sobre el tratamiento

Parece una oportunidad perdida no haber aprovechado una guía sobre novedades, a modo de tips básicos, que implica el RGPD para Responsables del Tratamiento, para indicar situaciones en las que es posible recurrir al Interés legítimo.

Incluso, una mente mal pensante podría llegar a la conclusión de que a la AEPD no le hace mucha gracia que recurramos a ésta base de legitimación.

Tiempo después aparece una nueva guía que va a resultar muy reveladora para la cuestión que estamos estudiando. No es otra que la Guía sobre Videovigilancia, donde se establece la base de legitimación aplicable a éste tratamiento, así como casos especiales. En este sentido, nos detendremos en el caso de la videovigilancia, en el apartado IV Casos particulares.

En conclusión:

  • Nuevamente, una mente calenturienta podría llegar a pensar que nuestro auditor no quiere dar la más mínima excusa a que se desarrolle un contenido mínimo a la base del Interés legítimo.

 

III Referencias concretas: cuándo “sí”

Como hemos visto hasta ahora, la cuestión ni es pacífica, ni cuenta con excesivas reglas que nos permitan definir con seguridad, de un modo sistemático, cuándo podemos recurrir al Interés legítimo.

Más aún, en todos los casos debemos recurrir a un exhaustivo juicio de proporcionalidad que nos permita “armarnos” de argumentos de cara a una posible inspección de la AEPD.

Sin embargo, hay casos, pocos, en los que no existen tantas dudas de que podemos estar en algo muy cercano a un interés de este tipo. En todo caso, el siguiente capítulo no pretende ser una lista exhaustiva ni cerrada de aquellos casos en que es posible alegar un interés legítimo, si no ejemplos en los que no debemos encontrar excesivos problemas.

  1. Determinadas comunicaciones de datos

Algunos supuestos donde podemos amparar la comunicación de datos de carácter personal sobre la base del interés legítimo, serían los siguientes:

  • La consulta de datos catastrales, si bien, es cierto que el RD Legislativo 1/2004 de 5 de marzo, en su artículo 53.1 establece qué intereses considera “legítimos”, a modo de lista cerrada.
  • Organismos y autoridades públicas: la Disposición Adicional Décima LOPD-GDD establece que los responsables contemplados en el artículo 77.1 de la misma, tendrán la posibilidad de comunicar datos personales que les sean solicitados por sujetos en los que aprecien la concurrencia de un interés legítimo.

 

Si nos vamos al artículo 77.1, veremos que esos sujetos son:

 

  • Órganos constitucionales e instituciones de las Comunidades Autónomas (CCAA) análogas
  • Órganos jurisdiccionales
  • Administración General del Estado, de las CCAA y entidades locales
  • Autoridades administrativas independientes
  • Banco de España
  • Corporaciones de Derecho público, cuando esté relacionado con el ejercicio de potestades de derecho público
  • Fundaciones del sector público
  • Universidades Públicas
  • Consorcios
  • Grupos parlamentarios de las Cortes, Asambleas autonómicas, y Corporaciones Locales.

 

  • Parte de la doctrina[4] considera que es posible encuadrar las comunicaciones de datos que los clientes realizan sobre sus abogados en litigios, en el contexto del interés legítimo.

 

  • Recordemos que, en el contexto de la Administración Pública, en el procedimiento administrativo existe la figura del “interesado”: hay previsiones a la posibilidad de que un tercero presente una solicitud para informarse sobre determinados aspectos de un procedimiento administrativo, bajo el paraguas de ostentar un interés legítimo. Es cierto que estas previsiones también se encuentran a caballo con la legislación en materia de transparencia.

 

  1. Los casos previstos en los Considerandos del RGPD:

Existen algunos casos contemplados expresamente en la Exposición de Motivos del RGPD, concretamente, en los siguientes Considerandos:

  • Considerando 47:

En el Considerando 47 del RGPD ya se nos advierte sobre la necesidad de realizar un análisis antes de proceder a ejecutar la base del interés legítimo (por ejemplo, analizando las expectativas razonables de privacidad del afectado) tal y como comentamos en el punto I.c), con base en las pautas del GT29.

A continuación, el Considerando 47 establece casos en los que el interés legítimo “podría darse”, concretamente:

  • Relación “pertinente y apropiada” entre el interesado y el responsable, por ejemplo, en relaciones comerciales, o en la que el interesado se encuentre “al servicio del responsable”. Este caso alude a dos circunstancias diferentes:

 

  • Cuando el interesado es cliente del Responsable del Tratamiento
  • Cuando el interesado se encuentra al servicio del responsable (posible relación laboral, o de subordinación)

 

De ambos casos derivan cuestiones que, actualmente, no son pacíficas, por lo que las estudiaremos en mayor profundidad en el siguiente capítulo.

 

  • El tratamiento de datos de carácter personal “estrictamente necesario para la prevención del fraude constituye un interés legítimo”.

 

  • El tratamiento de datos con fines de mercadotecnia directa “puede” considerarse realizado por interés legítimo: aunque es cierto que la previsión directa y textual por parte del RGPD es importante, hay que poner el ojo en ese “puede” tan condicional. Es aconsejable documentar muy bien nuestro juicio de proporcionalidad.

 

  • Considerando 48:

El Considerando 48 contempla un supuesto que ya venía aplicándose a través de las resoluciones e informes de la AEPD, respecto de las comunicaciones de datos que se producían entre distintas empresas que constituyen un mismo grupo empresarial.

Concretamente, el considerando establece que los responsables que formen un grupo, o sean parte de un mismo organismo central, pueden tener interés legítimo en transmitir sus datos, incluyendo los de sus clientes y empleados, con fines de administración interna.

Es importante el matiz de la última frase donde se recuerda que, los principios generales aplicables a empresas que se encuentren en países terceros al Espacio Económico Europeo, no han cambiado. Esto es una clara alusión a la necesidad de seguir contando con Normas Corporativas Vinculantes, o alguna de las garantías que prevé el RGPD, para poder validar transferencias internacionales de datos entre empresas de un mismo grupo empresarial que se encuentran en países distintos.

  • Considerando 49:

En este caso tenemos un supuesto que se encuentra muy de moda tras los pasados ataques informáticos sufridos por las principales corporaciones de este país. Hablamos de la ciberseguridad, y el contexto es la resolución de incidentes ante un ataque informático.

El considerando explica que, será un interés legítimo el tratamiento de datos personales en la búsqueda de la seguridad de la red y la información. Por tanto, el Responsable del Tratamiento podrá tratar los datos estrictamente necesarios, y de forma proporcionada (otra vez el juicio de proporcionalidad), para garantizar la capacidad de una red o sistema de información de resistir acciones, intencionadas o no, que puedan comprometer las siguientes virtudes de la información:

  • La disponibilidad
  • La autenticidad
  • La integridad
  • La confidencialidad

Esto también cubre aquellas comunicaciones con autoridades públicas y equipos de respuesta a incidentes de seguridad como CERTs y CSIRTs.

  • Considerando 50:

En este caso, lo que se contempla es que el Responsable del Tratamiento recopile y transmita datos a una autoridad pública, ante la indicación de posibles actos delictivos, o amenazas para la seguridad física, ya que esto se consideraría como un caso de interés legítimo del responsable.

  1. Los casos previstos en la LOPD-GDD

Son casos especiales, que debemos tener muy presentes, ya que, en principio, no sería necesario recurrir al juicio de proporcionalidad, dado que la propia Ley está realizando una presunción sobre la prevalencia del interés legítimo.

  • Datos de contacto (LOPD-GDD):

El tema de los “datos de contacto”, ha venido siendo polémico desde su concepción original, como una cláusula de exclusión de la legislación de protección de datos en aras de facilitar el tráfico comercial, que es como se concibió en el RDLOPD.

Posteriormente, con la llegada del RGPD en 2016, desaparecía del texto legal esa excepción, lo que llevaba a muchos a preguntarse qué había ocurrido con estos datos: ¿se habían introducido de nuevo en la rueda de la Protección de Datos, o era un descuido por parte del legislador europeo? Lo cierto es que la AEPD, en sus intervenciones oficiales en sus Sesiones anuales post-RGPD, no había dado su brazo a torcer: las excepciones, por definición, deben aparecer expresamente. Si no aparece expresamente, la excepción no existe[5].

Sin embargo, posteriormente, con la publicación de la LOPD-GDD se recogieron previsiones al respecto en su artículo 19, dándole una vuelta de tuerca al tema.

Concretamente, del texto legal se puede desprender que los datos de contacto se encuentran sujetos al régimen de protección de datos (lo que no ocurría con la normativa anterior) pero, siempre que cumplamos dos condiciones, la Ley presupondrá que los tratamos con base en nuestro interés legítimo. Esas condiciones son:

  • El tratamiento se refiere únicamente a los datos necesarios para localizar profesionalmente a una persona
  • La finalidad del tratamiento es, únicamente, mantener relaciones de cualquier índole con la persona jurídica a la que representa esa persona física.

Si lo pensáis detenidamente, la LOPD-GDD lo único que realmente está haciendo es recabar el modo en que la AEPD había aplicado sus sanciones en el tratamiento de datos de contacto, donde utilizaba esos dos criterios a la hora de sancionar.

Ojo aquí, estamos hablando de la licitud del tratamiento bajo una base de legitimación, lo cual no implica que no tengamos que cumplir otros deberes derivados del RGPD, entre ellos, la transparencia y el deber de información al afectado, aspectos que antes estaban fuera de duda al encontrarse fuera del ámbito de aplicación de la normativa.

  • Sistemas de información crediticia (LOPD-GDD)

El artículo 20 de la LOPD-GDD establece una presunción de licitud sobre el tratamiento de datos personales relativo al incumplimiento de obligaciones dinerarias, siempre que se cumplan determinados requisitos (deuda cierta, exigible, vencida, conocida, etc.).

En este caso, el artículo no habla expresamente del interés legítimo pero, teniendo en cuenta que habla de “licitud” (artículo 6, bases de legitimación) y en interpretación con el Preámbulo V, no parece descabellado entender que, de lo que nos está hablando la LOPD-GDD, es el interés legítimo.

  • Operaciones mercantiles (LOPD-GDD)

Ocurre exactamente lo mismo que en el supuesto previsto para los sistemas de información crediticia. El artículo 21 de la LOPD-GDD establece la presunción de licitud sobre los tratamientos de datos, haciendo hincapié en la comunicación de estos, en el contexto de operaciones mercantiles (fusiones, absorciones, adquisiciones, etc.)

En este caso, merece la pena pararse a leer el punto 2 del artículo, donde se establece que, en el caso en que la operación, finalmente, no llegue a buen puerto, esos datos deberán ser eliminados.

Por tanto, muy rápidamente y a modo de resumen, podemos concluir que hay determinados casos que son muy propicios a la hora de argumentar el interés legítimo, concretamente:

  • Casos sobre los que no existen dudas de su aplicabilidad:

 

  • Los casos previstos en la LOPD-GDD: tratamiento de datos de contacto, tratamiento por parte de sistemas de información crediticia y tratamientos en el contexto de operaciones mercantiles.
  • Algunos de los casos previstos en los considerandos del RGPD: envío de información a una autoridad pública en el contexto de la producción de un delito, las acciones tendentes a proteger un sistema de información frente a ciberataques, las comunicaciones de datos entre empresas de un mismo grupo empresarial (siempre que no implique una transferencia internacional)
  • Determinadas comunicaciones de datos: como la consulta de datos catastrales, y el envío de datos por parte de autoridades y organismos públicos, por parte de interesados en los que consideren que recae un interés legítimo, a su juicio.

 

  • Casos en los que es posible argumentar su aplicabilidad

 

  • Algunos de los casos de los considerandos del RGPD: mercadotecnia directa, tratamientos para la prevención del fraude, así como aquellos en que existe una relación comercial previa con el responsable del tratamiento.
  • Determinadas comunicaciones de datos: como las producidas entre un cliente y su abogado, o aquellas en que aparece la figura del interesado en un procedimiento administrativo.

 

IV Casos particulares, o particularmente polémicos

En este apartado he querido comentar algunos casos que están resultando con una cierta polémica, por motivos diversos, u otros en los que creo que es argumentable el recurso a la base del interés legítimo para legitimar el tratamiento de los datos de carácter personal.

  1. Trabajador y relación de parte débil: la facultad de control del empresario

En los últimos tiempos se ha venido suscitando el debate sobre las bases de legitimación que juegan en la relación laboral, entre trabajador y empleador. Está claro que hay una amalgama donde podemos diferenciar varios aspectos:

  • El juego de la obligación legal: al dar de alta al trabajador, por ejemplo.
  • El juego de la ejecución de un contrato de trabajo: como cuando la empresa debe tratar los datos del trabajador en el pago de nóminas.
  • El juego del consentimiento: por ejemplo, a la hora de crear una intranet con las fotografías de estos.

En este contexto, se ha venido discutiendo hasta qué punto puede entenderse que el consentimiento manifestado por el trabajador puede ser libre, desde el momento en que nos encontramos con una legislación de parte débil, donde el trabajador tiene casi todas las de perder frente a la empresa[6].

Básicamente, el argumento gira entorno a la facultad del consentimiento de ser informado, y ser mostrado en condiciones de libertad, lo que es puesto en duda ante la posibilidad de que la empresa tome represalias ante un trabajador que niega dicho consentimiento.

Por cierto que esto también lo dice el considerando 42 del RGPD al explicar que “el consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no se puede denegar o retirar su consentimiento sin sufrir perjuicio alguno”.

Es por ello que algunos apuntamos a un posible nicho de acción para la base del interés legítimo.

Nuevamente, resulta interesante acudir a las opiniones del Grupo de Trabajo del artículo 29, que en su Dictamen 2/2017, actualiza todo lo que se había hablado hasta el momento, en materia de bases de legitimación en el contexto laboral.

Ya en su introducción, el GT29[7] explica que el trabajador “rara vez está en condiciones de dar, denegar o revocar el consentimiento libremente”, lo que introduce la idea de que la base de legitimación del consentimiento puede presentar problemas a futuro en la relación empresa-trabajador. Por tanto, cabe el estudio de otras bases de legitimación, entre las que se encuentra el interés legítimo. Para ello, será necesario tener en cuenta algunas pautas sobre este tratamiento:

  • La finalidad perseguida debe ser legítima, esto es, estudiar lo comentado en el apartado II.c) de este artículo.
  • La tecnología utilizada en el tratamiento debe ser necesaria y proporcional: esto se controla analizando la finalidad que se persigue, y las tecnologías sustitutivas existentes.
  • Esa tecnología debe ser aplicada de la forma menos intrusiva posible.
  • El empresario debe poder demostrar que llevó a cabo un juicio de proporcionalidad, del que derivaron garantías sobre los derechos del trabajador que, posteriormente, fueron implantadas.
  • Ser exhaustivos en el derecho de información: en este punto, debemos ser más cuidadosos incluso que al informar al afectado por un tratamiento “ordinario”. Esto se pondrá en contexto con la letra b), donde entran en juego los nuevos derechos digitales.

Teniendo en cuenta lo anterior, el GT29 elabora una serie de escenarios tipo, en los que considera que la base del interés legítimo puede ser adecuada para los siguientes casos:

  • Proceso de selección: respecto de la información que los equipos de selección de personal revisan en redes sociales. Destaca uno de los criterios para saber si estamos más cerca, o no, del juego del interés legítimo, esto es, el carácter privado o profesional que tenga ese perfil o red social. Si el carácter profesional es evidente, entonces probablemente no tendremos muchos problemas para alegar ese interés. Si nos encontramos ante un perfil privado, o de ámbitos no profesionales, de búsqueda de empleo, entonces el interés del empresario no será tan evidente.

 

  • Operaciones que impliquen la vigilancia a ex trabajadores con cláusulas de no competencia, por ejemplo, a través de redes sociales.

 

  • Facultad de vigilancia del empresario sobre el trabajador por medios electrónicos: este caso no sólo está previsto por el GT29, si no que los nuevos derechos digitales de la LOPD-GDD también contemplan previsiones al respecto. Concretamente, podemos encontrar los siguientes artículos:

 

  1. Artículo 87 Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral: el artículo contempla la posibilidad de que la empresa acceda a contenidos derivados del uso de medios digitales por parte de los trabajadores, para controlar el cumplimiento de las obligaciones laborales o estatutarias, así como la protección de esos medios que ha facilitado la empresa.

 

La condición fundamental para que esto ocurra es que la empresa haya establecido criterios sobre el uso de dispositivos digitales, y que en dichos criterios hayan intervenido los representantes de los trabajadores en su elaboración. Asimismo, será un elemento crítico el hecho de que los trabajadores hayan sido informados sobre esos criterios de uso. En este sentido, no se especifica el modo en que deben ser informados (de forma genérica, de forma personalizada, mediante circulares, tablón de anuncios en la Intranet, etc.) pero debemos ser conscientes de que este es el único medio que tiene el trabajador de controlar el correcto uso de sus datos, por lo que es recomendable recurrir al medio que aporte un mayor grado de acreditación sobre el cumplimiento de la obligación de informar. Ante la duda, las consecuencias para la empresa serán lesivas.

 

Por tanto, al igual que ocurría con los datos de contacto, nos encontramos nuevamente con un tratamiento “especial”, en la medida en que ya se presupone su licitud bajo una base de legitimación, que sería el interés legítimo del empresario en lo siguiente:

 

  • Controlar el cumplimiento de las obligaciones laborales
  • Controlar el cumplimiento de las obligaciones estatutarias
  • Controlar que no se vulnere la integridad de los dispositivos digitales que la empresa ha facilitado al trabajador.

 

  1. Artículo 89 Derecho a la intimidad frente al uso de dispositivos e videovigilancia y de grabación de sonidos en el lugar de trabajo: el artículo contempla el tratamiento de imágenes por cámaras de videovigilancia para ejercer la función de control de los trabajadores por parte de la empresa, siempre que se realice en su marco legal y límites inherentes a este.

 

Con respecto a la grabación de sonidos, en este caso, será necesario que los riesgos para la seguridad de las instalaciones, bienes y personas sea especialmente relevante, como para implantar dicha medida, y respetando el principio de proporcionalidad, intervención mínima y garantías previstas.

 

Como en el anterior caso, es requisito indispensable que se informe previamente pero, ahora sí, nos especifica la LOPD-GDD que la información será expresa, clara y concisa tanto a los trabajadores, como a sus representantes.

 

Sin embargo, existen límites: nunca podremos instalar estos dispositivos en las zonas de esparcimiento, descanso, aseos, comedores y similares.

 

  1. Artículo 90 Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral: permitiendo a la empresa tratar los datos obtenidos a través de la geolocalización que se haya implantado en determinados medios de la organización. La finalidad debe ser el ejercicio de funciones de control de los trabajadores.

 

Al igual que en los casos anteriores, es requisito indispensable el haber informado previamente, aquí también, de forma expresa, clara e inequívoca a los trabajadores y a sus representantes, sobre existencia y características de estos dispositivos. En este caso, se especifica la necesidad de informar sobre la posibilidad y medios para el ejercicio de Derechos.

 

  • Control sobre el teletrabajo: modalidades que han propiciado la dificultad en la diferenciación entre los ámbitos personal y profesional, lo que vuelve a llevarnos a la necesidad de tener unas políticas bien definidas respecto del ámbito de control del empleador, y las esferas en las que se delimitan los usos personales y profesionales de los medios de trabajo de la empresa.

 

En este escenario, el riesgo en que puede incurrir la empresa reside en el uso de tecnologías desproporcionadas para controlar el trabajo del empleado, como el tratamiento de datos biométricos del trabajador, conexiones no delimitadas a la webcam del dispositivo, etc.

 

  • Políticas BYOD: se trata de políticas que permiten el uso de dispositivos propiedad de los trabajadores, para destinarlos a fines laborales. Al igual que en el caso del teletrabajo, uno de los aspectos clave a la hora de valorar la proporcionalidad de los medios utilizados para el control de los trabajadores, será la correcta definición entre las esferas corporativa y privada.

 

  • Sistemas de control de presencia, que acaban monitorizando los movimientos de los trabajadores durante su jornada laboral.

En conclusión, podemos deducir lo siguiente:

  • El consentimiento no es una base de legitimación apropiada para tratar los datos de los trabajadores, por parte del empresario.
  • Si decidimos, o hemos decidido, recurrir a esta base, es muy probable que tengamos problemas en el futuro ya que, la idea, ha ido calando cada vez más.
  • La base del interés legítimo puede ser un buen recurso en muchas situaciones, pero debemos recordar el juicio de proporcionalidad, y el principio de intervención mínima respecto de la elección de tecnologías menos invasivas en la privacidad.

 

  1. Comunicaciones comerciales y regularización de consentimientos: “vamos a llevarnos bien”

Como hemos comentado en varias ocasiones a lo largo del presente artículo, uno de los grandes paradigmas del RGPD se ha producido en relación con el modo en que se regula la base de legitimación del consentimiento.

En este caso, nos vamos a centrar en la regularización de consentimientos por parte de los Responsables del Tratamiento. Imagínense que un buen día se despiertan por la mañana iniciando su rutina habitual, proceden a abrir la ventana y observan cómo un enorme tsunami se dirige hacia ustedes. Posiblemente una sensación muy parecida debieron sentir los Delegados de Protección de Datos y Responsables de Seguridad de las principales corporaciones cuando se enfrentaron a la cuestión relativa a la regularización de consentimientos que sus clientes habían concedido con anterioridad a la entrada en vigor del RGPD.

Decíamos que una de las manifestaciones del cambio de paradigma, y el motivo por el que en este foro queremos defender que se potencie de forma segura el interés legítimo, se ha producido en cuanto al modo de recabar el consentimiento. Antes, mientras el afectado no me dijese lo contrario, yo entendía que podía tratar sus datos por “silencio administrativo”, esto es, el consentimiento tácito era una vía aceptable.

Ahora, debo demostrar de alguna manera que el afectado me ha consentido en que trate sus datos. Esto vamos a extrapolarlo a las bases de datos de las grandes empresas de este país, especialmente en lo que a mercadotecnia se refiere. ¿Ven por dónde quiero ir? Por tanto, de acuerdo con el Considerando 2 del RGPD, ya no nos sirven:

  • Casillas ya marcadas
  • Inacción del afectado

A esto hay que añadirle lo dispuesto por el Considerando 70 del RGPD que, interpretado a contrario, nos matiza la invalidez de todos aquellos consentimientos recogidos antes de la entrada en vigor del RGPD, salvo aquellos que sean conformes con sus previsiones (consentimiento inequívoco oscuro casi expreso).

Nos encontrábamos con un serio problema que se puede resumir en los siguientes puntos:

  1. Las bases de datos de mis clientes fueron en su mayor parte, si no en toda, recogidas con base en consentimientos tácitos.
  2. Entre esas bases de datos, se encuentran las de mi Departamento de Marketing, gente a la que le mosquea mucho que el tipo de Compliance venga a hacerles una visita.
  3. Se aprueba el nuevo RGPD, con una modificación sustancial en cuanto a la cuantía de sus multas
  4. Nos encontramos con cientos de consentimientos inválidos, que será necesario volver a recabar a riesgo de que el afectado se niegue a mostrarlo, ¿Ustedes mostrarían su consentimiento expreso para recibir publicidad de una empresa que ya tenía sus datos, y no éramos plenamente conscientes de ello? Pues eso.

Solución: interés legítimo. Bueno, no exactamente, ya que hay que tener en cuenta lo que hemos hablado anteriormente con respecto a los requisitos generales para aplicarlo, y no olvidarnos que tenemos que cumplir muy bien con el resto de principios de protección de datos, haciendo especial hincapié en el deber de información.

Así todo, el Gabinete Jurídico[8] de la AEPD elaboró un informe donde estudiaba ésta cuestión en el contexto de las comunicaciones comerciales.

En primer lugar, la AEPD diferencia dos supuestos:

  1. Comunicaciones comerciales por medios electrónicos: en este caso, nos recuerda que el supuesto se regula por la LSSI-CE bajo el requisito, como regla general, de que el destinatario haya solicitado expresamente esas comunicaciones. La excepción sería la suma de los siguientes requisitos:

 

  1. Existencia de una relación contractual previa.
  2. Obtención lícita de los datos de contacto del destinatario.
  3. Los datos se empleen para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente contrató el cliente.

Sin embargo, ya hemos comentado anteriormente que a la AEPD no le gusta mucho dar su brazo a torcer con el tema del interés legítimo, por lo que nos dice que este caso no es, ni mucho menos, resultado de aplicar la base de legitimación del interés legítimo, sino que, lo que ocurre, es que hay una aplicación de ley especial (la LSSICE) sobre ley general (el RGPD). Pues bueno, podemos aceptar pulpo, aunque hay que recordar que, en materia de spam, la AEPD no ha tenido problemas en sancionar tanto por LSSICE, como por tratamiento ilícito de datos con la extinta LOPD, donde recurría tanto a la Ley especial, como a la Ley general[9].

 

  1. Comunicaciones comerciales por medios tradicionales: en este caso, la AEPD sí reconoce que nos encontramos enteramente en el ámbito del RGPD. Primero, nos recuerda que el interés legítimo no puede aplicarse así como así, si no que debemos aplicar mecanismos que analicen la proporcionalidad de la situación. En segundo lugar, nos recuerda que hay situaciones más propicias que otras para aplicar esta base, como “cuando existe una relación pertinente y apropiada entre el interesado y el responsable, como en situaciones en las que el interesado es cliente o está al servicio del responsable”. Finalmente, la AEPD concluye que pueden aplicarse, por analogía, los criterios ya vistos para las comunicaciones comerciales por medios electrónicos, como excepción a la regla del consentimiento.

Por último, la AEPD nos recuerda que hay una regulación específica sobre las acciones publicitarias que, actualmente, pasan por la necesidad de consultar los sistemas de exclusión publicitaria.

Por tanto, los puntos básicos para aceptar el argumento en el caso de la mercadotecnia, y las relaciones con clientes y proveedores, en general, serían los siguientes:

  • Debe existir una relación previa entre la empresa y el cliente/proveedor.
  • La nueva relación debe ser, en lo sustancial, idéntica a la anterior, esto es, no puedo aprovechar el interés legítimo para hacer cosas diferentes con los datos, de las que venía haciendo hasta ahora.
  • Esto implica que las comunicaciones comerciales deben versar sobre productos de la propia empresa, similares o idénticos, a los que el cliente contrató, o consintió en ser informado.
  • Finalmente, es necesario recurrir a los sistemas de exclusión publicitaria, para garantizar que podemos enviar comunicaciones a una persona.

 

  1. ¿Qué ha ocurrido con la videovigilancia?

Es en este punto donde retomamos la Guía de Videovigilancia de la AEPD, que dejamos aparcada momentáneamente en el anterior punto II.d).

Es en el punto 2.1 donde se establece que “…puesto que la finalidad de la video vigilancia consiste en garantizar la seguridad de personas, bienes e instalaciones, el interés público legitima dicho tratamiento”. Esta afirmación, no sólo es sostenida por la AEPD, sino que el Consejo de Estado elaboró un dictamen, previo a la Guía, donde defendía exactamente lo mismo. Para poder sustentar un tratamiento sobre la base de un interés público, el requisito fundamental es que exista una Ley que, previamente, lo contemple como tal. A este respecto, la AEPD recurre a la Ley de Seguridad Privada, entre otras, para sustentar su argumentación.

Por tanto, lo que la AEPD, y el Consejo de Estado[10], nos están queriendo decir es que, el hecho de que una nave industrial que se dedica a construir piezas para un ala de Airbus establezca cámaras de videovigilancia en el perímetro de sus instalaciones, con fines de seguridad privada, está persiguiendo una misión en interés público que ha sido encomendada por la Ley de Seguridad Privada, en una delegación del monopolio punitivo que ostenta el Estado. Esto es, como poco, cuestionable.

Quien esto escribe discrepa de la interpretación, llamemos “oficial”, y apuesta por otra base de legitimación (a ver si lo adivinan).

En este sentido, si entendemos que la “vigilancia y protección de bienes, establecimientos, lugares y eventos, tanto públicos como privados, así como personas que pudieran encontrarse en los mismos[11] como actividades de seguridad privada, parece que el legislador, y el auditor, estiran excesivamente el concepto de seguridad pública, entendido como una manifestación del monopolio del poder punitivo del Estado. Gracias a esa interpretación extensiva, se entiende que el Estado, a través de la Ley de Seguridad Privada, ha transferido sus competencias sobre el monopolio del poder punitivo (ojo a lo que implica esto) en una suerte de “misión pública” para que, por ejemplo, un criadero de pollos defienda la seguridad pública a través de las cámaras que ha establecido en el perímetro de su finca.

Parece todo un poco desproporcionado, cuanto menos. Y de la desvirtualización del concepto de “cosa pública”, también podríamos escribir un artículo.

Lo cierto es que esta interpretación, con la Ley en la mano, es sostenible, pero no razonable. Es sostenible porque en nuestro ordenamiento jurídico dimos un volantazo con la Ley de Seguridad Privada (pero eso, queridos amigos, es otra historia), entregando excesivos poderes punitivos, propios del Estado, a actores privados. Pero no quiere decir que sea razonable, ni que debamos seguir ahondando en esa doctrina con otras normativas, como es la de Protección de Datos.

En conclusión:

  • Existen casos en que no habrá problema en fundamentar la base de legitimación de la videovigilancia en la misión en interés público, como son los amparados por la Ley Orgánica 4/1997 por la que se regula el uso de videocámaras por las Fuerzas y Cuerpos de Seguridad del Estado, su reglamentación y los casos bajo la Ley 19/2007 contra la violencia, racismo, la xenofobia y la intolerancia en el deporte.
  • Pero hay casos, especialmente los contemplados por la Ley de Seguridad Privada, que debieran haber visto un mayor y (en términos de calidad legislativa) mejor acomodo en la base del interés legítimo.
  • Nuevamente, una mente calenturienta podría llegar a pensar que nuestro auditor no quiere dar la más mínima excusa a que se desarrolle un contenido mínimo a la base del interés legítimo.

 

V Conclusiones: “Ayúdame Obi Wan Kenobi, eres mi única esperanza”

Por todo lo desarrollado anteriormente, es posible concluir lo siguiente:

  • Venimos de un régimen jurídico extinto, donde existía una regla general para tratar datos de carácter personal, y excepciones a esa regla, entre las que se encontraba el interés legítimo.
  • El nuevo régimen plantea que todas las bases jurídicas para el tratamiento de datos de carácter personal, se encuentran al mismo nivel, entre ellas, el interés legítimo.
  • Ha quedado de manifiesto indirectamente que, al auditor y al legislador, no les hace mucha gracia esa base de tratamiento de datos, por lo que no nos van a poner las cosas fáciles para recurrir a las mismas.
  • Una manifestación de lo anterior se traduce en la distorsión de conceptos como el de “cosa pública” que sustenta la base del interés público.
  • Teniendo claro lo anterior, es necesario documentar muy exhaustivamente el juicio de proporcionalidad con el que analizaremos, caso por caso, los argumentos que nos lleven a concluir que podemos tratar los datos con esta base
  • El RGPD, y el legislador europeo, nos ha reforzado la base del interés legítimo, por lo que “interés legítimo hay que decirlo más, interés legítimo más”.

Pablo García-Girón Pérez

29 de agosto 2019


VI Referencias

Reglamento (UE) 2016/679 del Parlamento Europeo  y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE. (RGPD)

Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respeta al tratamiento de datos personales y a la libre circulación de estos datos. (Directiva 95/46/CE).

Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD-GDD).

Ley 5/2014 de 4 de abril de Seguridad Privada (Ley de Seguridad Privada).

Ley 39/2015 de 01 de octubre del Procedimiento Administrativo Común.

Ley 34/2002, de 11 de julio, de Servicios de la sociedad de la información y de comercio electrónico (LSSICE).

Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (RDLOPD)

Real Decreto Legislativo 1/2004, de 5 de marzo, por el que se aprueba el texto refundido de la Ley del Catastro Inmobiliario

Dictamen 2/2017 sobre el tratamiento de datos en el trabajo (Dictamen 2/2017).

Dictamen 6/2014 sobre el concepto de interés legítimo del responsable del tratamiento de los datos en virtud el artículo 7 de la Directiva 95/46/CE (Dictamen 06/2014).

Guía del Reglamento General de Protección de Datos para Responsables del Tratamiento de la AEPD (Guía RGPD Responsables de Tratamiento).

Guía sobre el uso de videocámaras para seguridad y otras finalidades de la AEPD (Guía de Video vigilancia).

Informe Jurídico 2018-0173 – Comunicaciones comerciales, del Gabinete Jurídico de la AEPD.

Blog de Jorge García Herrero: https://jorgegarciaherrero.com/interes-legitimo-i/

[1] Dictamen 06/2014 del Grupo de Trabajo del Artículo 29 sobre el concepto de interés legítimo del responsable del tratamiento de los datos en virtud el artículo 7 de la Directiva 95/46/CE.

[2] En este sentido, parece importante señalar que el GT29 no considera que, por el mero hecho de que pongamos barreras a la identificación de los datos, estos automáticamente devengan en “legítimos”.

[3] En honor a la verdad, la Guía se realizó en colaboración con las agencias catalana (apdcat) y vasca (Datuak Babesteko Euskal Bulegoa)

[4] Así lo expresan compañeros como Jorge García Herrero en su blog: https://jorgegarciaherrero.com/interes-legitimo-i/ donde considera, acertadamente en opinión de quien esto escribe, que los contratos firmados entre las partes no suelen contemplar expresamente la posibilidad de comunicar los datos de la operación a un abogado, en caso de incumplimiento. Esa comunicación provendría del ejercicio del Interés legítimo de las partes.

[5] Así es como se pronunció Agustín Puente en representación del Gabinete Jurídico de la AEPD, en su 8º Sesión Anual Abierta.

[6] El Grupo de trabajo del artículo 29 ya lo explica en el resumen previo a su Dictamen 2/2017, a modo de conclusiones asumidas de otros documentos de trabajo sobre el tratamiento de datos de carácter personal en el ámbito laboral.

[7] Incluso, en su punto 2. Introducción, página 4 del Dictamen 2/2017, establece la necesidad de los empresarios de buscar otra base que fundamente el tratamiento de los datos, a través de una forma verbal “tendrán” que suena más a un imperativo, que a una recomendación.

[8] En su Informe 2018-0173 – comunicaciones comerciales.

[9] Por ejemplo, en el Procedimiento Nº PS/00703/2014, donde se sanciona con base en las competencias y disposiciones de la LSSICE, pero teniendo en cuenta los conceptos y reglas sobre el consentimiento de la extinta LOPD.

[10] Dictamen del Consejo de Estado NºExp 757/2017 de 26/10/2017, en el artículo 23, aunque en este caso tampoco excluye la aplicación del interés legítimo, es más, parte de ésta base con la jurisprudencia del TJUE, para luego abrir la puerta a la base del interés público.

[11] De acuerdo con el artículo 5.1.a) de la Ley de Seguridad Privada.


Yo CV - copia.pngPablo García-Girón Pérez 

Licenciado en Derecho por la UAM y Máster en Derecho de las Telecomunicaciones y Tecnologías de la Información por la UC3M, ha desarrollado su carrera en el ámbito de la consultoría en nuevas tecnologías. Especializado en el campo de la Protección de Datos, desarrolla su trabajo en Minsait, una compañía de Indra.

Deja un comentario