AD 80/2021
Resumen: El interés legitimo es una de las bases legitimadoras del tratamiento de datos personales, establecida en el Reglamento General de Protección de Datos. Sin embargo, para que sea aplicable deben cumplirse una serie de requisitos que provienen tanto del derecho de la Unión Europea, como de la jurisprudencia del Tribunal de Justicia de la Unión Europea. A la actividad de “targeting”, desarrollada por algunos proveedores de redes sociales que consiste en dirigir a sus usuarios publicidad de un tercero, previamente customizada por ciertos criterios sería de aplicación tanto el RGPD como la Directiva ePrivacy en ciertos casos. El presente trabajo tiene por objetivo analizar cuando el interés legitimo podría aplicarse en los supuestos de “targeting” y esta basado a las recientes Directrices 8/2020 del Comité Europeo de Protección de Datos sobre la actividad de “targeting” de usuarios de redes sociales.
Summary: The legitimate interest is one of the legal bases for the processing of personal data, established in the General Data Protection Regulation. However, in order to be applicable, it has to comply with certain specific criteria established both in the applicable European Union law as well as in the case-law of the European Union. Both the General Data Protection Regulation as well as in certain cases the ePrivacy Directive will be applicable to the “targeting” of social media users by certain social media providers. The present text aims to analyse in which cases the legitimate interest of the data controller could be applicable for the targeting activities and it is based on the Guidelines 8/2020 on the targeting of social media users of the European Data Protection Board.
Palabras clave: Protección de datos, Reglamento General de Protección de Datos, ePrivacy, Targeting
Keywords: Data protection, General Data Protection Regulation, ePrivacy, Targeting
El interés legitimo como base legitimadora para el tratamiento de datos personales con la finalidad de “targeting” de usuarios de redes sociales
El presente trabajo tiene por objetivo analizar la posibilidad de aplicar el interés legitimo del responsable del tratamiento como base legitimadora para el tratamiento de datos personales de usuarios de redes sociales con la finalidad de dirigirles publicidad de una tercera parte (¨Targeter¨), customizada por ciertos criterios o la actividad de ¨targeting¨. El análisis esta basado a las recientes Directrices 8/2020 del Comité Europeo de Protección de Datos (en adelante el ¨CEPD¨) sobre el ¨targeting¨ de usuarios de RRSS (en adelante las ¨Directrices¨[1]).
Como nota preliminar, debe mencionarse que el CEPD distingue tres supuestos generales de ¨targeting¨ de usuarios de RRSS- a) ¨targeting¨ de usuarios sobre la base de los datos activamente proporcionados por el mismo usuario al proveedor de redes sociales y/o al “targeter”; b) “targeting” sobre la base de datos observados o datos proporcionados por el interesado durante el uso de un servicio o dispositivo, por ejemplo, ¨targeting¨ en función de la actividad del usuario en las RRSS- el contenido que ha compartido, consultado o que le ha gustado o en función del uso de dispositivos en los que se utiliza la aplicación de la red social, como coordenadas GPS, número de teléfono móvil, etc.; c) “targeting” sobre la base de datos derivados de los datos proporcionados por el interesado o según lo observado por el responsable, por ejemplo, un proveedor de RRSS o un destinatario podría concluir que es probable que una persona esté interesada en una determinada actividad o producto sobre la base de su comportamiento.
Antes de entrar en el análisis de la aplicabilidad del interés legitimo en cada uno de los antedichos supuestos de ¨targeting¨, cabe mencionarse brevemente en que consiste el interés legitimo del responsable del tratamiento en relación con la protección de datos personales. El primero de los principios de tratamiento de datos personales establecidos en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante el ¨RGPD¨) es el de ¨licitud, lealtad y transparencia¨. En cuanto a la ¨licitud¨, Art. 6 del RGPD establece que el tratamiento solo será lícito si se cumple al menos una de las condiciones allí enumeradas, entre los cuales se encuentra también el tratamiento necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño. El concepto jurídico, no obstante, esta desarrollado detalladamente por la jurisprudencia del Tribunal de Justicia de la Unión Europea donde se establece que para que este sea aplicable deben cumplirse tres requisitos acumulativos, a saber, que el responsable del tratamiento o el tercero o terceros a los que se comuniquen los datos persigan un interés legítimo; que haya necesidad del tratamiento de datos personales para la satisfacción del interés legítimo perseguido, y, en tercer lugar, que no prevalezcan los derechos y libertades fundamentales del interesado[2]. Más aún, para que el responsable del tratamiento pueda basarse en el interés legitimo, este debe concretizar cuales son dichos intereses, comunicándolos a los sujetos cuyos datos se va a tratar con antelación[3].
De acuerdo con la Opinión del Grupo de Trabajo del artículo 29[4], el segundo requisito implica que el responsable deba demostrar que el tratamiento es necesario para lograr los intereses legítimos en cuestión. En este contexto, el termino «necesario» requiere una conexión entre el tratamiento y los intereses perseguidos y requiere un análisis de la existencia de otros medios menos invasivos disponibles para conseguir la misma finalidad. El tercer paso para evaluar si el tratamiento de datos personales podría basarse en el artículo 6(1)(f) del RGPD es determinar si los intereses del interesado o sus derechos y libertades fundamentales prevalecen.
De lo antedicho podría concluirse que el responsable del tratamiento debería hacer un análisis muy prudente antes de llegar a la conclusión que podría basarse al interés legitimo para el tratamiento de los datos personales. No obstante, el CEPD no excluye la posibilidad de su aplicación en el contexto de la actividad de ¨targeting¨, limitándolo de todas formas a unos casos muy específicos. Parece que el aspecto más problemático del test de los tres pasos en este supuesto sería determinar si los intereses del interesado o sus derechos y libertades fundamentales prevalecen o no. Según las Directrices, a la hora de evaluar el impacto que podría tener dicho tratamiento sobre los intereses, derechos fundamentales y libertades del interesado en cuestión, se deberán tener en cuenta particularmente las siguientes consideraciones (i) los propósitos del ¨targeting¨, (ii) el nivel de detalle de los criterios de ¨targeting¨ utilizados, (iii) el tipo (y combinación) de criterios de ¨targeting¨ utilizados, y (iv) la naturaleza (sensibilidad), el volumen y la fuente de los datos utilizados para el ¨targeting¨.
Ahora bien, vamos a comentar la posibilidad de aplicar el interés legitimo en cada uno de los antemencionados supuestos de ¨targeting¨.
El interés legitimo en el caso de ¨targeting” de usuarios sobre la base de los datos activamente proporcionados por el interesado. Este es el supuesto en el que el interés legitimo tanto del proveedor de RRSS, como al ¨targeter¨ para el tratamiento de los datos en cuestión parece claramente aplicable, también según lo establecido por las Directrices de la CEPD. Este sería el supuesto en el que la red social muestra a parte de sus usuarios, seleccionados por ciertos criterios sobre la base de datos proporcionados por ellos mismos, publicidad de un ¨targeter¨ que esta interesado en dirigirse a cierto grupo de personas cuyo perfil corresponden a los antedichos criterios. En cuanto al interés legítimo del proveedor de la red social, este podría ser el interés económico de vender espacios publicitarios. No obstante, en todos casos, debe previamente analizarse si se cumplen las tres condiciones necesarias para que se pueda aplicar el interés legítimo, siendo este inaplicable en el caso en el que los intereses del sujeto o sus derechos fundamentales y libertades prevalecen. Condición previa para que cualquier de los dos responsables en el presente supuesto pueda basarse al interés legitimo es también que se haya proporcionado al interesado con carácter previo al tratamiento toda la información necesaria para cumplir con el deber de transparencia y mas concretamente, que se haya informado el interesado sobre su derecho de oponerse al tratamiento para unos fines específicos.
Según lo dispuesto por el Grupo de Trabajo del artículo 29, sería difícil justificar el uso de interes legítimo como base legal para la elaboración de perfiles intrusivos y las prácticas de seguimiento con fines de marketing o publicidad, por ejemplo, aquellas que implican el seguimiento de personas a través de múltiples sitios web, ubicaciones, dispositivos, servicios de ¨data- brokering¨.[5]
La posibilidad de aplicar el interés legitimo en el caso de “targeting” sobre la base de datos observados, como tageting basado a la tecnología, llamada ¨pixeles¨ o el geo-targeting. Muchos de estos supuestos de ¨targeting¨ implican también el uso de la tecnología llamada ¨cookies¨ y por lo tanto, deben tenerse en cuenta los requisitos que se derivan del artículo 5, apartado 3, de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas y más concretamente, la obligación de proporcionar al sujeto información clara y completa, entre otras cosas sobre las finalidades del tratamiento antes de obtener su consentimiento. Además, cualquier tratamiento posterior de datos personales, incluidos los datos personales obtenidos por ¨cookies¨, ¨social plug-ins¨ o píxeles, también debe tener una base legal en virtud del artículo 6 del RGPD.
La posibilidad de aplicar el interés legitimo en el caso de “targeting” sobre la base de datos inferidos o datos derivados de los datos proporcionados por el interesado. Tal y como se menciona también en las Directrices de la CEPD, el ¨targeting¨ de usuarios de RRSS sobre la base de datos inferidos con fines publicitarios generalmente implica la elaboración de perfiles. Por lo tanto, para poder evaluar si es aplicable el interés legitimo como base legal para el tratamiento de datos, con carácter previo, el responsable debe evaluar si dicho tratamiento automatizado produce efectos jurídicos en el interesado o le afecta significativamente de modo similar. Si ese es el caso, entonces se aplicaría el derecho del interesado de no ser objeto de una decisión basada únicamente en dicho tratamiento automatizado, salvo si el responsable haya obtenido su consentimiento explicito o que se apliquen las otras excepciones del Art. 22 RGPD, entre los cuales no se encuentra el interés legitimo. Y aunque según la practica del Grupo de Trabajo del artículo 29 la decisión de hacer publicidad ¨targeting¨ basada a perfiles no afectará el interesado significativamente por lo general, este efecto podría producirse en ciertos casos, dependiendo, entre otros criterios, del nivel de intrusión del proceso de elaboración de perfiles, las expectativas y deseos de los interesados, la forma en la que se presenta la publicidad y el potencial uso del conocimiento sobre ciertas vulnerabilidades de los sujetos del tratamiento de datos a los que se dirige la publicidad.[6]
Veronika Dimova
2 de junio de 2021
[1] Guidelines 8/2020 on the targeting of social media users
[2] SENTENCIA DEL TRIBUNAL DE JUSTICIA (Sala Segunda) de 29 de julio de 2019 (*) En el asunto C?40/17, Fashion ID GmbH & Co. KG Y Verbraucherzentrale NRW eV
[3] Articulo 13 (1) ¨d¨ RGPD
[4] Article 29 Working Party Opinion 06/2014 on the concept of legitimate interests of the data controller under Article 7 of Directive 95/46/EC, WP217, 9 April 2014.
[5] Article 29 Working Party, Opinion on profiling and automated decision making
[6] Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679, WP251rev.01, p. 22
Veronika Dimova
- Abogada por la Universidad de Sofia
- Graduada en derecho por la Universidad Internacional de la Rioja
- Magister en Derecho de Propiedad Intelectual, Industrial y Nuevas Tecnologías por la Universidad Autónoma de Madrid
- Executive education en Privacidad, Seguridad y Ciberseguridad por IE Law School, Madrid
- Socia fundadora del despacho ADD Legal
