Interés legítimo como base jurídica para el tratamiento de datos de carácter personal conforme al RGPD y a la LOPDGDD

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 07/02/2019

El interés legítimo de un responsable del tratamiento, incluso el de un responsable al que se puedan comunicar datos personales, o de un tercero, puede constituir una base jurídica para el tratamiento, siempre que no prevalezcan los intereses o los derechos y libertades del interesado, teniendo en cuenta las expectativas razonables de los interesados basadas en su relación con el responsable (art. 6 RGPD).

Tal interés legítimo podría darse, por ejemplo, cuando existe una relación pertinente y apropiada entre el interesado y el responsable, como en situaciones en las que el interesado es cliente o está al servicio del responsable. En cualquier caso, la existencia de un interés legítimo requeriría una evaluación meticulosa, inclusive si un interesado puede prever de forma razonable, en el momento y en el contexto de la recogida de datos personales, que pueda producirse el tratamiento con tal fin. En particular, los intereses y los derechos fundamentales del interesado podrían prevalecer sobre los intereses del responsable del tratamiento cuando se proceda al tratamiento de los datos personales en circunstancias en las que el interesado no espere razonablemente que se realice un tratamiento ulterior.

La satisfacción del interés legítimo como situaciones que permiten el tratamiento lícito de los datos, es la excepción que mayor indeterminación suscita, ya que podría recurrirse a dicha excepción como "cajón de sastre", es por esto que el RGPD nos propociona algunos ejemplos en sus Considerando, sobre cuándo podríamos encontramos ante un interés legítimo por parte del responsable:

- El tratamiento de datos de carácter personal estrictamente necesario para la prevención del fraude constituye también un interés legítimo del responsable del tratamiento de que se trate.

- Tambien el tratamiento de datos personales con fines de mercadotecnia directa puede considerarse realizado por interés legítimo.

- Los responsables que forman parte de un grupo empresarial o de entidades afiliadas a un organismo central pueden tener un interés legítimo en transmitir datos personales dentro del grupo empresarial para fines administrativos internos, incluido el tratamiento de datos personales de clientes o empleados. Los principios generales aplicables a la transmisión de datos personales, dentro de un grupo empresarial, a una empresa situada en un país tercero no se ven afectados.

- Igualmentel el Considerando 49, indica que "constituye un interés legítimo del responsable del tratamiento interesado el tratamiento de datos personales en la medida estrictamente necesaria y proporcionada para garantizar la seguridad de la red y de la información, es decir la capacidad de una red o de un sistema información de resistir, en un nivel determinado de confianza, a acontecimientos accidentales o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos personales conservados o transmitidos, y la seguridad de los servicios conexos ofrecidos por, o accesibles a través de, estos sistemas y redes, por parte de autoridades públicas, equipos de respuesta a emergencias informáticas (CERT), equipos de respuesta a incidentes de seguridad informática (CSIRT), proveedores de redes y servicios de comunicaciones electrónicas y proveedores de tecnologías y servicios de seguridad. En lo anterior cabría incluir, por ejemplo, impedir el acceso no autorizado a las redes de comunicaciones electrónicas y la distribución malintencionada de códigos, y frenar ataques de «denegación de servicio» y daños a los sistemas informáticos y de comunicaciones electrónicas".

 

La indicación de posibles actos delictivos o amenazas para la seguridad pública por parte del responsable del tratamiento y la transmisión a la autoridad competente de los datos respecto de casos individuales o casos diversos relacionados con un mismo acto delictivo o amenaza para la seguridad pública debe considerarse que es en interés legítimo del responsable. Con todo, debe prohibirse esa transmisión en interés legítimo del responsable o el tratamiento ulterior de datos personales si el tratamiento no es compatible con una obligación de secreto legal, profesional o vinculante por otro concepto.

Dado que corresponde al legislador establecer por ley la base jurídica para el tratamiento de datos personales por parte de las autoridades públicas, esta base jurídica no debe aplicarse al tratamiento efectuado por las autoridades públicas en el ejercicio de sus funciones.

Con respecto a las transferencias, cuando no haya garantías adecuadas o una decisión de adecuación, únicamente se realizará cuando se realice desde un registro público que tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero sólo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta. Pero ha de tenerse en cuenta que no abarcará la totalidad de los datos personales ni categorías enteras de datos personales contenidos en el registro, además no debe ser repetitiva y deberá afectar a un número limitado de interesados. Si la finalidad del registro es la consulta por parte de personas que tengan un interés legítimo, la transferencia solo se efectuará a solicitud de dichas personas o si estas han de ser las destinatarias.

En cuanto a las Evaluaciones de impacto, cabe recordar que la misma deberá incluir junto con el resto de puntos indicados, y cuando proceda, el interés legítimo perseguido por el responsable del tratamiento.

* Hay que especificar y documentar los intereses legítimos en que se fundamentan las operaciones de tratamiento en casos como las Evaluaciones de Impacto o en determinadas transferencias internacionales.

Finalmente la LOPDGDD en el Título IV recoge las «Disposiciones aplicables a tratamientos concretos», incorporando una serie de supuestos que en ningún caso debe considerarse exhaustiva de todos los tratamientos lícitos. Dentro de ellos cabe apreciar, en primer lugar, aquellos respecto de los que el legislador establece una presunción «iuris tantum» de prevalencia del interés legítimo del responsable cuando se lleven a cabo con una serie de requisitos, lo que no excluye la licitud de este tipo de tratamientos cuando no se cumplen estrictamente las condiciones previstas en el texto, si bien en este caso el responsable deberá llevar a cabo la ponderación legalmente exigible, al no presumirse la prevalencia de su interés legítimo.

Igualmente, la D.A. 10ª de la nueva Ley Orgánica establece que los órganos constitucionales, jurisdiccionales, Administraciones Públicas, organismos públicos, autoridades administrativas independientes, etc (los responsables enumerados en el art. 77.1 de la Ley) podrán comunicar los datos personales que les sean solicitados por sujetos de derecho privado cuando cuenten con el consentimiento de los afectados o aprecien que concurre en los solicitantes un interés legítimo que prevalezca sobre los derechos e intereses de los afectados.

No hay versiones para este comentario

Interés legitimo
Datos personales
Tratamiento de datos personales
Responsable del tratamiento
Agrupaciones de empresas
Comunicación electrónica
Proveedores
Derechos fundamentales
Amenazas
Fraude
Daños y perjuicios
Presunción iuris tantum
Actividades de tratamiento de datos
Organismos públicos
Pertenece al Grupo

Documentos relacionados
Ver más documentos relacionados
  • Contenido y metodología de la Evaluación de impacto según el RGPD

    Orden: Administrativo Fecha última revisión: 04/02/2019

    A la hora de realizar una EIPD, se debe disponer de una metodología que considere los requerimientos exigidos por el RGPD que a grosso modo establece que deberá incluir como mínimo:Una descripción sistemática de la actividad de tratamiento previ...

  • Principio de licitud en el RGPD y en la LOPDGDD

    Orden: Administrativo Fecha última revisión: 21/01/2019

    Como se deduce de la literalidad del articulo 6 del RGPD, el denominado "principio de licitud" se encuentra referenciado junto con los principios de transparencia y lealtad. Ahora bien, esta reseña unificada no impide que pueda ser objeto de anális...

  • Condiciones aplicables al consentimiento en materia de protección de datos

    Orden: Administrativo Fecha última revisión: 30/01/2019

    Atendiendo a lo expuesto en el tema general sobre el consentimiento, cabe preguntarse ¿cómo debe prestarse ese consentimiento para entender que pueda constituir una base legal que ampare el tratamiento de datos y que –en consecuencia- pueda consi...

  • Consentimiento de los interesados en materia de protección de datos

    Orden: Administrativo Fecha última revisión: 28/01/2019

    El "consentimiento del interesado" es definido por el RGPD en su artículo 4.11 como "toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción af...

  • Responsabilidad del Responsable del tratamiento de datos en el RGPD y en la LOPDGDD.

    Orden: Administrativo Fecha última revisión: 30/01/2019

    La regulación de la responsabilidad del Responsable del Tratamiento se contempla en el artículo 24 del RGPD, así como en el artículo 28 de la LOPDGDD. Las obligaciones impuestas por el RGPD a los responsables del tratamiento de los datos se pone...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados