Directrices sobre tratamiento de datos basado en interés legítimo

El Comité Europeo de Protección de Datos (CEPD) ha publicado una primera versión de las Directrices 1/2024 sobre el tratamiento de datos personales basado en el interés legítimo del responsable del tratamiento (ex artículo 6.1.f) del Reglamento General de Protección de Datos (RGPD).

Estas Directrices analizan los criterios establecidos en el Artículo 6(1)(f) del RGPD que los responsables del tratamiento deben cumplir para llevar a cabo legalmente el tratamiento de datos personales que sea "necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero".

Uno de los primeros aspectos que resalta el CEPD es que el interés legítimo del responsable del tratamiento no debe ser tratado ni como un "último recurso" para situaciones raras o inesperadas en las que se considere que no son aplicables otras bases legales (ex artículo 6 RGPD), ni debe ser automáticamente elegido, o su uso indebidamente extendido, bajo la percepción de que el Artículo 6(1)(f) del RGPD es menos restrictivo que otras bases legales.

Las Directrices 1/2024 actualizan la Opinión 06/2014 sobre la noción de intereses legítimo del responsable del tratamiento de datos en virtud del artículo 7 de la Directiva 95/46/CE, del Grupo de Trabajo del Artículo 29 sobre Protección de Datos (GT29).

Desarrollo de una evaluación del interés legítimo

Si bien no supone una novedad respecto al criterio anteriormente publicado por el GT29 o por nuestros Tribunales, debe destacarse que la existencia e identificación de un interés legítimo no es en sí misma suficiente para invocar el artículo 6(1)(f) del RGPD como base jurídica.

En este sentido, el responsable del tratamiento solo puede basarse en esta base jurídica si también ha evaluado y concluido que el tratamiento previsto es estrictamente necesario para perseguir dicho interés legítimo y que los intereses o derechos y libertades fundamentales de las personas afectadas por el tratamiento de datos no prevalecen sobre el interés legítimo perseguido.

El análisis que los responsables lleven para valorar la aplicación del interés legítimo debe cubrir obligatoriamente los siguientes puntos:

I. La persecución de un interés legítimo por parte del responsable del tratamiento o de un tercero.

Como punto de partida debe analizarse si el interés perseguido es legítimo. Así, como recuerda el CEPD, no todos los intereses pueden considerarse legítimos.

Si bien no existe una lista exhaustiva de intereses que puedan considerarse como legítimos, tanto el RGPD como el TJUE han reconocido expresamente varios intereses como legítimos, tales como:

• tener acceso a información en línea       
• asegurar el funcionamiento continuo de sitios web de acceso público
• obtener la información personal de una persona que dañó la propiedad de alguien para demandar a esa persona por daños y perjuicios
• proteger la propiedad, la salud y la vida de los copropietarios de un edificio
• mejorar productos
• evaluar la solvencia crediticia de individuos

También, como recoge el Considerando 47 del RGPD, cuando hay una relación relevante y adecuada entre el interesado y el responsable del tratamiento, por ejemplo cuando el interesado es un cliente o está al servicio del responsable del tratamiento.

II. La necesidad de tratar datos personales para los fines del interés o intereses legítimos perseguidos.

Evaluar lo que es "necesario" implica determinar si, en la práctica, los intereses legítimos de tratamiento de datos perseguidos no pueden lograrse razonablemente con igual eficacia mediante otros medios menos intrusivos.

Si existen alternativas razonables, igualmente efectivas pero menos intrusivas, el tratamiento no puede considerarse "necesario". En este contexto, el TJUE ha recordado expresamente que la condición relativa a la necesidad del tratamiento debe examinarse en conjunto con el principio de "minimización de datos" consagrado en el Artículo 5(1)(c) del RGPD, de acuerdo con el cual los datos personales deben ser "adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados" (SSTJUE Meta v. Bundeskartellamt (ECLI:EU:C:2023:537), 4 de julio 2023, ap. 109; Asociatia de Proprietari bloc M5A-ScaraA (ECLI: EU: C:2019:1064), 11 de diciembre de 2019, ap. 48; Koninklijke Nederlandse Lawn Tennisbond (ECLI: EU: C:2024:857), 4 de octubre 2024, ap. 42-43 y 51-52)

El Tribunal también ha enfatizado que un tratamiento debe llevarse a cabo "solo en la medida en que sea estrictamente necesario" para los fines del interés legítimo identificado. Este requisito de estricta necesidad también se destaca, por ejemplo, en el Considerando 47 del RGPD, que establece que "[e]l tratamiento de datos personales estrictamente necesario para los fines de prevenir el fraude [...] constituye un interés legítimo del responsable del tratamiento en cuestión".

Adicionalmente, es notable que las Directrices 1/2024 afirmen que "en la práctica, generalmente es más fácil para un responsable demostrar la necesidad del tratamiento para perseguir sus propios intereses legítimos que para perseguir los intereses de un tercero". En la medida en que los responsables dependan de los intereses de terceros cuando utilicen la base legal de intereses legítimos, es probable que deban considerar este requisito de necesidad con especial cuidado.

III. Balance del interés legítimo con los intereses, derechos y libertades de los interesados.

Siempre que el interés perseguido por el responsable del tratamiento sea legítimo y el tratamiento sea necesario para los fines de dicho interés, la última condición que debe cumplirse para invocar el Artículo 6(1)(f) del RGPD como base jurídica es que el interés legítimo en cuestión no debe prevalecer sobre los intereses o los derechos y libertades fundamentales del interesado. Las Directrices 1/2024 enfatizan, nuevamente en consonancia con la jurisprudencia del TJUE, que esto requiere una evaluación caso por caso teniendo en cuenta varios factores, incluido el impacto del tratamiento en los interesados, sus expectativas razonables y las salvaguardas que el responsable ha implementado. Esta sección de las presentes directrices describe este tercer paso, denominado como la "prueba de equilibrio" o el "ejercicio de equilibrio".

Esta condición implica un equilibrio entre los derechos e intereses opuestos en cuestión, que depende en principio de las circunstancias específicas del caso particular. Además de la evaluación de la naturaleza legítima del interés perseguido por el responsable del tratamiento o por un tercero y del análisis de la necesidad del tratamiento, tal como se describe anteriormente, el responsable del tratamiento debe identificar y describir: i) los intereses, derechos fundamentales y libertades de los interesados; ii) el impacto del tratamiento en los interesados, incluyendo: (a) a naturaleza de los datos a ser tratados, (b) el contexto del tratamiento, y (c) cualquier consecuencia adicional del tratamiento de datos; iii) las expectativas razonables del interesado; y iv) el equilibrio final de los derechos e intereses opuestos, incluyendo la posibilidad de medidas adicionales de mitigación.

Sin embargo, la forma en que las presentes directrices estructuran la evaluación del equilibrio sugiere que hay un umbral más alto para depender de intereses legítimos que el establecido en la opinión del GT29. Así, a diferencia de la opinión 06/2014, (i) el CEPD no afirma expresamente que la fuerza de los intereses legítimos perseguidos por un responsable sea un factor relevante en la prueba de equilibrio; (ii) el CEPD también afirma que las medidas que un responsable ha tomado para cumplir con el RGPD no son relevantes, aunque esas medidas (por ejemplo, transparencia, el derecho a oponerse, períodos de retención cortos y medidas de seguridad) podrían claramente mitigar los impactos del tratamiento de datos en los interesados; y (iii) las Directrices 1/2024 indican que las medidas de transparencia no necesariamente ayudarán a un responsable a establecer las expectativas razonables de un interesado, y que simplemente porque el tratamiento de datos sea una práctica común no significa que esté dentro de sus expectativas razonables.

Como recuerda el CEPD, el propósito del ejercicio de equilibrio no es evitar por completo cualquier impacto en los intereses y derechos de los interesados. Más bien, su propósito es evitar un impacto desproporcionado y evaluar el peso de estos aspectos en relación entre sí.

Destacan también las directrices que, con la entrada en vigor del RGPD, muchas acciones que podrían haber sido consideradas para limitar el impacto del tratamiento de datos en los interesados, o que podrían haber sido consideradas medidas de mitigación bajo la Directiva 95/46/CE, son ahora obligaciones legales para el responsable del tratamiento de datos. Esto es crucial en la prueba de equilibrio, que presupone que el responsable del tratamiento ya cumple con los principios y obligaciones establecidos en el RGPD. Por lo tanto, las siguientes subsecciones, las directrices solo consideran acciones para limitar el impacto o medidas de mitigación cuando van más allá de lo que se exige al responsable del tratamiento según el RGPD.

El CEPD resalta que la evaluación debe realizarse al inicio del tratamiento de datos, con la participación del Delegado de Protección de Datos (DPD) (si ha sido designado), y debe ser documentada por el responsable del tratamiento en consonancia con el principio de responsabilidad establecido en el Artículo 5(2) del RGPD.

Relación entre el artículo 6.1.f) del RGPD y los derechos del interesado

Además de los anteriores aspectos, el responsable debe analizar el impacto que tiene el tratamiento amparado en el interés legítimo sobre los derechos de los interesados. Para ello, el CEPD proporciona orientaciones prácticas sobre cómo realizar la evaluación del impacto sobre la aplicación del tratamiento basado en el interés legítimo sobre los derechos de los interesados, en particular el derecho de oposición, el derecho de supresión y el derecho a no ser objeto de decisiones automatizadas. Además, se destaca la importancia de la transparencia y la obligación del responsable del tratamiento de informar claramente a los interesados sobre los intereses legítimos que se persiguen y cómo se han ponderado con sus derechos y libertades.

El alto umbral que existe para apreciar razones legítimas imperiosas que permitan rechazar objeciones al tratamiento bajo el Artículo 21 del RGPD.

El Artículo 21(1) del RGPD otorga a los interesados el derecho a oponerse a cualquier tratamiento de datos sobre la base de intereses legítimos "por motivos relacionados con su situación particular", y el responsable debe cesar el tratamiento de datos a menos que tenga "razones legítimas imperiosas" que prevalezcan sobre los derechos, libertades e intereses interesado.

Al respecto, las Directrices 1/2024 establecen que incluso si un interesado no detalla mucho sobre su situación particular, eso no es per se una razón para rechazar su objeción al tratamiento de datos (si el responsable tiene dudas sobre la "situación particular" del interesado, puede pedirle que la detalle). Asimismo, el CEPD dispone que, al realizar la "prueba de equilibrio" tras una objeción, el responsable solo puede tener en cuenta intereses legítimos "imperiosos", y no todos los intereses legítimos cumplirán este estándar. Los intereses deben ser "esenciales" para el responsable, por ejemplo, si el tratamiento es necesario para proteger al responsable o los sistemas de un "daño inmediato grave o de una sanción severa que afectaría seriamente su negocio".

Aplicación contextual del artículo 6.1.f) del RGPD

En la cuarta sección de las directrices, el CEPD analiza algunas de las aplicaciones prácticas más frecuentes del interés legítimo, proporcionando a los responsables del tratamiento indicaciones concretas para guiar sus evaluaciones.

• Marketing directo

En ausencia de definición en el RGPD, el TJUE lo ha definido como una forma de publicidad personalizada, caracterizada por el envío de comunicaciones promocionales directas e individualizadas. El mayor desafío en esta área radica en evaluar las expectativas razonables de los interesados, quienes podrían no esperar dicho tratamiento si no son adecuadamente informados: aunque el Considerando 47 del RGPD lo menciona explícitamente como un posible interés legítimo, el CEPD aclara que esta indicación no constituye una autorización general. La capacidad de basar las actividades de marketing directo en el interés legítimo requiere, de hecho, una evaluación detallada que considere la naturaleza de la actividad de marketing (distinguiendo entre formas más o menos intrusivas), el contexto de la relación con el interesado (por ejemplo, la existencia de una relación comercial previa) y las expectativas razonables de los interesados. Se debe prestar especial atención a las actividades de perfilado y seguimiento con fines de marketing, donde es poco probable que la prueba de equilibrio arroje un resultado positivo, especialmente cuando involucra el seguimiento de individuos a través de múltiples sitios web, dispositivos o servicios.

• La protección y seguridad de la red

El CEPD, recordando también el Considerando 49 del RGPD y el Considerando 121 de la Directiva NIS 2, reconoce que las medidas destinadas a garantizar un nivel adecuado de seguridad de la red pueden involucrar el tratamiento de datos personales y encontrar una base legal en el interés legítimo. Sin embargo, tal como lo aclaró el TJUE en el caso Meta v. Bundeskartellamt, es necesario verificar que el tratamiento sea realmente necesario para garantizar la seguridad de la red y que no existan medios menos invasivos para lograr el mismo objetivo. En este contexto, se debe prestar particular atención a las soluciones de seguridad que implican la inspección profunda de paquetes (deep packet inspection) u otras formas invasivas de análisis del contenido de las comunicaciones.

• La prevención del fraude

El CEPD reconoce que un proveedor de servicios puede tener un interés comercial legítimo en asegurar que sus clientes no abusen del servicio, un interés que puede coincidir con el de otros clientes y terceros en prevenir actividades fraudulentas. Sin embargo, las Directrices 1/2024 enfatizan que el tratamiento debe ser "estrictamente necesario" para este propósito, tal como se establece expresamente en el Considerando 47 del RGPD. Esto implica una evaluación rigurosa de la proporcionalidad del tratamiento y su duración, así como la adopción de las salvaguardias adecuadas. Los responsables también deben especificar el tipo de fraude que pretenden prevenir y los datos realmente necesarios para este propósito.

• Tratamiento para fines administrativos internos dentro de grupos de empresas

El Considerando 48 del RGPD reconoce que los responsables dentro de un grupo corporativo pueden tener un interés legítimo en transmitir datos personales dentro del grupo para fines administrativos internos. Esto incluye la transmisión de datos entre empresas del mismo grupo para fines como la gestión de recursos humanos, la contabilidad y la auditoría interna. Sin embargo, el CEPD reitera que esta disposición no proporciona un "cheque en blanco" para el intercambio de datos intra-grupo, sino que aún requiere una evaluación caso por caso de la necesidad del tratamiento y el equilibrio de intereses con los derechos de los interesados.

• Tratamiento por autoridades públicas

Las Directrices 1/2024 intentan proporcionar más claridad al respecto basándose en el RGPD y la sentencia en el caso Meta v Bundeskartellamt. En particular, el CEPD afirma que una entidad privada puede depender de intereses legítimos para "informar a las autoridades de cumplimiento de la ley sobre posibles actos delictivos o amenazas de los que ocasionalmente pueda tener conocimiento". Las directrices lo contrastan con "recolectar y almacenar datos personales de manera preventiva y sistemática específicamente para poder proporcionar dichos datos a las autoridades de cumplimiento de la ley".

Las Directrices 1/2024 también indican que un responsable podría, en algunos escenarios, tener un interés legítimo en divulgar datos personales en respuesta a solicitudes de una autoridad de cumplimiento de la ley o administración pública de un tercer país (es decir, fuera de la UE/EEE), "en particular si el responsable está sujeto a la legislación de un tercer país y el incumplimiento de dicha solicitud implicaría sanciones bajo la ley extranjera". Este análisis depende no obstante del contexto, ya que el CEPD reitera que, en el pasado, basándose en un conjunto específico de hechos, ha considerado que los intereses o derechos y libertades fundamentales del interesado prevalecen sobre el interés del responsable en cumplir con una solicitud de una autoridad de cumplimiento de la ley de un tercer país para evitar sanciones por incumplimiento.

Interacción con la normativa española

Las presentes directrices interactúan con normas españolas como la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI) o la Ley General de Telecomunicaciones (Lgtel). Estas leyes prevén el uso del interés legítimo para comunicaciones comerciales, siempre que se cumplan ciertos requisitos. Por ejemplo, la LSSI permite el envío de comunicaciones comerciales por medios electrónicos cuando existe una relación contractual previa y se han obtenido de manera lícita los datos de contacto del destinatario. Asimismo, la Lgtel establece que el tratamiento de datos personales para fines de marketing directo debe respetar los derechos de los interesados y proporcionarles la posibilidad de oponerse a dicho tratamiento en cualquier momento. En este contexto, es esencial que los responsables del tratamiento en España consideren tanto las directrices del CEPD como las disposiciones específicas de la LSSI y la Lgtel al evaluar la licitud del tratamiento de datos personales basado en el interés legítimo.

Conclusiones

El artículo 6.1.f) del RGPD proporciona una base legal para el tratamiento de datos personales cuando este es necesario para la satisfacción de intereses legítimos del responsable o de un tercero, siempre que no prevalezcan los intereses o los derechos y libertades fundamentales del interesado. Es crucial que los responsables del tratamiento realicen una evaluación cuidadosa y documentada de los intereses legítimos, de la necesidad del tratamiento y de la ponderación de los derechos y libertades del interesado. Además, se debe garantizar la transparencia y proporcionar información clara a los interesados sobre los intereses legítimos perseguidos y cómo se han ponderado con sus derechos y libertades.