En la normativa española vigente, a día de hoy, en materia de protección de datos, se enumeraban una serie de principios que, ostentando alguno de ellos, se legitimaba el tratamiento de los datos personales por parte del Responsable del Tratamiento.
En el nuevo Reglamento 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, vigente a día de hoy pero de aplicación obligatoria a partir de mayo de 2018 (en adelante, "RGPD"), se establecen, en su artículo 6, apartado 1º, una serie de legitimaciones, de tal forma que, basándose en cualquiera de ellas, el tratamiento que realice el Responsable, será legítimo. Los primeros cinco supuestos, no plantean mayor complejidad ya que, contienen los supuestos que, hasta el momento, veníamos aplicando con la normativa española, salvo ciertos matices o novedades que introduce el mismo (los cuales, por extensión del presente artículo, no trataremos): consentimiento expreso del interesado; existencia de un contrato o precontrato entre las partes; obligación de cumplir con un deber establecido legalmente; protección del interés vital, tanto del afectado como de terceras personas, y concurrencia de un interés público o ejercicio de poderes públicos por el Responsable del Tratamiento. Sin embargo, en la letra f) del citado artículo, se recoge un concepto abstracto y, que por el momento, ya ha presentado problemáticas en la práctica y ha sido objeto de diversas interpretaciones y debates: el "interés legítimo" del responsable o de terceros, siempre y cuando sobre el mismo no prevalezcan "los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales".
En primer lugar, es necesario destacar que la previsión introducida en el artículo 6.1.f) RGPD, no puede interpretarse, en ningún caso, como un cajón desastre al que acudir, en el supuesto de no poder basar la legitimación del tratamiento en el resto de supuestos. Pero, por el contrario, tampoco debe extenderse la aplicación del mismo, de tal forma que resulte la opción preferente a la que acudir. Esto es así ya que este fundamento, tiene su propia naturaleza y razón de ser, de tal forma que, aplicando correctamente el mismo, es necesario realizar el pertinente proceso de análisis en cada caso concreto. Es preciso abordar el mismo como un fundamento jurídico más, y no pecar por exceso o restricción de aplicación del mismo.
Hemos de indicar que el concepto de interés legítimo lleva implícita una ponderación de intereses contrapuestos, en el cual, han de tenerse presentes diferentes aspectos para llevarla a cabo correctamente. Tal ponderación tiene presente, por una parte, el interés legítimo del responsable del tratamiento o terceros, en relación con los intereses o derechos y libertades del interesado, conlleva una compleja evaluación que no consiste en una ponderación directa de ambos aspectos, sino que habrá que considerar múltiples factores y, finalmente realizar la apreciación final.
Para comenzar con el presente análisis, hemos de entender a qué nos referimos con el concepto de "interés". El mismo, no se refiere a un mero fin o finalidad del responsable, sino que va más allá, abordando una mayor implicación en el tratamiento que se trate, abarcando, por ejemplo, los beneficios que de tal tratamiento se puedan obtener, tanto por el responsable como por terceros. De igual manera, tal interés tiene que ser real y presente, no siendo válidos intereses teóricos, debe estar articulado de manera clara para facilitar la realización de la ponderación anteriormente citada, y ser necesariamente legítimo, es decir, que el tratamiento se realice de acuerdo a la legislación aplicable, tanto en materia de protección de datos como de la restante normativa que sea de aplicación. Como punto de partida, hemos de recordar que, en el supuesto de no tratarse de un interés legítimo, no será necesario siquiera realizar el análisis o ponderación que abordamos en el presente escrito.
En el otro extremo, el RGPD se refiere a "intereses o derechos y libertades de los interesados", lo cual debemos interpretarlo en un sentido amplio, sin que debamos únicamente apreciar sus intereses legítimos, sino la totalidad de los intereses, lo cual debe interpretarse de forma que, en los casos en los que un interesado haya cometido un delito, deberán también tenerse en cuenta sus intereses, y que el interés legítimo del responsable no prevalezca sobre los del interesado, a pesar de que los intereses de éste último no sean legítimos.
La primera consideración a tener en cuenta es que, el Reglamento, al aludir el interés legítimo del responsable, descarta la aplicación de tal fundamento para los tratamientos realizados por las autoridades públicas y, por otra parte, incluye en el mismo el interés de terceros que no sean el Responsable, a los que se comunique tales datos, los cuales podrán ser un factor que ayude a ponderar la importancia o relevancia de ambos lados de la balanza. El Grupo de Trabajo del Artículo 29, en su Dictamen 06/2014 sobre el concepto del interés legítimo del responsable del tratamiento de los datos en virtud del artículo 7 de la Directiva 95/46/CE, ya articuló una serie de ejemplos en los que se podría apreciar un interés legítimo perseguido por terceros, los cuales procedo a enumerar de manera ejemplificativa: publicación de datos con fines de transparencia y responsabilidad; investigación histórica u otro tipo de investigación científica, e interés público general o interés de un tercero.
Del mismo modo, ha de tenerse presente, con carácter previo a involucrarse en la ponderación de los intereses que, el tratamiento de datos que analizamos, tiene que ser necesario para satisfacer el interés legítimo y que no existen medios menos intrusivos para lleva a cabo el mismo tratamiento. Para la resolución de esta cuestión, se deberían realizar, previamente, los correspondientes estudios o análisis de proporcionalidad de las medidas o tratamientos que pretendemos implantar.
Para abordar la ponderación de los intereses y concluir si realmente existe un interés legítimo que pueda considerarse fundamento suficiente para el tratamiento de los datos, deben tenerse en cuenta estos cuatro factores: la evaluación del interés legitimo del responsable (y de terceros); el impacto del tratamiento sobre los interesados; el equilibrio entre los dos anteriores, y, por último, las garantías adicionales que se apliquen a tales tratamientos.
A pesar de ya haber tratado previamente el interés legítimo del responsable, o de terceros, parecen necesarias varias matizaciones que puedan clarificar la evaluación del mismo. Éste, puede entrar en conflicto con una lista muy variada y amplia de derechos fundamentales por lo que, para que prevalezca, deberá ser necesario y proporcionado. Del mismo modo, será necesario tener en cuenta los intereses de la comunidad en general o, incluso, intereses públicos o privados, los cuales, pueden facilitar que éste prevalezca sobre el de los afectados. Del mismo modo, puede ganar más peso en los supuestos en los que, no exista normativa de obligado cumplimiento, sino que se hayan dictado directrices no vinculantes para el responsable, que éste adopte voluntariamente.
Una vez consideradas las citadas circunstancias, así como cualesquiera otras que puedan ser de relevancia en el supuesto concreto, deberemos proceder con el análisis del "interés o derechos y libertades del interesado". Su estudio y ponderación precisará de un análisis casuístico, sin que se pueda generalizar el mismo para todos los tratamientos realizados, dadas las peculiaridades de cada supuesto concreto, atendiendo a las siguientes condiciones:
1. Evaluación del impacto: comprende las consecuencias, tanto positivas como negativas, reales o potenciales, en cualquier ámbito, ya que no se circunscribe únicamente a los resultados en materia de violación de los datos personales, sino que va más allá, comprendiendo, acciones, decisiones de terceros, resultados emocionales, daños reputacionales,… En este aspecto, se valora como criterios tanto la probabilidad de que cada uno de los riesgos se materialice, así como la gravedad de las consecuencias de tales materializaciones.
2. Naturaleza de los datos: no es nada novedoso que no debemos realizar una ponderación similar en el supuesto de que las consecuencias se plasmen en datos sensibles o en datos de nivel bajo, ya que en el supuesto de los primeros, acarrearán unas consecuencias más perjudiciales y afectarán en mayor medida a los intereses, derechos y libertades de los afectados.
3. Forma de tratamiento de los datos personales: en cuanto a este aspecto, habrá que tener en cuenta si, por ejemplo, tales datos personales han sido ya revelados al público, a pesar de que sea un público específico y reducido, o si los datos personales objeto del tratamiento se combinan con otro tipo de datos personales.
4. Expectativas de los interesados: las expectativas de los interesados es un criterio que aporta cierta claridad y valor en este razonamiento, ya que ello dependerá de la actividad en la que se realice el tratamiento, de las posiciones en las que se encuentre cada una de las partes, así como las obligaciones a las que se encuentren sujetas las mismas, obligaciones tanto jurídicas como contractuales.
5. Posición de las partes: atendiendo a las circunstancias específicas del caso ante el que nos encontremos, las partes se verán en diferentes posiciones, en lo cual influye, del mismo modo, el tamaño de la organización por ejemplo, alterando tales circunstancias, la posición dominante del responsable. Del mismo modo, puede que un mismo tratamiento merezcan varios exámenes diferentes, en función del colectivo de interesados de los que se traten datos, ya que, en principio, el análisis deberá realizarse partiendo de la base de que los interesados se encuadran en un perfil medio. Sin embargo, tal análisis variará y, en consecuencia, su resultado en función de que en tales tratamientos se vean involucrados menores o sectores vulnerables.
Una vez considerados la totalidad de los anteriores criterios mencionados, llegamos a una ponderación que deberíamos considerar provisional, es decir, que tal resultado se daría en el supuesto de que el responsable no aplicara ningún tipo de medida o garantía adicional en el tratamiento. Hemos de señalar que, el resultado obtenido hasta este punto, nos puede ayudar, del mismo modo, a tomar decisiones y abordar el modo de mitigar los riesgos a los que se ven expuestos los datos que pretendemos tratar.
Por lo que, la última actuación a realizar será valorar los riesgos y consecuencias en función de las garantías adicionales que se encuentren adoptadas por el responsable, es decir, considerar cómo tales garantías mitigan las consecuencias negativas en los interesados y, así, inclinen la balanza hacia uno u otro lado. Entre ellas, por ejemplo, especial mención requieren las medidas y técnicas de cifrado que eviten la identificación directa. Sin embargo, no hemos de entrar en confusión a este respecto ya que, el hecho de que los datos personales no sean directamente identificables, no implicará una conversión de un tratamiento ilegítimo en legítimo como tampoco una mitigación total del riesgo.
La aplicación de medidas adicionales posteriores requerirá un nuevo análisis, ya que, en principio, cuantas mayores garantías aportemos, menor será el impacto o consecuencias en los interesados y mayor la prevalencia del interés del responsable o de los terceros.
Ligado a ello, el derecho de oposición a ejercitar por los interesados es considerada una medida adicional a tener en cuenta una vez que, justificado y fundamentado el interés legítimo, se permite al interesado oponerse a tal tratamiento en atención a su situación particular, lo cual deberá ser justificado, salvo en los supuestos de prospección comercial. A esto, se adicionan la existencia de una cláusula de oposición para los interesados más amplia, sin necesidad de justificar circunstancias específicas, así como la posibilidad de portabilidad de tales datos que se tratan por el responsable. Tales medidas, aportan un valor adicional y transmiten a los interesados mayor seguridad y transparencia al proceso.
Sería conveniente que la totalidad del proceso quedara debidamente fundamentado y expuesto por escrito, de manera detallada, en aras a defender tal interés legítimo, dar transparencia y seguridad jurídica a los interesados de los tratamientos que se traten, así como revisar y verificar el cumplimiento y adecuación de tal examen siempre que sea necesario. Es un modo de transmitir los principios de responsabilidad y transparencia a los interesados, y que éstos puedan entender el juicio en virtud del cual los responsables consideran que prima su interés legítimo sobre los intereses o derechos y libertades de los interesados.
Para concluir con el presente estudio sobre la ponderación de los intereses de las partes, solo cabe mencionar que, el interés legítimo, como uno más de los fundamentos para la legitimación del tratamiento, no ha de considerarse como una última opción a la que aferrarse, pues no es ese el fin que se persigue la naturaleza del mismo. De ahí la necesidad de llevar a cabo un razonamiento y fundamentación extensa y costosa, atendiendo a las circunstancias y peculiaridades de cada tratamiento de datos. Sin embargo, como contrapartida, no se considera como una imposición por parte de la legislación aplicable o del responsable, sino que puede aportar un valor adicional a tal procedimiento, impulsando el acercamiento entre el responsable y los interesados, siempre y cuando éste se lleve a cabo correctamente, se fundamente y se propicie la transparencia. De esta forma, los interesados podrán comprender y verificar la prevalencia de los intereses legítimos del responsable y, en caso de no aceptar o compartir tales fundamentaciones, oponerse, en último caso, a los mismos.