Dictamen del Grupo del Artículo 29 sobre tratamiento de datos basados en el interés legítimo.

Publicado el 8 de julio de 2014 por Francisco Javier Sempere
1 Comentario

El Tribunal de Justicia de la Unión Europea, al resolver una cuestión prejudicial planteada por el Tribunal Supremo, dictaminó a finales del año 2011 la aplicación directa del artículo 7 f) de la Directiva 95/46, en virtud del cual, puede producirse el tratamiento de datos personales siempre y cuando sea necesario para obtener un interés legítimo para el responsable o terceros y no se perjudiquen los derechos y libertades del interesado o afectados.

Este nuevo informe del Grupo del Artículo 29, que aglutina a las Autoridades de Control de la Unión Europea, analiza la aplicación del artículo 7 de la citada Directiva, y más concretamente, ese apartado 7 f), con el objeto de aclarar cuando el tratamiento de datos personales está legitimado, en base a la aplicación del mencionado precepto, teniendo en cuenta, además, que en los estudios que ha realizado la Comisión Europea sobre la transposición de la Directiva, han mostrado que hay una falta de armonización a la hora de interpretar este precepto.

Para entender mejor este Dictamen del Grupo, se hace necesario transponer el artículo 7 de la Directiva 95/46 establece lo siguiente:

Los Estados miembros dispondrán que el tratamiento de datos personales sólo pueda efectuarse si:
a) el interesado ha dado su consentimiento de forma inequívoca, o
b) es necesario para la ejecución de un contrato en el que el interesado sea parte o para la aplicación de medidas precontractuales adoptadas a petición del interesado, o
c) es necesario para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento, o
d) es necesario para proteger el interés vital del interesado, o
e) es necesario para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido al responsable del tratamiento o a un tercero a quien se comuniquen los datos, o
f) es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva.

El interés legítimo.

En primer lugar, se debe analizar que se entiende por “interés” así como por “legítimo”, que van a permitir el tratamiento de datos por parte del responsable o terceros. Para el Grupo, el “interés” está relacionado, aunque es diferente, con el concepto de “finalidad” que regula el artículo 6 de la Directiva. Así, la “finalidad” es el motivo por el cual los datos personales son tratados, mientras que el “interés legítimo” supone el beneficio que puede obtener el responsable, o incluso la sociedad, cuando realice el tratamiento de datos. Por ejemplo, una empresa debe tener interés en asegurar la salud de sus trabajadores que realizan sus funciones en una planta nuclear, para lo cual, deberá tratar datos de salud de los mismos implementando procedimientos que aseguren un adecuado control y tratamiento de este tipo de datos.

En este sentido, el “interés” debe ser claro, de manera que permita realizar el “balance de intereses” en relación con los derechos y libertades fundamentales de los afectados, real y presente, además de estar relacionado con los objetivos y finalidades del responsable.

En ocasiones, este “interés” está estrechamente vinculado al interés que busca la colectividad, como sería el caso de publicar datos relacionados con la corrupción o investigaciones científicas (en este último aso siempre que se hayan adoptado medidas de salvaguarda respecto a los afectados). En otras, nos podemos encontrar que lo que existe es un “interés” económico de una compañía por conocer sus clientes potenciales.

En segundo lugar, habrá que determinar si el “interés” del responsable es “legítimo”, o por el contrario, “ilegítimo”, para lo que el Grupo del Artículo 29 ofrece la siguiente lista de supuestos (esta lista no es cerrada):

– Ejercicio de los derechos fundamentales de libertad de expresión e información;
– Marketing directo;
– Envío de mensajes no comerciales (por ejemplo, para campañas políticas o de beneficencia);
– Tratamiento de datos para fines históricos, científicos, estadísticos o de investigación (incluye también la investigación en el campo del marketing);
– Prevención de fraude o blanqueo de capitales;
– Tratamiento de datos
– Seguridad (redes, IT);
– Cumplimiento de solicitudes que tengan base legal, incluyendo el cobro de deudas por vía no judicial;
– “Whistle-blowing”;
– Monitorización de los empleados por razones de seguridad.

No obstante lo anterior, se debe precisar lo siguiente: el hecho de que el responsable tenga un “interés legítimo” no supone la aplicación efectiva del artículo 7 f) de la Directiva, ya que como hemos indicado antes, debe procederse al “balance de intereses” con los derechos y libertades fundamentales de los afectados. Por ejemplo, una empresa puede tener “interés legítimo” en conocer las preferencias de sus clientes para ofrecerles productos y servicios, pero esto no significa que pueda recoger datos personales de los mismos sin su conocimiento para elaborar perfiles.

Asimismo, el Grupo realiza dos precisiones para completar el concepto de “interés legítimo”:

– La redacción actual del artículo 7 f) de la Directiva no distingue entre responsable privado o público, y en cambio, en la Propuesta de Reglamento, en el artículo 6 (1)(f), se ha excluido al sector público, debido a que el tratamiento de datos por las Administraciones públicas debe tener siempre base legal.
– El artículo 7 f) permite que ese “interés legítimo” no sólo sea del responsable sino también de un tercero. Por ejemplo, en los casos de publicación de datos por motivos de transparencia y “accountability” (salarios de directivos de una empresa), tratamiento de datos para fines históricos o científicos, o que incluso, exista un “interés general” (prevención de blanqueo de capitales o lucha contra la pornografía infantil); todo ello, sin perjuicio, de que se respeten los límites del citado artículo 7 f).

¿Cómo se realiza el “balance de intereses”?

Hemos mencionado ya en este “post”, que el hecho de que el responsable o tercero tenga un “interés legítimo” para el tratamiento de datos personales no supone la aplicación inmediata del artículo 7 f), ya que hay que confrontar este interés con los derechos y libertades públicas de los afectados (incluyendo la posibilidad de minimizar el impacto sobre la privacidad de éstos).

Para ello, y antes de analizar los elementos de este “balance”, el Grupo expone tres ejemplos:

– Compra de una pizza a través de una web, y días después, el particular recibe unos cupones de descuentos para futuras compras. Para ello, la empresa ha limitado el uso de los datos a lo mínimo (identificativos y la tarjeta de crédito), la publicidad se recibe off-line, y te puedes dar fácilmente de baja de la web. Por lo tanto, sería una actividad realizada para el amparo del artículo 7 f).

– La situación es la misma que en el caso anterior, pero los datos se combinan con las compras en un supermercado on-line que es de la misma empresa donde se ha comprado la pizza. Es decir, se realiza un tratamiento de sus preferencias para ofrecerle publicidad que no sólo se recibe off-line, sino también on-line. También se utilizan los datos de geolocalización del móvil, y mediante un software de análisis de todo, se sabe perfectamente los momentos y lugares en los que puede realizar compras con los precios más altos. Para determinar si sería posible aplicar el “interés legítimo”, hay que tener en cuenta la cantidad de datos que se están recabando así como que se está “espiando” todo lo que esta persona hace. De esta forma, se considera que no tendría amparo en el artículo 7 f), y que en todo caso, sería necesario el consentimiento previo con una adecuada política de información y transparencia.

– La empresa donde se compran las pizzas, vende los datos de hábito de consumo a una compañía de seguros que usa estos datos para actualizar sus pólizas. Estamos ante el supuesto de si el tercero, la compañía de seguros, tendría un “interés legítimo” para tratar los datos. La respuesta es negativa, puesto que una persona que encarga pizzas on-line ni por asomo puede imaginarse que sus datos acaben en otra empresa para la finalidad citada, Además, no debemos perder de vista la posible utilización de los datos de salud (por un tercero), sobre los cuales la normativa de protección de datos ha establecido un régimen jurídico especial y restrictivo de uso.

¿Qué factores debemos tener en cuenta para realizar el “balance de intereses”?

Esta ponderación deber llevarse a cabo analizando lo siguiente:

a.- Especificar el interés legítimo del responsable o tercero.

• Incidencia de otros derechos fundamentales.

Por ejemplo, la libertad de información a la hora de publicar los medios de comunicación, lo cual no quiere decir que puedan afectar a la totalidad de la vida privada de personajes públicos.

• Existencia de un interés general.

Además, de esta generalidad, o de un interés que afecte a parte de la colectividad, puede concurrir un interés comercial privado con uno de carácter público, como el caso de la lucha contra el fraude financiero.

•  Otros intereses legítimos.

Serían casos que estarían cercanos a la posible aplicación de otros apartados del artículo 7, concretamente las letras b (contrato), c (obligación legal), y e (poder e interés público). Por ejemplo, un tratamiento de datos que no fuese estrictamente necesario, pero sí relevante para la ejecución de un contrato.

•  Interés legítimo reconocido legal, social y culturalmente.

b.- Derechos y libertades públicas de los afectados.

• Análisis del impacto.

Se trata de valorar cómo afectaría el tratamiento de datos en los derechos y libertades tanto positiva como negativamente, incluyendo en este último caso sí podrían producirse efectos perniciosos para los afectados como la difamación o la pérdida de reputación. También hay que tener en cuenta el medio sobre el que se va a realizar el tratamiento: por ejemplo, en Internet o un intercambio de datos a países de fuera de la Unión Europea tiene mayores riesgos negativos.

• Tipo de datos.

No es lo mismo que el tratamiento se vaya a realizar sobre datos identificativos que sobre datos especialmente protegidos, biométricos, genéticos y de localización. Así, el Grupo considera que como regla general no pueden tratarse los datos biométricos con fines de seguridad en base al criterio del interés legítimo. Sí admite el uso de la huella o del iris para la mencionada finalidad siempre que se trate, por ejemplo, de un laboratorio donde se realicen investigaciones sobre virus o enfermedades de alto riesgo.

•  La forma de tratamiento.

En base a este criterio, se tendría en consideración, para la posible no aplicación del criterio del interés legítimo, si los datos van a ser publicitados, o que puedan acceder a los mismos un gran número de personas, o si se trata de un tratamiento a gran escala que va a permitir el cruce de datos de manera que se puedan crear perfiles individuales. Por ello, el Grupo recomienda que cuando sea posible, se realice previamente un PIA (Privacy Impact Assessment/ lo hemos tratado en este Blog), para minimizar los efectos negativos, o en su caso, adoptar medidas alternativas menos invasivas y que permitan obtener el mismo resultado que el buscado inicialmente.

• Las expectativas del afectado.

Siempre y cuando sean razonables, es decir, lo que espera el afectado en relación con el tratamiento de sus datos personales, como podría ser un cumplimiento estricto de la confidencialidad y un uso muy limitado del tratamiento ofrecido por parte del responsable.

• La relación entre el responsable y el afectado.

Dependerá si el responsable es una PYME, una multinacional o una Administración pública, ya que su posición de supremacía sobre el afectado puede ser mayor o no. Por ejemplo, una multinacional estaría en una posición más ventajosa para poder aplicar el criterio del “interés legítimo”.
Asimismo, también es relevante la condición del afectado, por ejemplo, si son menores de edad o personas minusválidas.

c.- Balance provisional de intereses.

El Grupo considera que, una vez que se ha realizado el estudio sobre los elementos que hemos descrito anteriormente, es posible que sea necesario una nuevo, en el cual se limiten aún más los posibles impactos negativos sobre los afectados.

d.- Medidas adicionales de salvaguarda.

Consistiría en adoptar medidas que no necesariamente son de obligado cumplimiento por la Directiva 95/46, sino que vendrían dadas por situaciones concretas del tratamiento de datos, o bien están contempladas en la Propuesta de Reglamento de Protección de Datos de la Unión Europea. Entre ellas:

– Privacidad por diseño y por defecto;
– PIA (Privacy Impacta Assessment);
– Técnicas de anonimización de datos;
– Mayor transparencia;
– Portabilidad;
– Cumplimiento de un sistema estricto de opt-out;

e.- Otros elementos a considerar.

Además lo descrito anteriormente, el Grupo estima que, en muchas ocasiones, para la posible aplicación del criterio del interés legítimo, existen tres elementos cruciales que se deben tomar en cuenta:

•  “Accountability” y transparencia.

El análisis que debe realizar con carácter previo, el responsable, sobre la existencia del interés legítimo y cómo afectaría a los derechos y libertades de los afectados, forma parte de su “Accountability”, debiendo por ello documentarlo.
Este principio de la “Accountability” del responsable, está ligado además, al principio de transparencia, de forma que el responsable expliqué de la manera más sencilla y precisa a los afectados, la razón por la que considera que prevalece su interés legítimo en el tratamiento de datos. Asimismo, de esta forma se permitiría que los afectados, en su caso, puedan ejercitar mejor los derechos ARCO.

• Derecho de oposición del afectado y opt-out.

En el caso de que se decida el tratamiento de datos personales, no es óbice para que el afectado pueda ejercitar el derecho de oposición a este tratamiento, si bien deberá alegar justa causa al respecto. El ejercicio de este derecho permitirá una nueva evaluación de la aplicación del interés legítimo en relación con los derechos y libertades públicas del afectado.
Asimismo, para el Grupo, el ejercicio del derecho de oposición se puede completar con la posibilidad de que el responsable ofrezca, cuando sea posible, un sistema de consentimiento basado en el opt-out, ya que es más amplio que el citado derecho.

• Derecho a la portabilidad de los datos.

Supondría potenciar los derechos ARCO de los afectados, incluyendo también el derecho a la portabilidad de sus datos, que sería beneficioso no sólo para la protección de datos sino también a nivel competitivo entre las empresas.

Supuestos prácticos sobre la aplicación del interés legítimo.

El Dictamen del Grupo del Artículo 29 finaliza con una serie de ejemplos en los que se analiza si es posible el tratamiento de datos o no al amparo del artículo 7 f). Algunos de ellos son los siguientes:

a.- Sobre el derecho a la información y transparencia:

• Cargo político que ha nombrado a su hija como asesora.

La noticia aparece en la prensa, y prevalecería el derecho de información frente al derecho a la privacidad del político, que al ser cargo público, lo tiene más limitado en la esfera de su puesto de trabajo.

• Hemeroteca de periódico on-line en los que aparece noticia sobre un delito cuya pena ya se ha cumplido.

Al realizar la búsqueda del particular en los buscadores, uno de los primeros resultados que aparece es la citada noticia, debido a que el particular era bastante conocido en su municipio. Se trataría de un caso en que se puede ejercitar el derecho de oposición al que nos hemos referido anteriormente.

b.- Marketing.

• Envío de publicidad de productos similares.

Una empresa utiliza los datos de contacto para ofertar productos nuevos que sean parecidos a los que se han comprado. Entraría dentro de las expectativas de los clientes en el sentido de que les ofrezcan este tipo de productos que pueden entrar en sus preferencias. Además, se permite el derecho de oposición, y los datos son meramente identificativos.

• Farmacia on-line que elabora perfiles.

Para ello, utiliza no sólo los diferentes productos comprados sino también las medicinas que han adquirido sus clientes. Esta actividad no estaría amparada por el artículo 7 f), ya que se trata de datos de salud, y es demasiado intrusivo. Una alternativa sería solicitar el consentimiento previo.

c.- Envío de información no comercial sin consentimiento.

• Propaganda política.

Uso del censo para el envío de información con carácter previo a la celebración de unas elecciones. Si bien se permite esta actividad, debe estar regulada por la legislación de cada Estado miembro.

• ONG que recaba información de usuarios de las redes sociales.

Esta organización se dedica a elaborar perfiles (por ejemplo, usando los “me gusta”) para posteriormente enviar información sobre sus actividades. No sería de aplicación el artículo 7 f), debido a la falta de transparencia y a la gran cantidad de datos recabados. Al igual que un caso anterior que ya hemos citados, se podría solucionar solicitando el consentimiento previo.

d.- Cobro de créditos y deudas.

• Comprador que se niega a pagar.

Ha contratado la renovación de una cocina, pero no está de acuerdo con la calidad del trabajo realizado. La empresa comunica a su abogado los datos del comprador para que le requiera el pago y puedan llegar a un acuerdo. Esta comunicación estaría amparada en el artículo 7 b) de la Directiva 95/46 (existencia de un contrato). En el caso de ceder los datos a una empresa de recobro habría que valorar la aplicación del artículo 7 f) que habilitase dicha cesión.

• Desaparece el comprador a crédito de un coche.

La empresa afectada contrata a un tercero (empresa de recobro) para que recabe toda la información posible del cliente usando métodos intrusivos como grabaciones de vídeo y de escuchas encubiertas. El uso de estos métodos no estaría habilitado por el artículo 7 f). Sí lo estaría si los datos que la empresa hubiese comunicado al tercero fuesen meramente identificativos o de contacto del cliente.

e.- Prevención del fraude y lucha contra el blanqueo de capitales.

• Comprobación de los datos de un cliente antes de abrir una cuenta bancaria.

Es un supuesto claro de interés legítimo del responsable, siempre y cuando sean los datos estrictamente necesarios. Además, podría tener encaje en el artículo 7 c) (si existe una ley que da amparo a este tratamiento).

• Lista negra de drogadictos.

Esta lista ha sido elaborada por diferentes hospitales, y son incluidos pacientes que toman drogas hasta tal punto de que pueden robarlas de los centros sanitarios. Se trata de prohibirles el acceso a cualquier dependencia en la que sea factible el robo de medicamentos que contengan sustancias psicotrópicas. Al tratarse de datos de salud, sería excesivo este tratamiento, salvo que existiese una ley que lo permitiese y regulase también salvaguardas en favor de los afectados.

f.- Monitorización de los empleados por razones de seguridad o de gestión.

• Control de las horas extraordinarias realizadas por abogados para el pago de “bonus de empresa”.

Se trataría de implementar un sistema transparente en la empresa, y que aquel que no estuviese conforme sobre la relación hora extraordinarias-bonus que recibe un empleado, lo pudiese discutir con el correspondiente jefe. Al igual que en algún otro caso que ya hemos expuesto, además del artículo 7 f), habría amparo en el artículo 7 c).

•  Control del uso del Internet en el puesto de trabajo.

Se permite siempre y cuando se haya informado a los trabajadores y a sus representantes. No obstante, se puede adoptar alguna medida alternativa como prohibir el acceso a determinadas webs.

g.- Seguridad tanto en el centro de trabajo como IT.

• Cámaras ocultas para detectar a los fumadores.

Se han instalado cámaras en el centro de trabajo con la finalidad de identificar a los fumadores (empleados y visitantes) que fumen en áreas no permitidas. Como las cámaras están ocultas, sería totalmente desproporcionado. Sería suficiente con poner detectores de humo a la vista de cualquiera.

Categorías: Autoridades de control, Legislación y jurisprudencia, Protección de datos
Etiquetas: Grupo Artículo 29, interés legítimo, tratamiento datos