Interés legítimo en el tratamiento de datos: análisis, ponderación y supuestos prácticos

Una de las cuestiones que más debate generan es la aplicación de la base legitimadora del denominado “interés legítimo” que contiene el RGPD en su artículo 6.1.f). A través de este “post”, trataremos de arrojar algo de “luz” a este asunto, realizando un análisis del mismo, cómo realizar la ponderación, así como varios ejemplos incluidos tanto en informes jurídicos elaborados por la Agencia Española de Protección de Datos como en resoluciones judiciales.

También haremos referencia al documento aprobado por el antiguo Grupo de Trabajo del Artículo 29 (aunque hace casi cinco año ya publicamos en este blog un post al respecto consideramos adecuado reproducir parte del mismo), así como la Guía publicada por la Autoridad de Protección de Datos del Reino Unido (documento al cual podemos calificar como “su legado” antes del Brexit).

1.- Antecedentes: Directiva 95/46, LOPD del año 1999 y sentencia del TJUE.

La Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecto al tratamiento de datos personales y a la libre circulación de estos datos, norma que actualmente está derogada por el RGPD, recogía en su artículo 7 la posibilidad de que el tratamiento de datos se pueda realizar si “es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva”.

Al realizar la transposición de esta Directiva al ordenamiento jurídico español, mediante la aprobación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) –que también está derogada-, vinculó en su artículo 6.1, la utilización de la base legitimadora del interés legítimo a que los datos figurasen en las denominadas fuentes accesibles al público, es decir, introdujo un elemento adicional que no estaba previsto en la mencionada Directiva.

Por cierto, el legislador nacional también hizo otro pequeña “pirueta”: una de las características del RGPD es que sitúa todas las bases legitimadoras del tratamiento al mismo nivel, con independencia de cuál sea aplicable, a diferencia del artículo 6 de la LOPD que establecía la regla general del consentimiento y una serie de excepciones. Pues bien, el artículo 7 de la Directiva 95/46, al que nos hemos referido con anterioridad, también situaba todas las bases legitimadoras en el mismo nivel, es decir, no priorizaba el consentimiento sobre el resto de bases.

Además de la LOPD, su Reglamento de desarrollo –otro que también está derogado-, se refería a la aplicación del interés legítimo en artículo 10.2.a), en los siguientes términos:

“Será posible el tratamiento o la cesión de los datos de carácter personal sin necesidad del consentimiento del interesado cuando:
los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado”.

Posteriormente, y dada la regulación nacional que hemos expuesto, el Tribunal Supremo planteó ante el Tribunal de Justicia de la Unión Europea una cuestión prejudicial, que a su vez venía derivada de dos procedimientos en los que había sido parte ASNEF y FECEMD, relativa a que el ordenamiento jurídico español establecía el requisito de que los datos estuviesen en fuentes de acceso público para poder aplicar la base legitimadora del interés legítimo.

En este sentido, la sentencia que dictó al respecto el Tribunal de Justicia de la Unión Europea indicó:

“No obstante, si una normativa nacional excluye la posibilidad de tratar determinada categorías de datos personales, estableciendo con carácter definitivo el resultado de la ponderación de los derechos e intereses en conflicto respecto de tales categorías, sin permitir un resultado diferente en atención a las circunstancias particulares de cada caso concreto, no se trata ya de una precisión en el sentido del citado artículo 5.

Por lo tanto, sin perjuicio del artículo 8 de la Directiva 95/46, relativo al tratamiento de determinadas categorías particulares de datos, disposición que no se discute en el litigio principal, el artículo 7, letra f), de dicha Directiva se opone a que un Estado miembro excluya de forma categórica y generalizada la posibilidad de someter a un tratamiento de datos determinadas categorías de datos personales, sin permitir ponderar los derechos e intereses en conflicto en cada caso concreto.

Habida cuenta de estas consideraciones, procede responder a la primera cuestión que el artículo 7, letra f), de la Directiva 95/46 debe interpretarse en el sentido de que se opone a una normativa nacional que, para permitir el tratamiento de datos personales necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, exige, en el caso de que no exista consentimiento del interesado, no sólo que se respeten los derechos y libertades fundamentales de éste, sino además que dichos datos figuren en fuentes accesibles al público, excluyendo así de forma categórica y generalizada todo tratamiento de datos que no figuren en tales fuentes.”

Además, determinó la aplicación Directiva del artículo 7.f) de la Directiva 95/46. En otra palabras, su aplicación sin condicionarlo a que los datos proviniesen de las fuentes de acceso público.

2.- Aplicación del interés legítimo mediante la vía de cesiones.

Sin perjuicio de todo lo anterior, encontramos que en materia de cesiones de datos personales al amparo del artículo 11.2.a) de la LOPD, se incardinaban comunicaciones de datos destinados a aquellos que demostrasen un interés legítimo al respecto. Este interés debía ser valorado o ponderado por el responsable.
Es decir, no nos encontramos ante el caso de que el responsable estima, previa ponderación, que existe ese interés legítimo para tratar los datos para sus fines, sino un interés legítimo en favor de un tercero.

Algunos ejemplos:

a.-La derogada Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común (en el ámbito funcionarial conocida como “la ley 30”), en su artículo 37.3 (que sería posteriormente modificado totalmente por la Disposición Final Primera de la Ley 19/2013):

“3. El acceso a los documentos de carácter nominativo que sin incluir otros datos pertenecientes a la intimidad de las personas figuren en los procedimientos de aplicación del derecho, salvo los de carácter sancionador o disciplinario, y que, en consideración a su contenido, puedan hacerse valer para el ejercicio de los derechos de los ciudadanos, podrá ser ejercido, además de por sus titulares, por terceros que acrediten un interés legítimo y directo”.

b.- El Real Decreto Legislativo 1/2004, de 5 de marzo, por el que se aprueba el texto refundido de la Ley del Catastro Inmobiliario, partiendo primeramente del artículo 51 que define como datos protegidos:

“A efectos de lo dispuesto en este título, tienen la consideración de datos protegidos el nombre, apellidos, razón social, código de identificación y domicilio de quienes figuren inscritos en el Catastro Inmobiliario como titulares, así como el valor catastral y los valores catastrales del suelo y, en su caso, de la construcción de los bienes inmuebles individualizados”.

Y a su vez, según el artículo 53.1 de la misma norma:

“1. El acceso a los datos catastrales protegidos (sólo podrá realizarse mediante el consentimiento expreso, específico y por escrito del afectado, o cuando una ley excluya dicho consentimiento o la información sea recabada en alguno de los supuestos de interés legítimo y directo siguientes:

a)Para la ejecución de proyectos de investigación de carácter histórico, científico o cultural auspiciados por universidades o centros de investigación, siempre que se califiquen como relevantes por el Ministerio de Hacienda.

b)Para la identificación y descripción de las fincas, así como para el conocimiento de las alteraciones catastrales relacionadas con los documentos que autoricen o los derechos que inscriban o para los que se solicite su otorgamiento o inscripción, por los notarios y registradores de la propiedad, de conformidad con lo establecido en esta Ley y en la legislación hipotecaria. Asimismo los notarios podrán acceder a los acuerdos catastrales derivados de dichas alteraciones para su entrega, en su caso, a los interesados.

c)Para la identificación de las parcelas colindantes, con excepción del valor catastral de cada uno de los inmuebles, por quienes figuren en el Catastro Inmobiliario como titulares.

d)Por los titulares o cotitulares de derechos de trascendencia real o de arrendamiento o aparcería que recaigan sobre los bienes inmuebles inscritos en el Catastro Inmobiliario, respecto a dichos inmuebles.

e) Por los herederos y sucesores, respecto de los bienes inmuebles del causante o transmitente que figure inscrito en el Catastro Inmobiliario”.

c.- El Real Decreto 2822/1998, de 23 de diciembre, por el que se aprueba el Reglamento General de Vehículos, artículo 2 apartado 1:

“1. La Jefatura Central de Tráfico llevará un Registro de todos los vehículos matriculados, que adoptará para su funcionamiento medios informáticos y en el que figurarán, al menos, los datos que deben ser consignados obligatoriamente en el permiso o licencia de circulación, así como cuantas vicisitudes sufran posteriormente aquéllos o su titularidad.

Estará encaminado preferentemente a la identificación del titular del vehículo, al conocimiento de las características técnicas del mismo y de su aptitud para circular, a la comprobación de las inspecciones realizadas, de tener concertado el seguro obligatorio de automóviles y del cumplimiento de otras obligaciones legales, a la constatación del Parque de Vehículos y su distribución, y a otros fines estadísticos.

El Registro de Vehículos tendrá carácter puramente administrativo, será público para los interesados y terceros que tengan interés legítimo y directo, mediante simples notas informativas o certificaciones, y los datos que figuren en él no prejuzgarán las cuestiones de propiedad, cumplimientos de contratos y, en general, cuantas de naturaleza civil o mercantil puedan suscitarse respecto a los vehículos”.

3.- RGPD (Reglamento General de Protección de Datos).

Por lo que respecta al RGPD, al igual que ya contemplaba la Directiva 95/46, recoge entre las bases que pueden permitir el tratamiento de datos personales el interés legítimo, reproduciendo el mismo contenido que ya aparecía en la citada norma.
No obstante, y a diferencia de la anteriormente mencionada Directiva, el RGPD introduce una serie de novedades al respecto en sus considerandos: criterios para la ponderación; su no aplicación, como regla general, a las Administraciones Públicas; y algunos supuestos (ejemplos) de posible aplicación del interés legítimo en favor del responsable. Veamos cada uno de ellos.

3.1.- Criterios para la ponderación.

Del considerando 47 del RGPD se desprende alguna regla o elemento que debe ser tenido en cuenta al realizar la ponderación:

– Que el interesado sea cliente o esté al servicio del responsable.
– La evaluación (ponderación) debe realizarse de forma meticulosa. Es decir, requiere un análisis previo de todos los elementos que puedan participar o verse afectados.
– La perspectiva del interesado, de manera que podrían prevalecer sus intereses sobre los del responsable cuando se proceda al tratamiento de datos personales en circunstancias en las que el interesado no espere razonablemente que se realice un tratamiento posterior.

3.2.- Su no aplicación a las Administraciones Públicas.

También aparece en el Considerando 47, estableciendo la regla general de que cuando las autoridades públicas actúen en el ejercicio de sus funciones, que habrán sido atribuidas por la correspondiente norma, no debe aplicarse la base legitimadores del interés legítimo. Es decir, su posible aplicación, pasa a ser residual y condicionada a que no estén actuando en el ejercicio de sus funciones.

3.3.- Algunos supuestos.

Se trata de una serie de ejemplos que aparecen en los considerandos 47, 48, 49 y 50, aunque alguno de ellos ya habían sido citados en el Dictamen 06/2014 sobre el concepto de interés legítimo del responsable del tratamiento de los datos en virtud del artículo 7 de la Directiva 95/46/CE elaborado por el Grupo del Artículo 29. Estos supuestos son:

-Prevención del fraude (considerando 47)
-Mercadotecnia directa (considerando 47)
-Transferencia de datos personales en un grupo empresarial para fines administrativos internos, incluyendo el tratamiento de datos de clientes o empleados (considerando 48)
-Garantizar la seguridad de la red y de la información por parte de autoridades públicas, equipos de respuesta a emergencias informáticas (CERT), equipos de respuesta a incidentes de seguridad informática (CSIRT), proveedores de redes y servicios de comunicaciones electrónica y proveedores de tecnologías y servicios de seguridad (considerando 49).
-La transmisión a la autoridad competente de los datos respecto de casos individuales o casos diversos relacionados con un mismo acto delictivo o amenaza para la seguridad pública (considerando 50).

Por otra parte, el RGPD también se refiere al interés legítimo en el derecho de información (art. 13 y art.14), las evaluaciones de impacto de protección de datos (art.35.7), códigos de conducta (art.40.2), y transferencias internacionales (art.49).

4.- La nueva LOPD.

En su Título IV denominado “Disposiciones aplicables a tratamientos concretos” aparece, como su nombre indica, una serie de tratamientos específicos “muy populares” en nuestro tradicional régimen jurídico de protección de datos, como son los tratamientos de videovigilancia o de solvencia patrimonial (“morosidad”).

Dentro de este listado de tratamientos existen cuatro categorías o grupos a efectos de legitimación:

-Basados en el interés legítimo: datos de contacto, de empresarios individuales y de profesionales liberales; sistemas de información crediticia; y tratamientos relacionados con la realización de determinadas operaciones mercantiles.
-Basados en el interés público: videovigilancia; exclusión publicitaria; y sistemas de denuncias internas.
-Vinculados al Capítulo IX del RGPD: función estadística; y archivo de interés general.
-Otros: infracciones y sanciones administrativas.

Como apunta la Exposición de Motivos de la propio norma, se trata de una serie de tratamientos en los que “el legislador establece una presunción «iuris tantum» de prevalencia del interés legítimo del responsable cuando se lleven a cabo con una serie de requisitos, lo que no excluye la licitud de este tipo de tratamientos cuando no se cumplen estrictamente las condiciones previstas en el texto, si bien en este caso el responsable deberá llevar a cabo la ponderación legalmente exigible, al no presumirse la prevalencia de su interés legítimo.

En estos supuestos, los responsables no precisarían de acudir a la regla de ponderación, dado que la Ley la habrá verificado con anterioridad. Se trata así de otorgar seguridad jurídica a los operadores, que podrán considerar de aplicación la regla de equilibrio del artículo 6.1 f) sin quedar pendientes de que la misma sea efectivamente confirmada por las autoridades de protección de datos y los órganos jurisdiccionales”.

Junto a ellos, debemos mencionar el ya vigente artículo 8 de la nueva LOPD, denominado “Tratamiento de datos por obligación legal, interés público o ejercicio de poderes público”, y que se refiere a precisar lo dispuesto en el artículo 6.3.b) del RGPD. Es decir, en relación con la legitimación del tratamiento basada en cumplimiento de obligación legal, misión de interés público o ejercicio de poderes público que puede ser establecida por el Derecho de los Estados miembros (además de por el Derecho de la Unión), debe realizarse mediante una norma de rango de ley.

Este artículo 8, en el anteproyecto de ley de la nueva LOPD se titulaba “Tratamientos de datos amparados por ley” y contenía un apartado 3 con este contenido:

“3. La ley podrá considerar fundado un determinado tratamiento en la concurrencia de un interés legítimo del responsable del tratamiento o de un tercero que prevalece sobre los derechos del afectado, en los términos previstos en el artículo 6.1 f) del Reglamento (UE) 2016/679. En estos supuestos, la ley podrá exigir al responsable la adopción garantías adicionales. Lo dispuesto en el párrafo anterior no impide que el tratamiento de datos personales pueda considerarse lícito al amparo del artículo 6.1 f) del Reglamento (UE) 2016/679, aun cuando no exista una previsión legal específica”.

Sin embargo, este párrafo fue eliminado por sugerencia del Consejo de Estado, a través de su respectivo Dictamen a la nueva norma, en el que se proponía su eliminación:

“Ahora bien, el encomiable esfuerzo del Anteproyecto por proteger la seguridad jurídica no le legitima para sobrepasar el estrecho margen de actuación que el Reglamento reconoce a los Estados miembros en la regulación de esta materia.
A estos efectos, debe comenzar recordándose que, a diferencia de lo que ocurre con la regulación de los supuestos legitimadores de las letras c) y e) del artículo 6.1, el Reglamento no efectúa ninguna llamada expresa al desarrollo y concreción por los Estados miembros del supuesto contemplado en la letra f) de ese artículo. En línea de principio, por consiguiente, y en ausencia de una habilitación implícita en este sentido, debe negarse toda competencia de los Estados miembros para imponer por vía normativa exigencias adicionales que vengan a modificar el alcance de esta hipótesis legitimadora del tratamiento.

(…)

Al prever que el legislador español efectúe la ponderación de intereses prevista en el artículo 6.1.f) del Reglamento general para determinados tratamientos, se impide de facto en estos supuestos la ponderación del interés legítimo del responsable del tratamiento con los derechos y libertades del interesado a la luz de las circunstancias del caso concreto; se permite establecer con carácter definitivo, en resumen, el resultado de esa valoración relativa, atendiendo al cumplimiento de las condiciones y garantías adicionales que, de acuerdo con el Anteproyecto, la ley podría exigir.

(…)

Aunque sea en aras a una siempre deseable mayor seguridad jurídica, por tanto, ha de concluirse el legislador español no puede sustituir con supuestos legalmente tasados la flexibilidad que el legislador comunitario ha querido en apariencia atribuir a la aplicación del artículo 6.1.f) del Reglamento general.

Por una parte, a diferencia de lo previsto para otros supuestos del mismo artículo 6.1, el precepto no efectúa una habilitación expresa a los Estados miembros para desarrollar el principio de legitimación del tratamiento contemplado en su letra f). Por otra parte, tampoco parece que de su redacción pueda deducirse una habilitación implícita para llevar a cabo una determinación a nivel nacional, con carácter definitivo, del resultado de la ponderación de los derechos e intereses en conflicto en una serie de casos concretos.

Tal interpretación choca frontalmente con lo señalado por el Tribunal de Justicia en su jurisprudencia ASNEF y Breyer y no puede olvidarse que, si bien la determinación por cada Estado miembro, a nivel legislativo, de los casos en los que puede entenderse que hay interés legitimador del tratamiento de datos y aquéllos en los que no podría contribuir a generar una mayor inseguridad jurídica a nivel nacional, al mismo tiempo produciría una fragmentación del marco normativo a nivel europeo contraria al objetivo armonizador perseguido por el Reglamento y que obstaculizaría la libre circulación de los datos personales, finalidad última de la reglamentación europea.

En fin, de la jurisprudencia citada y del propio tenor literal del Reglamento se desprende que el modelo querido por el legislador europeo se caracteriza por un alto grado de flexibilidad en la aplicación de este supuesto de licitud de los tratamientos de datos personales.
Se trata, en definitiva, de atribuir al responsable del tratamiento la responsabilidad de efectuar la correspondiente ponderación de intereses, sin perjuicio de su ulterior control por la Agencia y, en su caso, por las autoridades judiciales. El diseño, en una norma legal, de las condiciones mínimas que ha de reunir un determinado tratamiento para que pueda concluirse que el interés legítimo del responsable prevalece sobre los derechos e intereses de los afectados va en contra de esa concepción, razón por la que, a juicio del Consejo de Estado, la introducción de una norma como la contenida en el artículo 9.3 del Anteproyecto no puede hacerse sin riesgo de incurrir en un incumplimiento de la norma europea.

(…)

Por estos motivos, el Consejo de Estado considera que debe eliminarse la disposición contenida en el artículo 9.3 del Anteproyecto”.

En conclusión, la nueva LOPD configura una serie de tratamientos en los que se presume, salvo prueba en contrario, siguiendo los criterios que marcan los correspondientes artículos dedicados a cada uno de estos tratamientos, que la base legitimadora está constituida por el interés legítimo: artículo 19 “Tratamiento de datos de contacto, empresarios individuales y de profesionales liberales”; artículo 20 “Sistemas de información crediticia”; y artículo 21 “Tratamientos relacionados con la realización de determinadas operaciones mercantiles”.

No obstante lo anterior, la nueva LOPD también contiene otros preceptos, que se encuentran dentro del grupo de los denominados “Derechos digitales” en los que si bien no se cita como base legitimadora el interés legítimo, el contenido de estos preceptos puede llevar a concluir que sí existe tal base, o que al menos debe realizarse una ponderación antes de decidir sobre el tratamiento de los datos, que como sabemos, dicha ponderación, es el elemento característico para poder determinar si procede o no aplicar este base legitimadora.

Estos preceptos son los siguientes:

-Artículo 89 “Derecho a la intimidad frente al uso de dispositivos de videovigilancia y grabación de sonidos en el trabajo”: aunque el precepto vincula su utilización a las funciones de control del empleador o Administración si actúa respecto a sus propios empleados públicos, debe existir una ponderación que podría alcanzar a si es estrictamente necesario instalar las cámaras; en caso afirmativo, ponderar también el número de cámaras e incluso las horas en que estarán grabando a los trabajadores.

-Artículo 90 “Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral: supuesto similar al anteriormente descrito.

Junto a los supuestos descritos, es decir, los tres que forman parte del grupo de tratamientos específicos (artículos 19, 20 y 21) así como los dos que forman parte del grupo de los derechos digitales (artículos 89 y 90), existen otros tres casos más referidos al interés legítimo:

-Disposición adicional novena “Tratamiento de datos personales en relación con la notificación de incidentes de seguridad”: este supuesto ya lo hemos mencionado anteriormente que aparece en el RGPD, y que la LOPD lo desarrolla con una referencia a la legislación nacional que se de aplicación.

-Disposición adicional décima “Comunicaciones de datos por los sujetos enumerados en el artículo 77.1”: en otras palabras, la comunicación de datos del sector público al sector privado se fundamentará en el consentimiento de los afectados cuando se aprecie que concurre interés legítimo prevalente de los solicitantes.

-Disposición Final Tercera “Modificación de la LOREG”: el polémico nuevo artículo 58 bis de la LOREG, contiene dos apartados, uno de ellos relativo al tratamiento de opiniones políticas en base al poder público (art.9.2.g. RGPD) y el otro relativo al envío de propaganda electoral por medios electrónicos o sistemas de mensajerías, lo que viene a ser una especie de “Validación legal de un supuesto de interés legítimo” (que probablemente no pasaría la ponderación o “test del daño”).

5.- “Test del daño”: la ponderación de la ley de transparencia.

La cuestión sobre la aplicación del interés legítimo como base que permitirá el tratamiento de datos personales radica en cómo llevar a cabo la ponderación. Si acudimos a la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, en su Exposición de Motivos se alude al denominado “test del daño”, de forma bastante explícita:

El capítulo III configura de forma amplia el derecho de acceso a la información pública, del que son titulares todas las personas y que podrá ejercerse sin necesidad de motivar la solicitud. Este derecho solamente se verá limitado en aquellos casos en que así sea necesario por la propia naturaleza de la información –derivado de lo dispuesto en la Constitución Española– o por su entrada en conflicto con otros intereses protegidos. En todo caso, los límites previstos se aplicarán atendiendo a un test de daño (del interés que se salvaguarda con el límite) y de interés público en la divulgación (que en el caso concreto no prevalezca el interés público en la divulgación de la información) y de forma proporcionada y limitada por su objeto y finalidad.

Asimismo, dado que el acceso a la información puede afectar de forma directa a la protección de los datos personales, la Ley aclara la relación entre ambos derechos estableciendo los mecanismos de equilibrio necesarios. Así, por un lado, en la medida en que la información afecte directamente a la organización o actividad pública del órgano prevalecerá el acceso, mientras que, por otro, se protegen –como no puede ser de otra manera– los datos que la normativa califica como especialmente protegidos, para cuyo acceso se requerirá, con carácter general, el consentimiento de su titular.

Es decir, estamos también ante un supuesto de ponderación, de la misma forma que en la posible aplicación del interés legítimo, pero que a diferencia de éste, cuando se ven afectados datos personales que no ostenten la condición de “categorías especiales de datos” en el derecho de acceso su artículo 15.3 recoge estas reglas de ponderación:

“3. Cuando la información solicitada no contuviera datos especialmente protegidos, el órgano al que se dirija la solicitud concederá el acceso previa ponderación suficientemente razonada del interés público en la divulgación de la información y los derechos de los afectados cuyos datos aparezcan en la información solicitada, en particular su derecho fundamental a la protección de datos de carácter personal.

Para la realización de la citada ponderación, dicho órgano tomará particularmente en consideración los siguientes criterios:

a) El menor perjuicio a los afectados derivado del transcurso de los plazos establecidos en el artículo 57 de la Ley 16/1985, de 25 de junio, del Patrimonio Histórico Español.
b) La justificación por los solicitantes de su petición en el ejercicio de un derecho o el hecho de que tengan la condición de investigadores y motiven el acceso en fines históricos, científicos o estadísticos.
c) El menor perjuicio de los derechos de los afectados en caso de que los documentos únicamente contuviesen datos de carácter meramente identificativo de aquéllos.
d) La mayor garantía de los derechos de los afectados en caso de que los datos contenidos en el documento puedan afectar a su intimidad o a su seguridad, o se refieran a menores de edad”.

Sin embargo, y como hemos descrito anteriormente, el RGPD no es muy “detallista” al respecto, y la nueva LOPD “guarda silencio”, por lo que se echa en falta la existencia de criterios a nivel normativo que puedan arrojar más luz a este asunto.

En términos comparativos entre la Ley de Transparencia y el RGPD + nueva LOPD sobre criterios de ponderación, “golea” la primera.

6.- Cómo realizar la ponderación.

Ya hemos indicado a lo largo de este “post” que se debe realizar la ponderación. Y ojo, porque en aras de la transparencia y el derecho de información, se debe informar de los intereses legítimos del responsable o un tercero, aunque el Comité Europeo de Protección de Datos y las Autoridades de Protección de Datos en su Guía sobre el deber de información consideran como “buena práctica” incluir la ponderación realizada.
Un ejemplo al respecto: en la política de privacidad de una web dedicada a los seguros se informa de las siguientes finalidades en base al interés legítimo, pero se obvia comunicar la ponderación (recordemos que se recomienda como “buena práctica”):

“El interés legítimo que ampara finalidades tales como: realizar un análisis para la valoración, selección y delimitación del riesgo y la prevención del fraude, los fines administrativos internos y control de gestión, cesiones intragrupo, realización de encuestas o controles de calidad en relación a los servicios prestados, elaboración de perfiles con fines actuariales y de investigación de mercado, cesión a otras entidades por razón de reaseguro o coaseguro o el envío de comunicaciones comerciales sobre el producto contratado u otros productos o servicios compatible”.

De todas formas, aunque no se informe de la ponderación, hay que realizar la misma. Para ella, dos documentos nos aportan elementos para poder realizar esta ponderación:

El dictamen del Grupo del Artículo 29 publicado en el año 2014, y la Guía del ICO (la Autoridad de Protección de Datos del Reino Unido) publicada en el 2018. Veamos estos criterios.

6.1.- Criterios de ponderación según el Grupo del Artículo 29 (hoy Comité Europeo de Protección de Datos).

Esta ponderación deber llevarse a cabo analizando lo siguiente:

6.1.a.- Especificar el interés legítimo del responsable o tercero.

-Incidencia de otros derechos fundamentales.

Por ejemplo, la libertad de información a la hora de publicar los medios de comunicación, lo cual no quiere decir que puedan afectar a la totalidad de la vida privada de personajes públicos.

-Existencia de un interés general.

Además, de esta generalidad, o de un interés que afecte a parte de la colectividad, puede concurrir un interés comercial privado con uno de carácter público, como el caso de la lucha contra el fraude financiero.

-Otros intereses legítimos.

Serían casos que estarían cercanos a la posible aplicación de otros apartados del artículo 7, concretamente las letras b (contrato), c (obligación legal), y e (poder e interés público). Por ejemplo, un tratamiento de datos que no fuese estrictamente necesario, pero sí relevante para la ejecución de un contrato.

– Interés legítimo reconocido legal, social y culturalmente.

6.1.b.- Derechos y libertades públicas de los afectados.

– Análisis del impacto.

Se trata de valorar cómo afectaría el tratamiento de datos en los derechos y libertades tanto positiva como negativamente, incluyendo en este último caso sí podrían producirse efectos perniciosos para los afectados como la difamación o la pérdida de reputación. También hay que tener en cuenta el medio sobre el que se va a realizar el tratamiento: por ejemplo, en Internet o un intercambio de datos a países de fuera de la Unión Europea tiene mayores riesgos negativos.

-Tipo de datos.

No es lo mismo que el tratamiento se vaya a realizar sobre datos identificativos que sobre datos especialmente protegidos, biométricos, genéticos y de localización. Así, el Grupo considera que como regla general no pueden tratarse los datos biométricos con fines de seguridad en base al criterio del interés legítimo. Sí admite el uso de la huella o del iris para la mencionada finalidad siempre que se trate, por ejemplo, de un laboratorio donde se realicen investigaciones sobre virus o enfermedades de alto riesgo.

-La forma de tratamiento.

En base a este criterio, se tendría en consideración, para la posible no aplicación del criterio del interés legítimo, si los datos van a ser publicitados, o que puedan acceder a los mismos un gran número de personas, o si se trata de un tratamiento a gran escala que va a permitir el cruce de datos de manera que se puedan crear perfiles individuales. Por ello, el Grupo recomienda que cuando sea posible, se realice previamente un PIA (Privacy Impact Assessment/ lo hemos tratado en este Blog), para minimizar los efectos negativos, o en su caso, adoptar medidas alternativas menos invasivas y que permitan obtener el mismo resultado que el buscado inicialmente.

– Las expectativas del afectado.

Siempre y cuando sean razonables, es decir, lo que espera el afectado en relación con el tratamiento de sus datos personales, como podría ser un cumplimiento estricto de la confidencialidad y un uso muy limitado del tratamiento ofrecido por parte del responsable.

-La relación entre el responsable y el afectado.

Dependerá si el responsable es una PYME, una multinacional o una Administración pública, ya que su posición de supremacía sobre el afectado puede ser mayor o no. Por ejemplo, una multinacional estaría en una posición más ventajosa para poder aplicar el criterio del “interés legítimo”.

Asimismo, también es relevante la condición del afectado, por ejemplo, si son menores de edad o personas minusválidas.

6.1.c.- Balance provisional de intereses.

El Grupo considera que, una vez que se ha realizado el estudio sobre los elementos que hemos descrito anteriormente, es posible que sea necesario una nuevo, en el cual se limiten aún más los posibles impactos negativos sobre los afectados.

6.1.d.- Medidas adicionales de salvaguarda.

Consistiría en adoptar medidas que no necesariamente son de obligado cumplimiento por la Directiva 95/46, sino que vendrían dadas por situaciones concretas del tratamiento de datos, o bien están contempladas en la Propuesta de Reglamento de Protección de Datos de la Unión Europea. Entre ellas:

–Privacidad por diseño y por defecto;
–PIA (Privacy Impact Assessment);
–Técnicas de anonimización de datos;
–Mayor transparencia;
– Portabilidad;
– Cumplimiento de un sistema estricto de opt-out;

6.1.e.- Otros elementos a considerar.

Además lo descrito anteriormente, el Grupo estima que, en muchas ocasiones, para la posible aplicación del criterio del interés legítimo, existen tres elementos cruciales que se deben tomar en cuenta:

-“Accountability” y transparencia.

El análisis que debe realizar con carácter previo, el responsable, sobre la existencia del interés legítimo y cómo afectaría a los derechos y libertades de los afectados, forma parte de su “Accountability”, debiendo por ello documentarlo.
Este principio de la “Accountability” del responsable, está ligado además, al principio de transparencia, de forma que el responsable expliqué de la manera más sencilla y precisa a los afectados, la razón por la que considera que prevalece su interés legítimo en el tratamiento de datos. Asimismo, de esta forma se permitiría que los afectados, en su caso, puedan ejercitar mejor los derechos ARCO.

-Derecho de oposición del afectado y opt-out.

En el caso de que se decida el tratamiento de datos personales, no es óbice para que el afectado pueda ejercitar el derecho de oposición a este tratamiento, si bien deberá alegar justa causa al respecto. El ejercicio de este derecho permitirá una nueva evaluación de la aplicación del interés legítimo en relación con los derechos y libertades públicas del afectado.

Asimismo, para el Grupo, el ejercicio del derecho de oposición se puede completar con la posibilidad de que el responsable ofrezca, cuando sea posible, un sistema de consentimiento basado en el opt-out, ya que es más amplio que el citado derecho.

– Derecho a la portabilidad de los datos.

Supondría potenciar los derechos ARCO de los afectados, incluyendo también el derecho a la portabilidad de sus datos, que sería beneficioso no sólo para la protección de datos sino también a nivel competitivo entre las empresas.

 

6.2.- Criterios de ponderación del ICO (Autoridad de Protección de Datos del Reino Unido).

Recomienda realizar un Análisis de Impacto de Interés Legítimo (LIA – Legitimate interests assessment), para que en función de los resultados del mismo poder decidir si se puede realizar el tratamiento de datos de conformidad con esta base legitimadora.
Para ello, se divide este Análisis de Impacto en tres fases:

6.2.a.- Identificación del interés legítimo.

Esta identificación se realiza contestando a una serie de cuestiones:

-¿Por qué quieres realizar el tratamiento de datos personales?
-¿Cuál es su objetivo o finalidad?
-¿Cuáles son los beneficios de realizar este tratamiento?
-¿Existen beneficios para terceros?
-¿Existe algún beneficio público al respecto?
-¿Cuál es el grado de importancia de estos beneficios?
-Si no se realiza el tratamiento ¿Cuál es el impacto que se podría deducir?
-Si se realiza este tratamiento ¿Estás cumplimiento con el resto de la normativa de protección de datos? ¿Y con normativa sectorial? ¿Y códigos de conducta o Guías específicas?
-¿Existen elementos éticos relacionados con el tratamiento?

6.2.b.- Identificar la necesidad del tratamiento.

Para ello, las preguntas serían las siguientes:

-¿El tratamiento a realizar ayuda realmente a cumplir con ese interés?
-¿Es razonable u proporcional la forma de llevarlo a cabo?
-¿Podrías conseguir el mismo objetivo sin realizar este tratamiento?
-¿Existe alguna forma menos intrusiva de realizar ese tratamiento de datos logrando el mismo resultado?

6.2.c.- Realizar la ponderación.

Se deberá tener en cuenta el impacto del tratamiento y existen consecuencias negativas que eliminarían la existencia de ese interés. Cuestiones para esta ponderación:

-¿Cuál es la relación con los afectados?
-¿Se van a tratar categorías especiales de datos? ¿Infracciones o sanciones penales?
-¿Esperan los afectados que se usen sus datos para este fin?
-¿Puedes explicar este tratamiento a los afectados de “manera tranquila”?
-¿Podría existir oposición a este tratamiento por los afectados o que lo encontrasen intrusivo?
-¿Cuál es el impacto del tratamiento sobre los derechos de los afectados?
-¿Se van a tratar datos de menores?
-¿Se van a tratar datos de colectivos vulnerables?
-¿Se pueden adoptar medidas para minimizar el impacto?
-¿Es posible ofrecer un derecho de oposición a este tratamiento?

7.- Supuestos prácticos de aplicación del interés legítimo: informes AEPD

A través de diversos informes, publicados en su web, la AEPD se ha manifestado sobre la existencia (o no) de legitimación para tratar datos personales en base al interés legítimo. También encontramos algunos supuestos en las “Sesiones anuales” de la AEPD.

A este respecto, podemos destacar los siguientes:

7.1.- Envío de comunicaciones comerciales por medios no electrónicos

Aunque se trata de envíos por medios no electrónicos, se aplicaría en cierta medida la misma regla que la contemplada en la LSSI. El informe analiza también lo referente a la portabilidad de datos en el sector bancario.

Informe: https://www.aepd.es/informes/historicos/2017-0195.pdf

7.2.- No aplicación a las Administraciones públicas

Según expone la AEPD en este informe “el RGPD excluye de la posibilidad de que los tratamientos realizados por las autoridades públicas en el ejercicio de sus funciones (sin distinguir si dichas funciones están sometidas al derecho público o al privado) puedan tener como base jurídica del tratamiento la letra f) del art. 6.1 RGPD, esto es, el interés legítimo. Ello, sin duda, porque parte de la base, como demuestra el considerando 45 RGPD, de que cuando se realice un tratamiento de datos en cumplimiento de una obligación legal aplicable al responsable del tratamiento o si es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos, dicho tratamiento de tener una base en el Derecho de la Unión o de los Estados miembros”.

No obstante, el informe cita que “la autoridad británica, Information Commissioner’s Office, ICO, considera que fuera del ámbito de su autoridad pública (por ejemplo, si una administración lleva a cabo actuaciones comerciales), cabría el interés legítimo como base del tratamiento”.

Informe: https://www.aepd.es/media/informes/2018-0175-base-juridica-tratamiento-por-la-administracion-publica.pdf

7.3.- Padre que abona pensión de alimentos de su hijo mayor de edad, conocer sus calificaciones

La finalidad de conocer las calificaciones del hijo, mayor de edad, consiste en la posibilidad de solicitar la no realización del pago de la pensión basado en el retraso o incumplimiento del hijo con los estudios.

Se considera que existe interés legítimo “del solicitante para poder obtener las calificaciones académicas de su hijo mayor de edad, siempre en el bien entendido de que dicha finalidad será exclusivamente la de utilizarlas en un procedimiento judicial para la solicitud de modificación de la pensión de alimentos. Y dicho interés legítimo a la tutela judicial efectiva se entiende que ha de prevalecer sobre el derecho la protección de datos en este caso del hijo; sin perjuicio obviamente de que lo anterior no prejuzga en absoluto la ponderación que en cuanto al fondo del asunto pueda hacer el juez correspondiente acerca de la procedencia o no de dicha pretensión del padre frente al hijo, a la vista de la calificaciones del hijo o de cualquiera otras pruebas que se presenten en el litigio”.

Informe: https://www.aepd.es/informes/historicos/2017-0141.pdf

7.4.- Comunicación de la IP al CERT

La consideración de la dirección IP como dato de carácter personal determina que la comunicación de la misma por los prestadores de servicios de la sociedad de la información al CERT competente haya de estar amparada en alguna de las causas del art. 11 LOPD.

A estos efectos, no se considera habilitación legal suficiente la Disposición Adicional Novena LSSI por no determinar el cesionario de los datos, al limitarse a señalar a los CERT competentes que habrán de ser determinados en el desarrollo reglamentario. Sin perjuicio de poder amparar la cesión en el consentimiento de los afectados, cabe entender que, con las salvaguardias señaladas en el apartado III del presente informe para realizar la ponderación, la comunicación de la dirección IP queda amparada por el interés legítimo del art. 7.f) de la Directiva 1995/46/CE.

Informe: https://www.aepd.es/informes/historicos/2016-0005.pdf

7.5.- Publicación de transferencias de valor: Código de FarmaIndustria

Se planteó que las entidades pertenecientes a la Asociación de FarmaIndustria publicasen en sus sitios web y sin recabar previamente el consentimiento de los interesados las informaciones individualizadas relacionadas con las transferencias de valor realizadas por esas entidades en beneficio de organizaciones y profesionales sanitarios, en los términos que se introducirían en el Código de Buenas Prácticas de la Industria Farmacéutica.

Si bien estas circunstancias permitirían considerar que la ponderación exigida por el artículo 7 f) de la Directiva 95/46/CE puede realizarse en favor de la publicación, sería conveniente que a las mismas se añadiesen medidas que impidan un tratamiento posterior de los datos que pueda alejarse dela finalidad perseguida, dado que el acceso a la información permitiría a quienes la conocieran llevar a cabo tratamientos adicionales basados no tanto en la finalidad de transparencia en relación con las transferencias de valor sino en la elaboración de perfiles de los profesionales que reciben tales transferencias.

A tal efecto, sería conveniente que se aplicaran al sitio web en que se lleve a cabo la publicación protocolos que eviten su indexación a través de motores de búsqueda. Del mismo modo, sería relevante en aras a garantizar la proporcionalidad de la medida que en el propio sitio web se indicase claramente que la finalidad de la publicación es la indicada en la consulta y que de la misma no se deriva una habilitación general para que quienes accedan al sitio web puedan llevar a cabo un tratamiento adicional de los datos de los profesionales, tales como su cruce con las informaciones publicadas en los sitios web de otros asociados.

Informe: https://www.aepd.es/informes/historicos/2016-0172.pdf

7.6.- Tratamiento de imágenes mediante “cámaras on-board”

En el presente caso, el interés legítimo invocado parece referirse especialmente al derecho fundamental a la tutela judicial efectiva (art. 24 CE), en la medida en que las imágenes grabadas únicamente se utilizarán para la obtención de pruebas con la finalidad de determinar las responsabilidades asociadas a la producción de un evento, es decir, obtener fotografías o grabaciones de imágenes “como pruebas para denunciar infracciones a las normas de tráfico”.

Aunque de este informe parece desprenderse que el consultante no ofrecía garantías para los afectados, se remite a otro informe evacuado por la AEPD en el que sí se ofrecían estas garantías.

Informe: https://www.aepd.es/informes/historicos/2015-0456.pdf

7.7.- Acceso de los padres a las calificaciones de sus hijos que son mayores de edad

Existe en principio un interés legítimo de los progenitores en conocer las calificaciones que, con carácter general, y sin perjuicio de las posibles circunstancias del caso concreto, pudiera prevalecer sobre el derecho de los hijos a que dichas calificaciones no fueran accesibles al amparo de sus derechos a la intimidad y a la protección de datos de carácter personal.

Cabe considerar que la existencia de una obligación legal de los padres de sufragar los gastos educativos de los hijos mayores de edad siempre que así se les reclame judicialmente unida al hecho de que en un gran número de supuestos, dicha obligación será sumida sin necesidad de su reconocimiento judicial como consecuencia de las relaciones familiares existentes entre unos y otros, como se ha indicado anteriormente, permite considerar que, salvo que pudiera constar lo contrario, como inmediatamente se razonará, los progenitores tendrían un interés legítimo en acceder a las calificaciones escolares de sus hijos mayores de edad que prevalecería sobre el derecho a la intimidad y a la protección de datos de éstos últimos.

Lógicamente, la conclusión alcanzada deberá resultar respetuosa con el principio de finalidad, es decir, encontrarse vinculada con la obligación de los progenitores de facilitar los gastos de educación e instrucción de sus hijos, lo que en principio se cumple en el presente caso, en que el acceso se limita únicamente a las calificaciones de aquéllos.

Informe: https://www.aepd.es/informes/historicos/2015-0441.pdf

7.8.- Acceso por entidades bancarias a imágenes de atracos o tentativas de atracos

Se plantea en el marco de un convenio el acceso de entidades bancarias a las imágenes recabadas q por las Fuerzas y Cuerpos de Seguridad relacionadas con atracos o tentativas de atraco producidas en sucursales bancarias.
La finalidad de este acceso sería conocer la forma de actuación de los delincuentes para establecer medidas preventivas.

Esta finalidad podría considerarse suficientemente relevante como para que pudiera justificarse a su amparo el intercambio de la información.

Informe: https://www.aepd.es/informes/historicos/2014-0156.pdf

7.9.- Consulta a ficheros de solvencia para valorar el riesgo de impago de un futuro inquilino

En el presente caso sería el propietario o bien el agente de propiedad inmobiliaria, administrador de fincas, o mediador de seguros, quien delega en el consultante la realización ejecutiva de la consulta para verificar la situación económica del futuro inquilino y analizar el correspondiente riesgo en la concesión del seguro, entendiendo que, en este caso, no le resulta de aplicación lo dispuesto el artículo 42 del Reglamento de desarrollo de la Ley Orgánica 15/1999, sino lo previsto en el artículo 7.f de la Directiva 95/46

Por consiguiente, en el presente supuesto, en que la finalidad del acceso a los ficheros a que la consulta se refiere es efectuar una evaluación de solvencia y un análisis de riesgos a efectos de permitir la contratación del seguro, finalidades propias del consultante y no del propietario del inmueble, la compañía de seguros consultante no actúa como encargada del tratamiento por lo que no puede acceder a los datos contenidos en un fichero de información sobre solvencia patrimonial y crédito basándose en tal condición

Informe: https://www.aepd.es/informes/historicos/2013-0147.pdf

7.10.- Cesión de imágenes para presentar una demanda

De este modo, a efectos de efectuar la necesaria ponderación exigida por la jurisprudencia del Tribunal de Justicia, deberá plantearse si, atendiendo a las circunstancias concretas que se producen en el presente supuesto, los derechos a la tutela judicial efectiva y a la defensa de la persona que solicita los datos prevalecerán o no sobre el derecho a la protección de datos de los afectados cuyos datos sean objeto de cesión.

Debe así tomarse en consideración en primer lugar que la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil, señala en el artículo 299 cuales son los medios de prueba de que podrá hacerse uso en juicio, estableciendo en su número 2 que “también se admitirán, conforme a lo dispuesto en esta Ley, los medios de reproducción de la palabra, el sonido y la imagen, así como los instrumentos que permiten archivar y conocer o reproducir palabras, datos, cifras y operaciones matemáticas llevadas a cabo con fines contables o de otra clase, relevantes para el proceso.”

Informe: https://www.aepd.es/informes/historicos/2012-0115.pdf

7.11.- Cesión de datos entre concesionario y marca

En caso de cesión de los datos entre los concesionarios y la marca y viceversa, habrá que analizar las circunstancias de cada caso concreto para poder determinar claramente si prevalece o no el mero interés legítimo en poner en conocimiento del público potencial la existencia de determinados productos o servicios sobre el derecho a la intimidad y a la protección de datos de las personas a las que quieren dirigirse las ofertas

Informe: https://www.aepd.es/informes/historicos/2012-0111.pdf

7.12.- Acceso a retribuciones del personal de un Colegio Profesional

No resulta posible amparar el acceso solicitado en la aplicación directa del artículo 7 f) de la Directiva 95/46/CE, por lo que la imposibilidad de aplicar dicho precepto, unido a la no concurrencia de ninguno de los restantes establecidos en el artículo 11.2 de la Ley Orgánica 15/1999, implica que para que procediera la cesión de los datos a los que se refiere la consulta debería contarse con el consentimiento de los interesados
https://www.aepd.es/informes/historicos/2012-0121.pdf

7.13.- Acceso de un asociado al nombre, apellidos y dirección del resto de asociados de una Asociación

(No se entiende muy bien así que dejamos únicamente el enlace al informe).

Informe: https://www.aepd.es/informes/historicos/2012-0233.pdf

7.14.- Detección de usuarios que acceden ilegalmente a programas

En la ponderación entre el interés legítimo del autor en proteger su obra – en este caso, un programa de ordenador – y la protección de datos de carácter personal, se hace prevalecer la intimidad de las personas, considerando que las propias normas comunitarias y nacionales sobre propiedad intelectual prevén la salvaguarda de los datos de carácter personal; máxime cuando existen otros mecanismos para evitar accesos indebidos, y habiendo la legislación regulado importantes consecuencias en casos de piratería.

En consecuencia, de los términos de la consulta podríamos inferir que no cabe la aplicación del artículo 7.f) de la Directiva 95/46/CE para la finalidad pretendida, debiendo la ponderación inclinarse hacia la protección de datos personales.

Además, aunque se ha determinado la finalidad, tampoco se ha especificado cuál sería el destino concreto de los datos obtenidos por esta vía, ni el procedimiento de comunicación a las autoridades competentes.

Informe: https://www.aepd.es/informes/historicos/2012-0261.pdf

7.15.- Reconocimiento facial para entrada en establecimientos

Aunque se trata de un dato biométrico, de la respuesta dada por la AEPD se desprende que debe existir una ponderación: si bien se estaría facultado en base al artículo 20 del Estatuto de los Trabajadores, se debe tener en cuenta la naturaleza de la actividad y de las instalaciones (proporcionalidad)

Pregunta-respuesta incluida en la 10ª Sesión anual:
https://www.aepd.es/agencia/transparencia/jornadas/common/10-sesion/9-preguntas.pdf

7.16.- Uso de la huella para el control-fichaje

Supuesto similar al anterior. Debe limitarse a aquellos supuestos es que sea estrictamente necesario.

Pregunta-respuesta incluida en la 10ª Sesión anual:
https://www.aepd.es/agencia/transparencia/jornadas/common/10-sesion/9-preguntas.pdf

7.17.- Comunicación de datos entre grupos de empresas

Habrá que analizar cada caso de forma concreta. No existe un interés legítimo del Grupo sino de cada una de las empresas que forman parte del mismo. En ocasiones, la comunicación vendrá dada por el cumplimiento de una obligación legal.

Pregunta-respuesta incluida en la 10ª Sesión anual:
https://www.aepd.es/agencia/transparencia/jornadas/common/10-sesion/9-preguntas.pdf

7.18.- Encuestas de satisfacción y ofrecer productos y servicios a clientes de la misma empresa que le vendió el producto o servicio original

Si ha existido relación contractual y son productos o servicios objeto de dicho contrato, cabría ampararlo en el interés legítimo.

Pregunta-respuesta incluida en la 10ª Sesión anual:
https://www.aepd.es/agencia/transparencia/jornadas/common/10-sesion/9-preguntas.pdf

7.19.- Acceso por una entidad que realiza transferencias bancarias a los datos de aquellos titulares a los que haya efectuado indebidamente y por error un determinado abono

La finalidad sería poder ejercitar reclamaciones relacionadas con el cobro de lo indebido conforme a los artículos 1089 y 1895 del Código Civil.

Informes y sentencias relevantes en la 9ª Sesión anual

7.20.- Comunicación por un centro escolar a un progenitor titular de la patria potestad de la relación de personas autorizadas por el otro progenitor para recoger a los hijos en caso de separación o divorcio.

No sería posible en el caso de patria potestad inhabilitada o suspendida.

Informes y sentencias relevantes en la 8ª Sesión anual

7.21.- Recogida de información de un número limitado de datos relacionados con redes WIFI abiertas de una localidad

La finalidad sería comprobar y analizar la seguridad de las redes, pudiendo incidentalmente incluir datos de carácter personal, al establecerse salvaguardas adicionales de reducción al mínimo de los plazos de conservación y control de accesos

Informes y sentencias relevantes en la 8ª Sesión anual

7.22.- Tratamiento de imágenes por el servicio Google Street View

Se considera que la finalidad del tratamiento es cartográfica, es decir, poder ofrecer imágenes de calles y carreteras.

Resolución: https://www.aepd.es/resoluciones/E-01829-2012_ORI.pdf

 

8.- Sentencias que analizan la aplicación del interés legítimo

Estas son algunas de las sentencias dictadas por la sala de lo contencioso-administrativo de la Audiencia Nacional:

8.1.- Consulta por un banco al fichero “Badexcug” (solvencia patrimonial)

Sentencia 26/10/2018

Los supuestos de acceso a los ficheros de solvencia patrimonial que recoge el artículo 42 del Reglamento de desarrollo de la LOPD no constituyen un “numerus clausus”. Por ello no es necesario que exista una relación contractual o precontractual para que una entidad crediticia o de riesgo pueda consultar estos tratamientos, si existe interés legítimo.

8.2.- Denuncia en relación con un contrato sobre servicio de abastecimiento de aguas

Sentencia 11/03/2013

Controversia sobre el cambio de titularidad de un contrato. Aunque la empresa de aguas fue denunciada a la AEPD, no cortó el suministro de aguas. Considera la Audiencia Nacional que aunque el denunciante niega haber prestado su consentimiento para el tratamiento de sus datos, existen intereses legítimos de la empresa de aguas al tratar tales datos de quien dijo ser titular de la vivienda.

8.3.- Comunicación de propuestas electorales en relación con el proceso electoral de un Colegio Profesional

Sentencia 31/05/2012

Para el envío se habían obtenido direcciones de correos electrónicos obtenidos en la web del Colegio Profesional y de una Asociación. Interés legítimo es su utilización en base a trasladar propuestas de contenido electoral.

8.4.- Ponderación en los supuestos sobre “derecho al olvido”

Sentencia 24/10/2014 (y muchas otras más)

La interpretación correcta tanto el artículo 6 de la LOPD como el artículo 7, letra f) de la Directiva 95/46/CE , reside en la exigencia de dos requisitos acumulativos para que un tratamiento de datos personales sea lícito sin contar con el consentimiento del afectado, a saber: por una parte, que ese tratamiento de datos personales sea necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos; y, por otra parte, que no prevalezcan
los derechos y libertades fundamentales del interesado.

8.5.- El interés comercial no supone tratar los datos en base al interés legítimo

Sentencia 13/05/2015

La demandante alega que es de aplicación el criterio del interés legítimo, conforme al art. 7 f)
de la Directiva 95/46 , que consiste, en su caso, en el libre desarrollo de su actividad empresarial relativa al suministro de bases de datos a sus clientes para que puedan hacer publicidad de sus productos y servicios y los datos cuestionados fueron obtenidos por Datalaser S.L. a través del servicio que ofrece la página web “dateas.com” accesible para cualquier persona que disponga de conexión a Internet, de modo que la lesión producida a la denunciante es mínima y análoga a la producida cuando los datos constan en fuentes accesibles al público y son utilizadas con fines comerciales

En el caso presente, se aprecia que el legítimo interés comercial de la sancionada no puede prevalecer frente al derecho fundamental a la protección de datos de la denunciante, sin el consentimiento de ésta pues, en principio, tal derecho prevalece sobre el puro interés económico de la empresa, sin que se hayan alegado, ni menos aún justificado, la existencia de circunstancias particulares que inviertan esa conclusión.

8.6.- Interés legítimo y ejercicio de otros derechos fundamentales

Sentencia 29/11/2013

En una revista jurídica militar on-line se publica un comentario de una sentencia del Tribunal Militar Central que incluye el nombre, apellidos y DNI de un guardia civil. La libertad de expresión no ampara la publicación del DNI.

Sentencia 27/10/2015

Se publican los datos personales de un particular, que había presentado varias reclamaciones, en el Pleno de un Ayuntamiento. Se trata de una controversia política, y la actuación municipal se encuentra amparada en la obligación de informar a los ciudadanos sobre su actividad. La difusión pública resulta proporcional atendiendo al fin perseguido.

Sentencia 12/06/2014

Se publica en la web de un sindicato de una sentencia con los datos personales del reclamante. Se estima que el sindicato recurrente ha obrado en legítimo ejercicio de su derechoa la libertad sindical en la vertiente de su derecho a informar sobre hechos relevantes y de interés para los trabajadores, y de sus libertades de expresión e información en relación con aquel, facilitando información de interés público acerca de la actividad sindical, que en la ponderación con el derecho a la protección de datos personales del denunciante que en el presente caso nos concierne debe prevalecer sobre este.

8.7.- Videovigilancia: interés legítimo no ampara grabar la vía pública

Rebasa los límites del legítimo ejercicio del derecho a garantizar la seguridad de sus instalaciones y de su personal, con lesión del derecho a la protección de datos de las personas que se encontraban en la vía pública.

Sentencia 04/11/2014

8.8.- Publicación en la web de un sindicato de un listado de trabajadores calificados como “esquiroles”

Sentencia 08/02/2013

El Sindicato recurrente en el ejercicio de la libertad sindical podía haber acudido a la Inspección de Trabajo, o a la vía judicial, tal y como hizo obteniendo una Sentencia favorable de 28 de octubre de 2011 del Juzgado de lo Social nº. 16 de Barcelona , pues, no debemos olvidar que nuestro ordenamiento prohíbe al empresario, mientras dura la huelga, la sustitución de los huelguistas por trabajadores que no estuvieran vinculados a la empresa en el momento de ser convocada, pero no era necesario el publicar durante un año en su página web de acceso público y con un enlace directo a otra dirección, los nombres de los denunciantes para satisfacer el interés legítimo perseguido sin el consentimiento de éstos, no concurriendo ninguna de las excepciones contempladas en la LOPD a la regla general de necesidad del consentimiento del afectado para el tratamiento de sus datos de carácter personal.

8.9.- Creación de un “mega-fichero” con 37 millones de registros

Sentencia 06/06/2012

Debe prevalecer el derecho a la protección de datos de los denunciantes afectados incluidos en el fichero Domicilios, frente a los intereses particulares de la recurrente en explotar la citada base de datos que contiene nada menos que 37.000.000 de registros de datos personales, con la información asociada a los mismos ya indicada y recogida de la forma expuesta

En efecto, no es lo mismo que una determinada empresa necesite averiguar el domicilio de una persona de la que es acreedora, a efectos de poder efectuar el cobro de la deuda (para lo cual y a efectos de satisfacer ese interés legítimo puede utilizar los medios adecuados y lícitos tendentes a averiguar ese nuevo domicilio y poder tratarlo en orden a dicha finalidad), que el hecho de la creación de un mega fichero como el que nos ocupa (que se reitera contiene 37.000.000 de registros de datos personales), con el fin de poder comercializarlo y ofrecer esa información obtenida. Además, como también se ha expuesto en algunos casos la información se asocia o abarca a las personas que conviven en el mismo domicilio que la que aparece registrada en el fichero, lo que conculca el derecho de protección de datos de los afectados.

Por tanto, debe concluirse que no concurre el interés legítimo alegado por la entidad recurrente (que obviamente no es la persona física o jurídica que puede tener interés en el cobro de las posibles deudas) para tratar y, en correlación, ceder dichos datos de carácter personal, debiendo prevalecer el derecho de los afectados a la protección de datos, por lo que deben entenderse cometidas las infracciones apreciadas por la resolución impugnada.

8.10.- Creación de una base de datos con información estadística del caballo de pura raza española, incluyendo a sus propietarios

Sentencia 15/03/2012

Nos hallamos, por tanto, ante unos datos personales extraídos de un sitio virtual, de acceso público, y que se exponen en la pagina web titularidad de la entidad actora (según resulta de las actuaciones) con la finalidad de dar información estadística sobre el caballo de pura raza española y posibilitar un rápido acceso a dicha información, sobretodo facilitar el cruce o comparación de datos entre todos los registros.

Consideramos, por todo ello, que existen intereses legítimos de tal titular de la pagina web, e incluso intereses de terceros (de los propietarios o criadores de caballos) en acceder a dicha información publicada en Internet, intereses que se estiman prevalentes respecto del derecho a la protección de datos de los afectados por dicha información, y que por tanto excluyen la necesidad de consentimiento de los mismos.

9.- Dictamen del Grupo del Artículo 29 (Comité Europeo de Protección de Datos)

Este dictamen, al que hemos hecho referencia a lo largo de este post, contiene los siguientes supuestos en que puede ser aplicable el interés legítimo:

9.1.- Sobre el derecho a la información y transparencia:

a.- Cargo político que ha nombrado a su hija como asesora.
La noticia aparece en la prensa, y prevalecería el derecho de información frente al derecho a la privacidad del político, que al ser cargo público, lo tiene más limitado en la esfera de su puesto de trabajo.

b.- Hemeroteca de periódico on-line en los que aparece noticia sobre un delito cuya pena ya se ha cumplido.
Al realizar la búsqueda del particular en los buscadores, uno de los primeros resultados que aparece es la citada noticia, debido a que el particular era bastante conocido en su municipio. Se trataría de un caso en que se puede ejercitar el derecho de oposición al que nos hemos referido anteriormente.

9.2.- Marketing.

a.- Envío de publicidad de productos similares.
Una empresa utiliza los datos de contacto para ofertar productos nuevos que sean parecidos a los que se han comprado. Entraría dentro de las expectativas de los clientes en el sentido de que les ofrezcan este tipo de productos que pueden entrar en sus preferencias. Además, se permite el derecho de oposición, y los datos son meramente identificativos.

b.- Farmacia on-line que elabora perfiles.
Para ello, utiliza no sólo los diferentes productos comprados sino también las medicinas que han adquirido sus clientes. Esta actividad no estaría amparada por el artículo 7 f), ya que se trata de datos de salud, y es demasiado intrusivo. Una alternativa sería solicitar el consentimiento previo.

9.3.-Envío de información no comercial sin consentimiento.

a.- Propaganda política.
Uso del censo para el envío de información con carácter previo a la celebración de unas elecciones. Si bien se permite esta actividad, debe estar regulada por la legislación de cada Estado miembro.

b.- ONG que recaba información de usuarios de las redes sociales.
Esta organización se dedica a elaborar perfiles (por ejemplo, usando los “me gusta”) para posteriormente enviar información sobre sus actividades. No sería de aplicación el artículo 7 f), debido a la falta de transparencia y a la gran cantidad de datos recabados. Al igual que un caso anterior que ya hemos citados, se podría solucionar solicitando el consentimiento previo.

9.4.- Cobro de créditos y deudas.

a.- Comprador que se niega a pagar.
Ha contratado la renovación de una cocina, pero no está de acuerdo con la calidad del trabajo realizado. La empresa comunica a su abogado los datos del comprador para que le requiera el pago y puedan llegar a un acuerdo. Esta comunicación estaría amparada en el artículo 7 b) de la Directiva 95/46 (existencia de un contrato). En el caso de ceder los datos a una empresa de recobro habría que valorar la aplicación del artículo 7 f) que habilitase dicha cesión.

b.- Desaparece el comprador a crédito de un coche.
La empresa afectada contrata a un tercero (empresa de recobro) para que recabe toda la información posible del cliente usando métodos intrusivos como grabaciones de vídeo y de escuchas encubiertas. El uso de estos métodos no estaría habilitado por el artículo 7 f). Sí lo estaría si los datos que la empresa hubiese comunicado al tercero fuesen meramente identificativos o de contacto del cliente.

9.5.- Prevención del fraude y lucha contra el blanqueo de capitales.

a.- Comprobación de los datos de un cliente antes de abrir una cuenta bancaria.
Es un supuesto claro de interés legítimo del responsable, siempre y cuando sean los datos estrictamente necesarios. Además, podría tener encaje en el artículo 7 c) (si existe una ley que da amparo a este tratamiento).

b.- Lista negra de drogadictos.
Esta lista ha sido elaborada por diferentes hospitales, y son incluidos pacientes que toman drogas hasta tal punto de que pueden robarlas de los centros sanitarios. Se trata de prohibirles el acceso a cualquier dependencia en la que sea factible el robo de medicamentos que contengan sustancias psicotrópicas. Al tratarse de datos de salud, sería excesivo este tratamiento, salvo que existiese una ley que lo permitiese y regulase también salvaguardas en favor de los afectados.

9.6.- Monitorización de los empleados por razones de seguridad o de gestión.

a.- Control de las horas extraordinarias realizadas por abogados para el pago de “bonus de empresa”.
Se trataría de implementar un sistema transparente en la empresa, y que aquel que no estuviese conforme sobre la relación hora extraordinarias-bonus que recibe un empleado, lo pudiese discutir con el correspondiente jefe. Al igual que en algún otro caso que ya hemos expuesto, además del artículo 7 f), habría amparo en el artículo 7 c).

b.-Control del uso del Internet en el puesto de trabajo.
Se permite siempre y cuando se haya informado a los trabajadores y a sus representantes. No obstante, se puede adoptar alguna medida alternativa como prohibir el acceso a determinadas webs.

9.7.- Seguridad tanto en el centro de trabajo como IT.

a- Cámaras ocultas para detectar a los fumadores.
Se han instalado cámaras en el centro de trabajo con la finalidad de identificar a los fumadores (empleados y visitantes) que fumen en áreas no permitidas. Como las cámaras están ocultas, sería totalmente desproporcionado. Sería suficiente con poner detectores de humo a la vista de cualquiera.


6 comentarios

  1. Maria
    5 de marzo de 2019 @ 23:30

    Gracias. Muy útil el contenido.

    Responder

  2. Gontzal Gallo
    6 de marzo de 2019 @ 09:44

    Simplemente impresionante documento y trabajo, tanto de análisis jurídico, como recopilatorio. Mi enhorabuena a Javier y, como siempre, a su desinteresado trabajo y a su disponibilidad infinita a compartir información.

    Gracias!

    Responder

  3. Diego León
    6 de marzo de 2019 @ 18:31

    Mil gracias por compartir tu excelente trabajo, como siempre!

    Responder

  4. David Muñiz
    8 de marzo de 2019 @ 21:36

    Artículo impresionante, muchísimas por compartir tus conocimientos y sabiduría.

    Responder

  5. Nacho Carrasco
    10 de marzo de 2019 @ 21:00

    Lo puedo copiar? 🙂
    Prometo citarte! Lol

    Mas largo y sale una tesis!
    Enhorabuena!

    Responder

  6. Rousse
    25 de septiembre de 2019 @ 09:38

    Mil y mil gracias!!! Por la dedicación a tan valiosa información!!

    Responder

Responder a Nacho Carrasco Cancelar

Protección de datos de carácter personal: con el envío del comentario, el usuario admite haber leído y aceptado la información en materia de protección de datos de carácter personal que se incluye en la información legal existente en esta página, al que se accede a través de pestaña bajo ese título, "Información legal" , situada en la parte superior de la página de inicio de este blog, y donde se informa de los titulares del blog, de las finalidades para las que se utilizarán los datos personales comunicados, así como la dirección para el ejercicio de los derechos reconocidos en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Los datos marcados con asterisco, son de obligado cumplimiento para aceptar la publicación del comentario. Si tales datos no fuesen facilitados, el comentario enviado será eliminado sin proceder a su publicación.

*