¿Hasta dónde llega el interés legítimo en la nueva LOPD?
21 de febrero de 2019
¿Hasta dónde llega el interés legítimo en la nueva LOPD?
El pasado diciembre entró en vigor la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Esta norma nace con la doble misión de adaptar el ordenamiento español al Reglamento General de Protección de Datos -Reglamento (UE) 2016/679- y de introducir un sistema de garantía de los derechos digitales. La adaptación pretende, como razón última, procurar seguridad jurídica.
En este sentido, su Título IV establece una presunción iuris tantum de prevalencia del interés legítimo del responsable, siempre que se den una serie de requisitos, en las siguientes tipologías de tratamientos: los relativos a datos de contacto, de empresarios individuales y de profesionales liberales; los sistemas de información crediticia; y los tratamientos relacionados con operaciones mercantiles. No son los únicos que pueden basarse en el interés legítimo pero son los elegidos por el legislador para que se beneficien de la referida presunción.
La regulación de estas tres casuísticas era en cierto modo demandada por amplios sectores del tejido empresarial. En el caso de los datos de contacto, el Reglamento de desarrollo de la anterior LOPD (Real Decreto 1720/2007, de 21 de diciembre) excluía de su ámbito de aplicación los datos de contacto de las personas físicas que presten sus servicios en personas jurídicas, así como los datos de empresarios individuales.
El Reglamento General de Protección de Datos no contempla este tipo de excepciones, por lo que la solución dada en la nueva LOPDGDD consiste en establecer la presunción de interés legítimo en el tratamiento de datos de contacto, así como de los de empresarios individuales y -añade- de profesionales liberales. En los sistemas de información crediticia se prevén unos requisitos análogos a los contemplados en la anterior LOPD y en su Reglamento de desarrollo, con algunos matices y limitaciones. Por ejemplo, la presunción no ampara los perfilados para la calificación crediticia del individuo. La modificación del responsable como consecuencia de una operación societaria no tenía la consideración de cesión -y por tanto no requería consentimiento de los interesados- en la normativa anterior, mientras que la LOPDGDD presume la licitud de las comunicaciones en estos casos incluso antes de realizarse dichas operaciones.
El interés legítimo es una de las bases que permite a los responsables el tratamiento de datos personales. Se da, por ejemplo, cuando el interesado es cliente del responsable y este quiere efectuar tratamientos no estrictamente necesarios para realizar la prestación contratada pero sí conveniente para sus intereses y razonablemente esperable por el cliente (por ejemplo, enviarle ofertas de productos similares al adquirido).
A diferencia del resto de bases jurídicas del tratamiento, el interés legítimo requiere con carácter general una evaluación y justificación previa por parte del responsable para confirmar que su interés prevalece sobre el de los interesados. En la práctica, ello supone que las organizaciones que pretendan ampararse en el interés legítimo como base jurídica para un determinado tratamiento, deben realizar previamente este ejercicio de valoración de los intereses en juego mediante el correspondiente informe de ponderación o documento similar, que permita al responsable demostrar el cumplimiento de la norma (principio de accountability).
Ciertamente esta obligación lleva aparejado un cierto riesgo pues, al fin y al cabo, demostrar que una norma te impone la cesión de datos a la Administración tributaria o al Sepblac, o que un interesado firmó un contrato o marcó una casilla, es a priori más sencillo que convencer a la autoridad de que tu interés como organización es superior a los intereses y derechos de los interesados. De ahí que los informes de ponderación sean una pieza clave para fundamentar determinadas acciones.
La LOPDGDD no sustituye el interés legítimo por la habilitación legal para los tratamientos de datos de contacto profesionales, de sistemas de información crediticia y aquellos relacionados con operaciones mercantiles pues deja claro que se trata de una presunción iuris tantum, es decir, que admite prueba en contrario. Además, prevé unos requisitos para cada caso a fin de que la presunción opere. Por tanto, introduce un cierto automatismo en la evaluación de los intereses, presumiendo la prevalencia de los del responsable del tratamiento, lo cual ciertamente supone un avance en términos de seguridad jurídica.
Sin embargo, conviene insistir en estos dos matices: deben respetarse los requisitos definidos específicamente para cada una de estas tres tipologías de tratamientos y aun cuando estos se cumplan, siempre cabe la opción de que el interesado demuestre que sus intereses son prevalentes. Por tanto, la espada de Damocles sigue suspendida sobre las "cabezas" de las organizaciones responsables del tratamiento de datos en los referidos supuestos.