El EDPB publica unas directrices sobre el tratamiento de datos personales basado en el interés legítimo

En primer lugar, y para poder determinar si un tratamiento puede basarse en el interés legítimo, se deben cumplir tres condiciones o pasos que son acumulativos y se pueden resumir de la siguiente manera:

a) Existencia de un interés legítimo por parte del Responsable o un tercero:

El concepto de "interés" está relacionado, pero es distinto del "propósito" mencionado en el Artículo 5.1.b) del GDPR. El propósito es la razón específica para tratar datos, mientras que el interés es un beneficio más amplio que puede tener el Responsable o un tercero al realizar una actividad de tratamiento. No todos los intereses permiten invocar el Artículo 6.1.f) del GDPR; primero debe determinarse si el interés es "legítimo", lo cual implica que sea lícito, claro y presente.

Tanto el RGPD como el Tribunal de Justicia de la Unión Europea (TJUE) han reconocido varios intereses como legítimos, por ejemplo, el acceso a información online o la protección de propiedades. Sin embargo, el Responsable debe evaluar siempre si el tratamiento es necesario y equilibrar este interés legítimo con los derechos y libertades fundamentales de los afectados.

El interés de terceros también puede ser legítimo, como en casos de defensa legal, transparencia o investigación científica. Si los datos se usan para un fin diferente al original, se debe comprobar la compatibilidad con el propósito inicial.

b) Análisis de la necesidad del tratamiento para lograr los intereses legítimos:

La "necesidad del tratamiento" no se refiere solo a lo que es útil para un interés legítimo, sino que debe interpretarse según los objetivos de la protección de datos en la UE. Esto incluye considerar los derechos fundamentales a la privacidad y la minimización de datos, es decir, los datos tratados deben ser adecuados y limitados a lo necesario para cumplir con su propósito.

En este sentido, se debe evaluar si el interés legítimo no puede lograrse de manera igual de efectiva con medios menos invasivos. Si existen alternativas menos intrusivas, el tratamiento no será considerado "necesario". La estricta necesidad se subraya, por ejemplo, en casos como la prevención de fraudes.

c) Metodología para el análisis de ponderación:

Este proceso implica equilibrar los intereses del Responsable con los derechos del interesado, considerando:

• Derechos e intereses del interesado: El Responsable debe identificar los derechos y libertades del interesado que puedan verse afectados, incluyendo su derecho a la protección de datos, privacidad y otros derechos fundamentales como la libertad de expresión, propiedad y no discriminación.
• Impacto del tratamiento: El Responsable debe evaluar el impacto que el tratamiento tendrá en el interesado, considerando factores como la naturaleza de los datos (sensibles o no), el contexto del tratamiento (relaciones laborales, cliente-proveedor, etc.), y las posibles consecuencias (decisiones legales, exclusión de servicios, o riesgos a la integridad física o mental).
• Expectativas razonables del interesado: El Responsable debe considerar las expectativas razonables del interesado en relación con el tratamiento, basadas en la naturaleza de su relación y el contexto en el que se recopilan los datos. No se debe asumir que todos los interesados tienen las mismas expectativas, especialmente si existen indicios concretos de expectativas individuales.
• Medidas de mitigación: Si el impacto en el interesado es significativo, el Responsable puede adoptar medidas adicionales para minimizar ese impacto. Estas medidas deben ir más allá de las obligaciones básicas del RGPD.

Como parte de las obligaciones establecidas por el RGPD, los Responsables del Tratamiento deben informar claramente a los interesados sobre el tratamiento de sus datos, incluidos, evidentemente, los intereses legítimos que persiguen. Asimismo, los interesados también tienen el derecho de ser informados sobre sus derechos y sobre cómo pueden acceder a información adicional, como los resultados de las pruebas de ponderación de intereses.

En relación con los distintos derechos de protección de datos, los interesados pueden oponerse al tratamiento de sus datos si este se basa en el interés legítimo del Responsable. Una vez que un interesado se opone, el tratamiento debe cesar a menos que el Responsable pueda demostrar razones legítimas imperiosas para continuar.

Asimismo, pueden solicitar la eliminación de sus datos en ciertas circunstancias, como cuando los datos ya no son necesarios para los fines para los que fueron recogidos o cuando el tratamiento fue objetado correctamente.

Por último, y para cerrar este bloque, también existe la posibilidad de solicitar la corrección de datos inexactos o incompletos y, en algunos casos, la limitación del tratamiento de sus datos mientras se verifica si prevalecen los intereses legítimos del Responsable.

El EDPB finaliza las nuevas directrices estableciendo una serie de supuestos en los que los Responsables del Tratamiento podrán ampararse en su interés legítimo para llevar a cabo un tratamiento de datos personales. Entre estos supuestos destacan, entre otros, los siguientes:

• Tratamiento de datos personales de menores: Los datos personales de menores de edad merecen de protección específica, ya que tienen menor conciencia de los riesgos, consecuencias y garantías en lo que respecta a sus derechos. En este sentido, el artículo 6.1.f) hace mención específica a esta especial protección. Sin perjuicio de lo anterior, se deberá tener en cuenta esta consideración al llevar a cabo el test de ponderación.
• Tratamientos llevados a cabo por las autoridades: Aunque el artículo 6.1.f) establece que el interés legítimo no se aplica a los tratamientos llevados a cabo por las autoridades, esta disposición no se aplica en aquellos casos donde el tratamiento no esté relacionado con las funciones o tareas ejercidas por las propias autoridades en virtud de sus competencias.
• Tratamientos cuya finalidad se basa en la prevención del fraude:
   Tanto los proveedores de servicios como sus clientes y otros terceros tienen un interés en evitar y detectar actividades fraudulentas, por lo que, a los ojos del EDPB, este tratamiento puede basarse en el artículo 6.1.f) del RGPD.
• Tratamientos con finalidades de mercadotecnia directa: En relación con este tipo de tratamientos, el EDPB declara que se deben considerar los requisitos contenidos en las distintas normativas de los estados miembros. Asimismo, se requerirá un análisis caso por caso para determinar si, efectivamente, el interés legítimo es una base jurídica apropiada.