Menu

Menu

Menu

De interés

Nuestro propósito y nuestros valores: Código de conducta

Reconocimientos

Loading Results

El EDPB publica unas directrices sobre el tratamiento de datos personales basado en el interés legítimo
El EDPB publica unas directrices sobre el tratamiento de datos personales basado en el interés legítimo
  • 17/10/24

El EDPB ha publicado unas directrices en las que se analizan aquellos criterios que los responsables del tratamiento deben seguir cuando se amparen en el interés legítimo para llevar a cabo un tratamiento de datos personales.

El pasado 9 de octubre, el Comité Europeo de Protección de Datos (en adelante, “EDPB”) publicó unas directrices en las que analizaba los criterios que cualquier Responsable del Tratamiento deberá seguir al ampararse en su interés legítimo, según lo definido por el artículo 6.1.f) del RGPD, para llevar a cabo un tratamiento de datos personales.

Cabe destacar que las directrices publicadas por el EDPB están siendo objeto de consulta pública, y aquellas partes interesadas podrán emitir sus opiniones o comentarios hasta el día 20 de noviembre de este año 2024.

Dichas directrices, se dividen en tres bloques principales:  

En primer lugar, y para poder determinar si un tratamiento puede basarse en el interés legítimo, se deben cumplir tres condiciones o pasos que son acumulativos y se pueden resumir de la siguiente manera:

a) Existencia de un interés legítimo por parte del Responsable o un tercero:

El concepto de "interés" está relacionado, pero es distinto del "propósito" mencionado en el Artículo 5.1.b) del GDPR. El propósito es la razón específica para tratar datos, mientras que el interés es un beneficio más amplio que puede tener el Responsable o un tercero al realizar una actividad de tratamiento. No todos los intereses permiten invocar el Artículo 6.1.f) del GDPR; primero debe determinarse si el interés es "legítimo", lo cual implica que sea lícito, claro y presente.

Tanto el RGPD como el Tribunal de Justicia de la Unión Europea (TJUE) han reconocido varios intereses como legítimos, por ejemplo, el acceso a información online o la protección de propiedades. Sin embargo, el Responsable debe evaluar siempre si el tratamiento es necesario y equilibrar este interés legítimo con los derechos y libertades fundamentales de los afectados.

El interés de terceros también puede ser legítimo, como en casos de defensa legal, transparencia o investigación científica. Si los datos se usan para un fin diferente al original, se debe comprobar la compatibilidad con el propósito inicial.

b) Análisis de la necesidad del tratamiento para lograr los intereses legítimos:

La "necesidad del tratamiento" no se refiere solo a lo que es útil para un interés legítimo, sino que debe interpretarse según los objetivos de la protección de datos en la UE. Esto incluye considerar los derechos fundamentales a la privacidad y la minimización de datos, es decir, los datos tratados deben ser adecuados y limitados a lo necesario para cumplir con su propósito.

En este sentido, se debe evaluar si el interés legítimo no puede lograrse de manera igual de efectiva con medios menos invasivos. Si existen alternativas menos intrusivas, el tratamiento no será considerado "necesario". La estricta necesidad se subraya, por ejemplo, en casos como la prevención de fraudes.

c) Metodología para el análisis de ponderación:

Este proceso implica equilibrar los intereses del Responsable con los derechos del interesado, considerando:

  • Derechos e intereses del interesado: El Responsable debe identificar los derechos y libertades del interesado que puedan verse afectados, incluyendo su derecho a la protección de datos, privacidad y otros derechos fundamentales como la libertad de expresión, propiedad y no discriminación.
  • Impacto del tratamiento: El Responsable debe evaluar el impacto que el tratamiento tendrá en el interesado, considerando factores como la naturaleza de los datos (sensibles o no), el contexto del tratamiento (relaciones laborales, cliente-proveedor, etc.), y las posibles consecuencias (decisiones legales, exclusión de servicios, o riesgos a la integridad física o mental).
  • Expectativas razonables del interesado: El Responsable debe considerar las expectativas razonables del interesado en relación con el tratamiento, basadas en la naturaleza de su relación y el contexto en el que se recopilan los datos. No se debe asumir que todos los interesados tienen las mismas expectativas, especialmente si existen indicios concretos de expectativas individuales.
  • Medidas de mitigación: Si el impacto en el interesado es significativo, el Responsable puede adoptar medidas adicionales para minimizar ese impacto. Estas medidas deben ir más allá de las obligaciones básicas del RGPD.

Como parte de las obligaciones establecidas por el RGPD, los Responsables del Tratamiento deben informar claramente a los interesados sobre el tratamiento de sus datos, incluidos, evidentemente, los intereses legítimos que persiguen. Asimismo, los interesados también tienen el derecho de ser informados sobre sus derechos y sobre cómo pueden acceder a información adicional, como los resultados de las pruebas de ponderación de intereses.

En relación con los distintos derechos de protección de datos, los interesados pueden oponerse al tratamiento de sus datos si este se basa en el interés legítimo del Responsable. Una vez que un interesado se opone, el tratamiento debe cesar a menos que el Responsable pueda demostrar razones legítimas imperiosas para continuar.

Asimismo, pueden solicitar la eliminación de sus datos en ciertas circunstancias, como cuando los datos ya no son necesarios para los fines para los que fueron recogidos o cuando el tratamiento fue objetado correctamente.

Por último, y para cerrar este bloque, también existe la posibilidad de solicitar la corrección de datos inexactos o incompletos y, en algunos casos, la limitación del tratamiento de sus datos mientras se verifica si prevalecen los intereses legítimos del Responsable.

El EDPB finaliza las nuevas directrices estableciendo una serie de supuestos en los que los Responsables del Tratamiento podrán ampararse en su interés legítimo para llevar a cabo un tratamiento de datos personales. Entre estos supuestos destacan, entre otros, los siguientes:

  • Tratamiento de datos personales de menores: Los datos personales de menores de edad merecen de protección específica, ya que tienen menor conciencia de los riesgos, consecuencias y garantías en lo que respecta a sus derechos. En este sentido, el artículo 6.1.f) hace mención específica a esta especial protección. Sin perjuicio de lo anterior, se deberá tener en cuenta esta consideración al llevar a cabo el test de ponderación.
  • Tratamientos llevados a cabo por las autoridades: Aunque el artículo 6.1.f) establece que el interés legítimo no se aplica a los tratamientos llevados a cabo por las autoridades, esta disposición no se aplica en aquellos casos donde el tratamiento no esté relacionado con las funciones o tareas ejercidas por las propias autoridades en virtud de sus competencias.
  • Tratamientos cuya finalidad se basa en la prevención del fraude:
         Tanto los proveedores de servicios como sus clientes y otros terceros tienen un interés en evitar y detectar actividades fraudulentas, por lo que, a los ojos del EDPB, este tratamiento puede basarse en el artículo 6.1.f) del RGPD.
  • Tratamientos con finalidades de mercadotecnia directa: En relación con este tipo de tratamientos, el EDPB declara que se deben considerar los requisitos contenidos en las distintas normativas de los estados miembros. Asimismo, se requerirá un análisis caso por caso para determinar si, efectivamente, el interés legítimo es una base jurídica apropiada.

Conclusión

Las directrices publicadas por el Comité Europeo de Protección de Datos, aunque todavía puedan sufrir algún cambio a raíz de la consulta pública, representan un avance significativo en la clarificación de cómo los Responsables del Tratamiento pueden ampararse en su interés legítimo según el artículo 6.1.f) del RGPD.

Estas directrices no sólo proporcionan un marco detallado y estructurado para evaluar la legitimidad del tratamiento de datos, sino que también subrayan la importancia de equilibrar dicho interés con los derechos y libertades fundamentales de los interesados.

Artículo elaborado por Samanta Murillo Geiser, manager de Regulación Digital de PwC Tax & Legal y Albert Betorz, associate de Regulación Digital de PwC Tax & Legal.

Contacta con nosotros

Fernando Fernández-Miranda

Fernando Fernández-Miranda

Socio responsable de NewLaw Pulse, PwC Tax & Legal

Email

© 2016 - 2025 PwC. Todos los derechos reservados. No se permite la distribución adicional sin autorización de PwC. “PwC” hace referencia a la red de firmas miembros de PricewaterhouseCoopers International Limited (PwCIL) o, según cada caso concreto, a firmas miembros individuales de la red PwC. Cada firma miembro es una entidad jurídica independiente y no actúa como agente de PwCIL ni de ninguna otra firma miembro. PwCIL no presta servicios a clientes. PwCIL no se responsabiliza ni responde de los actos u omisiones de ninguna de sus firmas miembros, ni del contenido profesional de sus trabajos ni puede vincularlas u obligarlas en forma alguna. De igual manera, ninguna de las firmas miembro son responsables por los actos u omisiones del resto de las firmas miembros ni del contenido profesional de sus trabajos, ni pueden vincular u obligar ni a dichas firmas miembros ni a PwCIL en forma alguna.