El pasado 08 de octubre de 2024 el Consejo Europeo de Protección de Datos (“CEPD”) publicó unas directrices sobre el tratamiento de datos personales basado en el interés legítimo (“Directrices”).

Las Directrices examinan los criterios establecidos en el artículo 6.1.(f) del Reglamento General de Protección de Datos (“RGPD”) que los responsables del tratamiento deben cumplir para tratar datos personales cuando dicho tratamiento sea “necesario para los fines de los intereses legítimos perseguidos por el responsable del tratamiento o por un tercero”.

El artículo 6.1.(f) del RGPD es una de las seis bases legales previstas para el tratamiento legítimo de datos personales.

Por tanto, el interés legítimo no debe considerarse como una última opción para situaciones excepcionales o imprevistas en las que no aplican otras bases legales (p. ej., el consentimiento), ni seleccionarse automáticamente ni ampliarse su uso de forma indebida bajo la idea de que es menos restrictivo que otras bases legales por fundamentarse en una decisión unilateral del responsable del tratamiento.

En este sentido, el CEPD indica que para que el tratamiento de datos personales se base en el artículo 6.1.(f) del RGPD, deben cumplirse tres condiciones acumulativas:

i. La existencia de un interés legítimo por parte del responsable del tratamiento o de un tercero.

ii. La necesidad de tratar datos personales para los fines de dicho interés legítimo.

iii. Los intereses, derechos fundamentales o libertades de los interesados no prevalezcan sobre los intereses legítimos del responsable del tratamiento o de un tercero.

Para determinar si un tratamiento de datos personales puede basarse en el artículo 6.1.(f) del RGPD, los responsables del tratamiento deben realizar una evaluación detallada y documentar si se cumplen las tres condiciones acumulativas anteriormente indicadas. La evaluación debe completarse antes de llevar a cabo las operaciones de tratamiento correspondientes.

I. Existencia

No todos los intereses del responsable del tratamiento o de un tercero pueden considerarse legítimos. Solo pueden invocarse como base legal aquellos intereses que sean legales, claramente definidos y actuales.

Además, es obligación del responsable del tratamiento informar al interesado sobre los intereses legítimos que motivan dicho tratamiento.

II. Necesidad

Debe evaluarse si el interés legítimo no puede lograrse de manera razonable y efectiva a través de medios alternativos que sean menos restrictivos para los derechos y libertades fundamentales de los interesados, teniendo en cuenta también el principio de minimización de datos personales establecido en el artículo 5.1 del RGPD.

En consecuencia, si existen otros medios menos restrictivos, el tratamiento no puede basarse en el artículo 6.1.(f).

III. Prevalencia

Los intereses, derechos fundamentales o libertades del interesado no deben prevalecer sobre los intereses legítimos del responsable del tratamiento o de un tercero (relacionado con el responsable del tratamiento), lo cual implica encontrar un equilibrio entre los derechos e intereses en conflicto que depende principalmente de las circunstancias específicas del tratamiento en cuestión.

El tratamiento solo será posible si el resultado de este análisis muestra que los intereses legítimos del responsable del tratamiento o de un tercero no son anulados por los derechos y libertades del interesado.

Conclusiones

i. Cuando se pretenda basar el tratamiento en el interés legítimo, el responsable del tratamiento debe realizar una evaluación adecuada en virtud del artículo 6.1.(f) del RGPD.

ii. La evaluación para determinar la idoneidad del tratamiento basado en el interés legítimo no es una tarea sencilla, dado que exige una consideración detallada de una serie de factores que permitan realizar una ponderación entre los derechos de los interesados y el interés legítimo del responsable del tratamiento o de un tercero.

iii. Entre los factores a tener en cuenta se encuentran:

• la naturaleza y el origen del interés legítimo,
• el impacto del tratamiento sobre los derechos y libertades des fundamentales del interesado,
• las expectativas razonables del interesado respecto al tratamiento, y
• la existencia de garantías adicionales que puedan limitar impactos indebidos en los derechos de los interesados.

iv. Las Directrices ofrecen una orientación sobre cómo llevar a cabo una evaluación que permita a los responsables del tratamiento basar el tratamiento en el interés legítimo, incluyendo ejemplos en contextos específicos (p. ej., la prevención del fraude o el marketing).

v. Las Directrices explican la relación entre el artículo 6.1.(f) del RGPD y diversos derechos de los interesados recogidos en el reglamento.

vi. Finalmente, es importante mencionar que las Directrices han pasado por un proceso de consulta pública, permitiendo a las partes interesadas presentar sus opiniones o comentarios hasta el pasado 20 de noviembre de 2024 y, por tanto, aún pueden ser modificadas.