El pasado mes de octubre fue un mes con una actividad particularmente intensa respecto a la interpretación del concepto “interés legítimo” recogido en el artículo 6.1.f) del Reglamento General de Protección de Datos (RGPD).
Como sabemos, los responsables del tratamiento de datos personales deben cumplir con el principio de licitud, es decir, necesitan una base de legitimación para tratar los datos personales de forma lícita. Existen seis bases que legitiman los tratamientos, siendo el “interés legítimo” una de ellas.
Sin duda alguna esta es la base de legitimación más ambivalente, y cuya interpretación ha sido – y sigue siendo - objeto de numerosos debates, por tratarse de un concepto difuso e indeterminado, no definido legalmente. No obstante, el artículo 6.1.f) del RGPD y los considerandos 47, 48 y 49 ofrecen algunas pistas.
Pues bien, el pasado 9 de octubre, el Comité Europeo de Protección de Datos publicó las Directrices 1/2024 sobre el tratamiento de datos personales basado en el interés legítimo en las que analiza los criterios establecidos en el RGPD, indicando resumidamente que, para basarse en un interés legítimo, el responsable del tratamiento debe cumplir tres condiciones acumulativas:
(i) La persecución de un interés legítimo por parte del responsable del tratamiento o de un tercero;
(ii) La necesidad de procesar datos personales con el fin de perseguir el interés legítimo;
(iii) Los intereses o las libertades y derechos fundamentales de las personas no prevalecen sobre los intereses legítimos del responsable del tratamiento o de un tercero (ejercicio de equilibrio).
Estas Directrices se encuentran en fase de consulta pública hasta el 20 de noviembre, a partir de cuya fecha se publicarán las definitivas. Lo interesante de las Directrices es que tienen en cuenta una sentencia del Tribunal de Justicia de la Unión Europea publicada apenas 5 días antes que versa también sobre el concepto de interés legítimo (asunto C-621/22). En particular, analiza si el interés meramente comercial, perseguido por una compañía o entidad, puede ser un interés legítimo.
El punto de partida es una resolución de la autoridad de protección de datos de Países Bajos por la que sancionó a una federación de asociaciones de tenis por comunicar los datos de sus asociados a dos patrocinadores (una empresa que vende productos deportivos y un proveedor de juegos de azar), considerando la autoridad de control que existe infracción del RGPD dado que no se contaba con el consentimiento de los asociados ni con ninguna otra base de legitimación para dicha comunicación de datos.
En particular, la autoridad de control holandesa se pronunció sobre el interés legítimo invocado por la asociación sancionada, afirmando que el interés legítimo recogido en el art.6.1.f) RGPD deber responder a un criterio positivo y, por tanto, debe estar regulado en alguna ley nacional o amparado por el derecho de la UE, no siendo el caso del interés comercial alegado por la asociación.
Ante dicha resolución, la asociación sancionada recurrió a un Tribunal de Primera Instancia de Amsterdam que presentó cuestión prejudicial ante el TJUE para aclarar, entre otros asuntos, si (i) el interés legítimo debe estar amparado por alguna ley y, en su caso (ii) si el interés comercial, consistente en la venta de datos de los miembros de la asociación a dos patrocinadores con fines de mercadotecnia directa, puede ser considerado interés legítimo.
Pues bien, el TJUE analiza los tres requisitos acumulativos para que el tratamiento resulte lícito, y establece que:
(i) Respecto a la persecución del interés legítimo por parte del responsable o un tercero, enmendando a la autoridad de control de Países Bajos, indica que no es necesario que el interés perseguido por un responsable del tratamiento esté previsto por la ley para que el tratamiento de los datos personales que realiza dicho responsable sea legítimo y, por lo tanto, el interés comercial puede ser considerado un interés legítimo. Ahora bien, aunque no se requiere que venga determinado por ley sí exige que el interés legítimo alegado sea lícito, es decir, no contrario a la ley.
(ii) Respecto a la necesidad del tratamiento de datos personales para la satisfacción del interés legítimo perseguido, debe tenerse en cuenta si no puede alcanzarse razonablemente de manera igual de eficaz por otros medios menos intrusivos para las libertades y los derechos fundamentales de los interesados. Aunque es el órgano jurisdiccional quien ha de realizar el análisis en el caso concreto, el TJUE indica que podrían existir medios menos lesivos, por ejemplo, si la federación deportiva hubiera informado a sus miembros sobre la comunicación de datos a terceros con fines publicitarios y les preguntase si están de acuerdo.
(iii) Por último, respecto a la prevalencia del interés legítimo sobre los derechos y libertades de los interesados, debe realizarse una ponderación de los intereses en juego caso por caso, teniendo en cuenta, entre otros criterios, la expectativa razonable que pudiera tener el interesado sobre dicho tratamiento. En el caso concreto, se debe analizar si los miembros de la asociación al facilitar sus datos para registrase podían esperar razonablemente que fueran comunicados onerosamente a los patrocinadores con fines publicitarios. Y de nuevo, aunque la ponderación debe realizarla el órgano jurisdiccional, el TJUE le interpela para que tenga en cuenta que uno de los patrocinadores es un proveedor de juegos de azar, con el riesgo vinculado al desarrollo de la ludopatía que puede suponer para los miembros de la asociación el tratamiento por parte de dicho proveedor.