El Comité Europeo de Protección de Datos pone a consulta las directrices sobre los tratamientos basados en el interés legítimo

El Comité Europeo de Protección de Datos (CEPD o EDPB en siglas inglesas) ha puesto a consulta, el 9-10-2024, las Directrices 1/2024, sobre el tratamiento de datos personales basado en el interés legítimo del artículo 6.1.f) del reglamento general de protección de datos¹ (RGPD).

La consulta termina el 20-11-2024.

El objeto de las directrices —según recoge el propio texto— es comunicar pautas para:

• interpretar el interés legítimo previsto en el RGPD como base para tratar datos personales,
• evaluar y ponderar ese interés legítimo, y
• atender los derechos de los interesados cuando sus datos sean tratados con el argumento del interés legítimo del responsable.

Resaltamos los principales puntos de las directrices.

Consideraciones previas al amparo en el interés legítimo

El responsable debe tener en cuenta ciertos elementos antes de ampararse en el interés legítimo para realizar el tratamiento.

No se trata solo de identificar un interés legítimo suyo o de otra persona, sino que debe realizar un análisis más profundo considerando los puntos siguientes:

1. Necesidad de las actividades de tratamiento para alcanzar la finalidad perseguida y si existen medios menos intrusivos.
   • Esto quiere decir que, si hay tratamientos menos intrusivos que sean también adecuados, hay que desarrollar estos.
2. Ponderar los intereses legítimos del responsable o de la otra persona, y los derechos y libertades de los interesados.
   • Hay que considerar el efecto del tratamiento en los interesados, el contexto en el que tiene lugar, la naturaleza de los datos personales tratados y las posibles consecuencias.
3. Tener en cuenta las expectativas razonables del interesado antes de tratar sus datos alegando un interés legítimo.
   • El interesado no debería verse sorprendido por el tratamiento de sus datos o por sus consecuencias.
   • Las directrices también indican las pautas para evaluar si existen dichas expectativas razonables.
4. Introducir garantías adicionales que mitiguen el riesgo del tratamiento.
   • Estas garantías deben ir más allá de lo necesario para que el responsable cumpla con sus obligaciones de protección de datos.

Elaboración de perfiles

Las directrices resaltan que el RGPD solo autoriza estos tratamientos en unos supuestos concretos que no incluyen el interés legítimo. Por ello, el interés legítimo no puede invocarse como fundamento de licitud para elaborar perfiles.

No obstante, las directrices puntualizan que, si el tratamiento sirve para elaborar perfiles, pero no para la automatización de decisiones, sí podrá apoyarse en el interés legítimo, y, en este caso, el responsable debe tener en cuenta los siguientes elementos para ponderar los intereses:

1. El nivel de detalle del perfilado.
2. La comprensibilidad del perfilado.
3. El efecto del perfilado.
4. Las posibles combinaciones futuras de perfilados.
5. Las garantías de no discriminación, de precisión del perfil y de equidad.

Supuestos para ampararse en un interés legítimo

Las directrices recogen supuestos en los que cabe acudir al interés legítimo. Son:

• tratamientos de datos de menores,
• tratamientos realizados por autoridades,
• tratamientos destinados a prevenir situaciones de fraude,
• mercadotecnia directa,
• cesiones de datos intragrupo con fines organizativos internos,
• tratamientos que tengan la finalidad de asegurar la seguridad de las redes, o
• comunicación de datos personales a las autoridades.