Entre las bases legitimadoras del tratamiento previstas en el primer apartado del artículo 6 del Reglamento General de Protección de Datos (RGPD), el interés legítimo ha sido quizás la que más dudas ha suscitado, toda vez que el concepto no queda expresamente definido en la nueva normativa, lo que dificulta la identificación y encaje de las situaciones que pueden quedar al amparo de esta base legitimadora. La letra f del citado artículo 6 RGPD indica que el tratamiento es lícito cuando “es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado […]”.

La peculiaridad que presenta el interés legítimo es que requiere la realización de una “prueba de sopesamiento” (en palabras del Grupo de Trabajo del Artículo 29, actualmente el Comité Europeo de Protección de Datos, en su Dictamen 06/2014 sobre esta materia). Tal juicio debe considerar, por un lado, el interés legítimo perseguido por el responsable del tratamiento y, por otro, los intereses, derechos y libertades fundamentales del interesado, teniendo en cuenta las circunstancias concretas de cada caso. Este ha sido uno de los aspectos más controvertidos, puesto que el proceso para llevar a cabo este juicio de valoración no está descrito, sino que se perfila a raíz de los informes de distintas autoridades como el Comité Europeo de Protección de Datos, la Agencia Española de Protección de Datos o el Information Commissioner’s Office, entre otras.

Como se explica en el mencionado Dictamen 06/2014, para efectuar la ponderación se debe seguir un proceso que se puede dividir, a grandes rasgos, en tres fases:

  • La primera consiste en determinar el interés legítimo del responsable del tratamiento. Es preciso identificar cuál es la finalidad del tratamiento y por qué es importante para el responsable.
  • Además, hay que establecer el nivel de necesidad del tratamiento. Debemos preguntarnos si el tratamiento de los datos es realmente necesario para conseguir la finalidad perseguida o si existe otra forma de satisfacer el interés legítimo. En el caso de que el tratamiento no se considere necesario, tendremos que descartar esta vía como base jurídica del tratamiento de datos personales.
  • Finalmente, hay que llevar a cabo la ponderación entre el interés legítimo del responsable y los intereses, derechos y libertades fundamentales del interesado de forma realista y justa. Este paso se debe realizar teniendo en cuenta ciertos factores que pueden inclinar la balanza hacia un lado o hacia el otro, como por ejemplo la naturaleza de los datos (las categorías especiales de datos o los datos de menores exigen una mayor protección bajo el RGPD), la forma en que son tratados, la relación existente entre el interesado y el responsable, así como las expectativas que puede tener el primero sobre el tratamiento de sus datos o el posible impacto (ya sea de carácter positivo o negativo) que pueda ocasionarle.

En el caso de que, tras el análisis, todavía exista duda al respecto, el responsable puede introducir medidas o garantías adicionales que podrían, según el caso, decantar la decisión, ayudando a garantizar que el tratamiento pueda basarse en la letra f del artículo 6, siempre que los derechos y libertades fundamentales de los interesados queden debidamente protegidos. Así pues, si el responsable decide adoptar estas garantías “extra”, tendrá que realizar un nuevo análisis que valore los riesgos y consecuencias en función de las medidas establecidas y que considere si estas mitigan los efectos negativos que conllevaba el tratamiento para los interesados. La respuesta a la pregunta de si el interés del responsable del tratamiento se antepone al de los interesados dependerá del resultado de esta última valoración.

Al finalizar este proceso, deberíamos saber cuál de los intereses prevalece, si el del responsable del tratamiento o el del interesado.