Ja sabem que, amb la regulació de l’RGPD, hi ha sis bases jurídiques que ens permeten tractar les dades de forma lícita: el consentiment, el tractament per a l’execució d’un contracte, el compliment d’una obligació legal, l’interès vital de l’interessat, la missió d’interès públic i l’interès legítim (IL).
Aquestes bases legitimadores, doncs, es converteixen en l’engranatge fonamental per a realitzar qualsevol tractament de dades. Un responsable de tractament de dades no podrà tractar dades sempre que vulgui, sinó només quan estigui habilitat per això. Per tant, tan sols quan existeixi una base legitimadora (és a dir, es trobi davant un dels supòsits establerts legalment) podrà procedir a aquest tractament.
Alguna d’aquestes bases jurídiques té més força que les altres?
No. Totes elles es troben regulades a l‘article 6 de l’RGPD i tenen la mateixa força d’aplicació; cap d’elles és la principal i les altres són excepcions, sinó que totes tenen la mateixa importància: això vol dir que podem tractar les dades basant-nos en qualsevol d’elles, sempre, això sí, ajustant-lo al tractament concret.
Quan escollir una o altra base legítima?
És molt important seleccionar correctament les bases jurídiques, doncs d’això se’n deriva proporcionar la correcta informació a l’interessat, el correcte tractament de les dades i l’aplicació de les mesures de seguretat més apropiades. S’habilita el tractament de dades en els següents casos:
- Consentiment: L’interessat ha atorgat el seu consentiment per al tractament de les seves dades personals per a un o varis fins específics. Ha de ser lliure, informat, específic i inequívoc, sent invàlid per a l’atorgament del mateix la inactivitat o les caselles pre-marcades en les caselles de verificació. A més, l’interessat sempre haurà de tenir la possibilitat de retirar el consentiment de manera senzilla i sense que li suposi cap tipus de perjudici.
- Contracte o mesures precontractuals: Quan existeixi un contracte o precontracte en el que l’interessat és part i el tractament de dades és necessari per a la seva execució (per exemple, per executar un contracte de treball).
- Obligació legal: Aplicarà aquesta base jurídica quan existeixi una norma que obligui al responsable a dur a terme una activitat concreta que comporti tractament de dades (per exemple, quan una entitat ha de transmetre informació a autoritats públiques, com a la Comissió de Blanqueig de Capitals, a la Seguretat Social o l’Agència Tributària).
- Interès vital de l’interessat: Aquesta base legitimadora aplicaria quan fos necessari per a protegir la vida de l’interessat o d’una altra persona física (per exemple, per a un tractament de dades en l’àmbit hospitalari o serveis d’emergències).
- Interès públic: Això es donaria quan el tractament és necessari per al compliment d’una missió realitzada en interès públic o en l’exercici de poders públics conferits al responsable del tractament (es donarà principalment en àmbits relacionats amb l’administració pública).
- Interès Legítim del responsable: Aquesta és, probablement, la base legitimadora més difícil d’entendre, encara que, en moltes ocasions, la més pràctica. És per això que passem a analitzar-la.
Primer de tot, què és l’Interès Legítim?
Tot i que sembli una base jurídica introduïda per l’RGPD, no ho és. Ja existia en l’antiga normativa i el Grup de Treball de l’art. 29 (avui la CEPD) en el seu dictamen 6/2014, ja parlava sobre el concepte de l’Interès Legítim.
Així doncs, l’Interès Legítim, en el dictamen 6/2014 es definia com el benefici real i actual del responsable que es tracta d’obtenir de forma lícita i clara. Tanmateix, l’Interès Legítim no pot aplicar-se així sense més ni directament, sinó que haurà de confrontar-se als interessos, drets i llibertats fonamentals dels interessats i només podrà utilitzar-se com a base jurídica del tractament quan, després d’aquesta ponderació, resulti favorable per al responsable.
Quan pot usar-se l’IL?
Per a poder basar un tractament en aquesta base legitimadora, s’han de donar varis elements:
– que existeixi un interès per part del responsable del tractament o un tercer (puntualitzem que no podrà ser una administració pública);
– que aquest interès sigui lícit (és a dir, no pot basar-se en un fet il·legal o fraudulent);
– que, després de la corresponent ponderació, es determini que els interessos o drets i llibertats dels interessats no prevalguin sobre l’interès legítim del responsable.
Important recalcar que l’IL no habilita per a tractar categories especials de dades (no es recull a l’article 9 de l’RGPD), ni quan el tractament el duguin a terme les autoritats en l’exercici de les seves funcions (considerant 47 de l’RGPD).
Què hem d’analitzar quan volem utilitzar l’IL com a base legitimadora?
Per a comprovar si el tractament de dades emparat en l’IL és lícit, s’hauran de realitzar tres “tests”:
- test de finalitat, és a dir, valorar la satisfacció d’interessos legítims del responsable,
- test de necessitat, és a dir, valorar si el tractament és necessari, i
- test de proporcionalitat, és a dir, que sobre aquests interessos no prevalguin els interessos o els drets i llibertats de l’interessat.
En definitiva, el judici sobre finalitat, necessitat i proporcionalitat ha de tenir a buscar l’alternativa menys intrusiva per als drets i llibertats de l’interessat.
Per això, tenint en compte la finalitat que se persegueix amb el tractament, hauran d’identificar-se:
- En primer lloc, els concrets “interessos legítims” que persegueix el responsable, així com els beneficis i afectacions per a l’interessat.
- En segon lloc, s’ha de valorar si existeixen o no altres alternatives per aconseguir aquests “interessos legítims”.
- I, finalment, valorar el dany o perjudici potencial per als drets de l’interessat i si aquests han de prevaler o no sobre els “interessos legítims” del responsable.
Casos en que l’RGPD permet directament aplicar l’IL:
L’RGPD proporciona en els considerants 47 i 48 alguns exemples concrets en els que l’Interès Legítim podria aplicar, com la prevenció del frau, garantir la seguretat de la xarxa, la transmissió de dades entre un grup empresarial o el tractament de dades amb fins de màrqueting directe, però en qualsevol cas és un concepte obert que ha d’analitzar-se cas per cas, no eximint-se al responsable de realitzar l’anàlisi de l’Interès Legítim.
La transmissió de dades entre empreses d’un mateix grup:
Cada vegada més ens trobem en què grups d’empreses ubicades en distints països han de transmetre’s entre elles dades personals (dels seus treballadors o de clients). Segons el considerant 48 de l’RGPD, considera que els responsables que formen part d’un grup empresarial poden emparar aquesta transmissió en l’Interès Legítim amb fins administratius interns.
Aquest IL requerirà igualment la realització d’una anàlisi, donat que en ocasions la base jurídica per al tractament d’aquestes dades pot dur-nos a confusió. Per exemple, si han de facilitar-se aquestes dades a organismes públics, realitzar declaracions fiscals, prevenir el blanqueig de capitals, etc., ens trobaríem davant una base jurídica per al tractament fundada en el compliment d’una normativa. Tanmateix, si aquest fi administratiu és simplement per a la presentació d’informació estadística d’activitat, projeccions comercials, etc., aquest grup hauria de preguntar-se si és necessari facilitar dades personals dels seus clients o empleats, o si aquestes dades podrien facilitar-se simplement de manera anonimitzada.
En un altre post us parlarem dels drets dels usuaris relacionats amb l’ús de l’Interès Legítim, així com també us indicarem una breu recopilació de bones pràctiques aplicables al procés de valoració de l’Interès Legítim de manera que us pugui facilitar la seva execució, es doti de major transparència als subjectes afectats i inclús es pugui evidenciar el correcte compliment de la normativa, i així atendre el principi de responsabilitat proactiva.
I recordeu, per a qualsevol dubte o consulta que us hagi sorgit al respecte d’aquest tema, estem a la vostra disposició.
L’equip de PymeLegal.