Hay seis fases por las que pasar para analizar si existe un interés legítimo para la empresa (o un tercero que es el controlador de datos). Si el análisis da lugar a la existencia de un interés legítimo en el procesamiento, la empresa puede llevar a cabo el procesamiento de los datos personales.
El interés legítimo es una de las seis bases jurídicas del Reglamento General de Protección de Datos (UE) 2016/679 (RGPD). El artículo 6 del RGPD establece las bases jurídicas. Una empresa siempre debe tener una base legal para el procesamiento de datos personales. Esto se aplica a cada tratamiento individual de datos personales.
Sin embargo, no siempre está permitido utilizar el «interés legítimo» como base jurídica para el tratamiento de datos personales. El artículo 6, apartado 1, letra f), del RGPD establece esta base jurídica.Para saber si es una base jurídica adecuada o no, la empresa debe pasar por las seis fases siguientes para analizar si existe un interés legítimo.
Aquí hay seis fases a seguir para analizar si existe un interés legítimo
Fase 1: Analizar si el interés legítimo es la base jurídica más adecuada para utilizar en el caso concreto
El interés legítimo no siempre es una base legal adecuada para el procesamiento de datos personales. Hay algunos casos en los que una empresa no debe utilizar el consentimiento como base jurídica. Por ejemplo, la empresa debe evitar esta base jurídica si existe una relación de poder desigual entre el responsable del tratamiento y el interesado, cuando el interesado sea la parte más débil. Por ejemplo, entre empleadores y empleados, o entre autoridades y ciudadanos.
Tampoco siempre está permitido que una empresa utilice esta base legal si los datos personales pertenecen a niños.
Por lo tanto, las empresas deben llevar a cabo un análisis para ver si cualquier otra base jurídica es más adecuada. Por ejemplo, «contrato con el interesado» con arreglo al artículo 6, apartado 1, letra b), o «consentimiento» con arreglo al artículo 6, apartado 1, letra a), del RGPD.
Sin embargo, también es importante tener en cuenta que existen algunas situaciones en las que una empresa no debe utilizar el consentimiento como base jurídica.
Fase 2: Asegúrese de que su empresa cumple con los requisitos básicos de RGPD
– Desde el punto de vista jurídico: El procesamiento debe cumplir con los principios de protección de datos del RGPD y otras reglas. Además, el procesamiento debe cumplir con otras leyes y regulaciones del país.
– Informar explícitamente: De acuerdo con el RGPD, las empresas deben informar a los interesados sobre el procesamiento. Esto también se aplica cuando la base jurídica es el interés legítimo. La información debe permitir comprender por qué el interés de la empresa en el tratamiento supera el interés del interesado.
– Necesidad real: Además, la empresa debe tener una necesidad real de procesar los datos personales. En lugar de hacerlo con fines especulativos.
Fase 3: Analizar si es posible lograr el mismo objetivo sin procesar los datos personales sobre la base de un interés legítimo
En algunos casos, una empresa puede aplicar otros métodos para lograr los mismos objetivos y resultados. Se trata de un paso importante para analizar, la denominada «prueba de necesidad». Es una forma de prueba de proporcionalidad.
La empresa necesita analizar y describir por qué el procesamiento es necesario y crucial para la empresa. Si se descubre que la empresa puede lograr el mismo objetivo a través de otros medios, la empresa no debe procesar los datos personales sobre la base de un interés legítimo.
Fase 4: Llevar a cabo una Evaluación de Interés Legítimo (LIA)
Una empresa no podrá tratar datos personales sobre la base del interés legítimo como base jurídica, si el interés del interesado en la protección de sus datos personales y sus derechos y libertades supera el interés legítimo de la empresa en el tratamiento.
Tenga en cuenta que el interés de los interesados suele ser mayor, cuanto más sensibles sean los datos personales. Además, si los interesados son niños.
El hecho de que una empresa lleve a cabo una evaluación de interés legítimo no significa automáticamente que la empresa tenga derecho a llevar a cabo el procesamiento. Si la empresa concluye que el interés del interesado es mayor, el procesamiento no está permitido sobre la base de esta base legal.
También es importante que el tratamiento, en relación con los interesados, sea proporcionado. Esto significa que el tratamiento debe ser proporcional al beneficio que aporta. Por lo tanto, la empresa debe sopesar sus intereses contra los intereses del interesado antes de que comience el procesamiento.
Fase 5: Medidas de seguridad técnicas y organizativas
Las empresas deben proteger todos los datos personales que procesan. Cuanto más sensibles sean los datos personales, más seguridad necesitará la empresa.
Con el fin de reducir las consecuencias para los interesados en caso de violación de datos personales, la empresa debe implementar una combinación de diferentes medidas de seguridad técnicas y organizativas.
Ejemplos de algunas medidas técnicas y organizativas que una empresa puede implementar:
– Cifrar los datos personales.
– Anonimizar los datos personales.
– Utilizar contraseñas seguras y únicas para los sistemas informáticos.
– Realizar evaluaciones de riesgos y evaluaciones de impacto.
– Implementar diferentes niveles de permisos para las cuentas de usuario de los empleados.
– Establecer procedimientos para tratar cualquier violación de la seguridad de los datos personales.
– Utilizar la autenticación multifacética (MFA) cuando sea posible al iniciar sesión en diferentes sistemas de tratamiento de datos personales.
Fase 6: Sea transparente sobre el procesamiento
La empresa será transparente con los interesados en lo que respecta a los datos personales que tratan. Los artículos 13-14 del RGPD así lo establecen. La empresa debe informar a los interesados sobre la finalidad del tratamiento. Además, la empresa informará a los interesados de sus derechos. Por ejemplo, el derecho al olvido y la forma en que el interesado puede oponerse al tratamiento.
