Hay situaciones en las que puede ser apropiado utilizar el interés legítimo como base legal para el procesamiento de datos personales. Una empresa puede querer enviar correos electrónicos de marketing a sus antiguos clientes. Este es un ejemplo de cuándo sería apropiado utilizar el interés legítimo como base jurídica. En esta actividad de marketing, la empresa puede tratar el nombre y la dirección de correo electrónico del cliente sobre la base de un interés legítimo.
El interés legítimo es una de las seis bases legales que las empresas pueden utilizar para el procesamiento de datos personales. Puede encontrar las abejas legales en el artículo 6 del Reglamento General de Protección de Datos (UE) 2016/679 (RGPD). Además, esta es una base jurídica común para que las empresas la utilicen. Otros dos ejemplos de bases jurídicas son los contratos con los interesados y el consentimiento. Sin embargo, existen diferentes situaciones en las que una empresa no debe utilizar el consentimiento como base jurídica.
En este artículo, puede leer más ejemplos de cuándo puede ser apropiado que una empresa utilice el interés legítimo como base legal. Pero primero, proporcionaremos información sobre lo que significa el interés legítimo.
¿Qué significa interés legítimo?
Un interés para procesar datos personales, que se considera legal y razonable, es un interés legítimo. En otras palabras, un interés legítimo es una razón legal que una empresa puede utilizar para llevar a cabo el procesamiento de datos personales. Sin embargo, los intereses de la empresa deben prevalecer sobre los intereses o los derechos y libertades fundamentales del interesado.
Existen requisitos específicos que una empresa debe cumplir, para utilizar el interés legítimo como base legal para el procesamiento de datos personales. Además, la empresa debe cumplir con requisitos específicos para que el uso de esta base legal sea apropiado.
En resumen, una empresa puede utilizar esta base legal solo si tiene un interés legítimo en el procesamiento. Además, los intereses legítimos identificados deben prevalecer sobre los intereses o los derechos y libertades fundamentales del interesado. Por lo tanto, es importante llevar a cabo una Evaluación de Interés Legítimo (LIA) para analizar esto.
Cómo llevar a cabo una evaluación de interés legítimo (LIA) de conformidad con el RGPD
En una evaluación del interés legítimo, es importante tener en cuenta las expectativas razonables de los interesados. También es importante tener en cuenta la relación entre el interesado y el responsable del tratamiento. Además, la empresa analizará si el interesado podría haber esperado razonablemente, en el momento de la recopilación de sus datos personales, que se produjera el procesamiento para el interés y la finalidad legítimos declarados.
Hay varios elementos clave que deben aplicarse en la evaluación del interés legítimo. Incluyendo seis fases por las que las empresas deben pasar para averiguar si existe un interés legítimo.
Tenga en cuenta que una empresa no puede procesar automáticamente datos personales solo porque realiza una evaluación de interés legítimo. El tratamiento en cuestión solo podrá tener lugar si el resultado de la evaluación demuestra que el interés del interesado en la protección de sus datos personales y de sus libertades y derechos no supera el interés legítimo en el tratamiento. No al revés. Un buen punto de partida: cuantos más datos personales sensibles sean, más importantes serán los intereses del interesado.
Interés legítimo de terceros
Algo que es bueno saber es que el interés legítimo puede ser el propio de la empresa o el de un tercero. En algunos casos, una empresa puede divulgar datos personales a un tercero que tenga un interés legítimo en tratarlos. Sin embargo, antes de que la empresa revele datos personales a un tercero, la empresa debe poder demostrar que la divulgación está justificada. Incluyendo descubrir lo siguiente:
- Por qué: Por qué el tercero quiere los datos personales.
- Qué: Qué quiere hacer el tercero con los datos personales.
- Necesidad: Si es realmente necesario que el tercero procese los datos personales.
Ejemplos de cuándo es adecuado utilizar esta base jurídica
A continuación se presentan algunos ejemplos de cuándo puede ser apropiado utilizar el interés legítimo como base jurídica
- Marketing directo (considerando 47 del RGPD). Muchas empresas utilizan el marketing directo y, por ejemplo, envían correos electrónicos a sus clientes existentes o anteriores. Está permitido utilizar el interés legítimo como base legal para el procesamiento de datos personales en tales casos. Sin embargo, es importante tener en cuenta que las personas que reciben estos correos electrónicos tienen el derecho absoluto de exigir a la empresa que deje de enviarlos. En tales casos, la empresa cesará inmediatamente el tratamiento de los datos personales con fines de marketing directo.
- Transferir datos personales entre empresas dentro de un grupo de empresas (considerando 48 del RGPD). Otro ejemplo de cuando es común utilizar el interés legítimo como base legal para el procesamiento de datos personales es cuando las empresas dentro de un grupo transfieren datos personales entre sí con fines administrativos internos. Por ejemplo, esto se puede hacer para procesar internamente los datos personales de los empleados o clientes.
- Prevención del fraude (considerando 47 del RGPD). Una empresa también puede procesar datos personales sobre la base de un interés legítimo en la prevención del fraude o por otras razones de seguridad.
- Garantizar la seguridad de la información en los sistemas informáticos (considerando 49 del RGPD). Una empresa puede utilizar el interés legítimo como base jurídica para llevar a cabo un tratamiento de datos personales proporcionado y estrictamente necesario para garantizar la seguridad de las redes y de la información. Por ejemplo, el procesamiento necesario para minimizar los riesgos y evitar la distribución incorrecta del código. O para evitar el acceso no autorizado a las redes de comunicaciones electrónicas. También para detener el daño a los sistemas informáticos y los ataques continuos que sobrecargan el sistema de comunicaciones electrónicas.
Ejemplos de casos en que las empresas no deben utilizar el interés legítimo como base jurídica
- Si los datos personales pertenecen a niños. Puede haber un interés legítimo en el procesamiento de datos personales pertenecientes a niños. Sin embargo, las reglas son más estrictas que porque los niños son un grupo de protección adicional. Por lo tanto, las empresas deben considerar si es más adecuado utilizar cualquier otra base jurídica para el tratamiento de los datos personales de los niños. Las empresas deben, entre otras cosas, tomar medidas de seguridad para proteger los derechos y libertades que los niños tienen bajo el RGPD y otras leyes.
- Si el responsable del tratamiento es una autoridad. Una autoridad no puede procesar datos personales como parte de su trabajo oficial sobre la base de un interés legítimo. No está permitido bajo el RGPD. Esto se aplica independientemente de que la autoridad lleve a cabo o no una evaluación previa del interés legítimo. Esto se debe a que corresponde al legislador determinar por ley la base jurídica para el tratamiento de datos personales que deben realizar las autoridades públicas. Por lo tanto, el tratamiento de datos personales por parte de las autoridades públicas solo debe llevarse a cabo sobre la base de la ley.
