Recientemente, el Comité Europeo de Protección de Datos (CEPD) publicó una primera versión de las Directrices 1/2024 sobre el tratamiento de datos personales basado en el interés legítimo del responsable del tratamiento (ex artículo 6.1.f) del Reglamento General de Protección de Datos (RGPD). Desde Metricson, la boutique legal líder especializada en startups y empresas tecnológicas, se detallan una serie de recomendaciones para el tratamiento de datos personales en base al interés legítimo.
Teresa Miquel, directora del área de compliance, privacidad y propiedad intelectual de Metricson, explica: “el tratamiento de datos basado en el interés legítimo es una herramienta valiosa para empresas y responsables del tratamiento, pero debe ser aplicado con rigor. Las directrices del CEPD subrayan la importancia de evaluar cuidadosamente si los derechos y libertades fundamentales de los interesados no se ven desproporcionadamente afectados”.
Tres claves para un tratamiento de datos conforme a la normativa
La guía destaca tres condiciones acumulativas esenciales para que el tratamiento sea lícito:
- Existencia de un interés legítimo:
- Debe ser claro, lícito, real y actual, no hipotético.
- El interés debe estar relacionado con las actividades del responsable del tratamiento o un tercero.
- Ejemplo: garantizar la funcionalidad continua de un sitio web de acceso público.
- Necesidad del tratamiento:
- Es imprescindible evaluar si los fines del interés legítimo no podrían lograrse por medios menos invasivos.
- Este análisis debe considerar el principio de minimización de datos.
- Equilibrio entre derechos e intereses:
- El responsable debe realizar una ponderación cuidadosa entre el impacto sobre los interesados y los intereses legítimos que se persiguen.
- Factores clave: naturaleza de los datos, contexto del tratamiento, expectativas razonables del interesado, entre otros.
- Si el impacto es significativo, se recomienda implementar medidas paliativas para minimizar los riesgos.
Miquel añade “la ponderación no busca eliminar cualquier repercusión sobre el interesado, sino evitar impactos desproporcionados. Es fundamental documentar este proceso de manera transparente para estar preparados ante auditorías o posibles reclamaciones”.
Aspectos específicos destacados por la guía
- Protección de datos de menores: Los datos de menores requieren una protección reforzada.
- Autoridades públicas: No pueden basarse en el interés legítimo para el desempeño de sus funciones.
- Prevención del fraude y marketing directo: Se establecen orientaciones específicas sobre cómo aplicar el artículo 6.1.f en estos contextos.
Metricson subraya que el tratamiento basado en el interés legítimo puede ser una herramienta eficaz, siempre que se utilice con responsabilidad y en cumplimiento estricto de los principios del RGPD.
Sobre Metricson – http://metricson.com/
METRICSON es una firma boutique de servicios legales integrales especializada en empresas innovadoras y tecnológicas. Con oficinas en Valencia, Barcelona y Madrid, cuenta con un equipo que cubre las principales áreas del derecho asociado a startups y empresas tecnológicas: protección de datos, propiedad intelectual e industrial, corporate y M&A y derecho fiscal. Desde 2009 ha asesorado a más de 1600 clientes en más de 20 países y cuenta con una red internacional de colaboradores en todo el mundo. Ha sido seleccionada por el directorio internacional Chambers and Partners como uno de los mejores despachos en la categoría General Business Law (Europe)
