Tras la aprobación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, el “RGPD”), uno de los factores que adquieren mayor relevancia es la fórmula de legitimar los tratamientos de datos que están siendo realizados por las empresas y administraciones, así como adoptar fórmulas que garanticen nuevos tratamientos tras la plena aplicación del Reglamento en mayo de este año, respetando los derechos de las personas sobre su información, cumpliendo la normativa y facilitando el desarrollo de negocio de las empresas.

Así, tal y como establece el artículo 6.1 del RGPD, en relación con la licitud del tratamiento, se estable que será necesaria, al menos, una de las siguientes condiciones:

  1. El interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

  2. El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;

  3. El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

  4. El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;

  5. El tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

  6. El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño, no siendo de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.

Debe considerarse que, si bien, a priori, es el consentimiento el procedimiento óptimo para el tratamiento de los datos personales por el responsable, conforme a unas finalidades y aspectos establecidos normativamente, el propio RGPD establece otra serie de mecanismos en relación con la licitud del tratamiento de los mismos. Es, por tanto, relevante, dentro del proceso de adecuación a la nueva norma europea o la legitimación/regularización de tratamientos que se están llevando a cabo con carácter previo a la plena aplicación del RGPD, el análisis de otras circunstancias que pueden aportar la seguridad jurídica necesaria.

En este sentido, debe tenerse en cuenta que, determinadas fórmulas que a la fecha eran entendidas como válidas en relación con la licitud del tratamiento de los datos por parte del responsable, no encuentran su equivalencia en el RGPD, todo lo contrario, la nueva normativa europea refuerza el consentimiento expreso, inequívoco, mediante un acto en positivo, frente al consentimiento tácito que hasta la fecha conocíamos.

A mayor abundamiento, en relación con el proceso de regularización de dichos consentimientos, el propio RGPD, en su Considerando 171, establece que, “todo tratamiento ya iniciado en la fecha de aplicación del presente Reglamento debe ajustarse al presente Reglamento en el plazo de dos años a partir de la fecha de su entrada en vigor. Cuando el tratamiento se base en el consentimiento de conformidad con la Directiva 95/46/CE, no es necesario que el interesado dé su consentimiento de nuevo si la forma en que se dio el consentimiento se ajusta a las condiciones del presente Reglamento, a fin de que el responsable pueda continuar dicho tratamiento tras la fecha de aplicación del presente Reglamento. Las decisiones de la Comisión y las autorizaciones de las autoridades de control basadas en la Directiva 95/46/CE permanecen en vigor hasta que sean modificadas, sustituidas o derogadas”.

En este sentido, el análisis previo adquiere un mayor valor, en tanto el consentimiento utilizado con carácter previo, no cumpliera con los requisitos del RGPD (ex artículo 7), que establece los parámetros que deben tenerse en cuenta “cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales. Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte de la declaración que constituya infracción del presente Reglamento. El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo. Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato”.

En relación con la regularización de aquellos datos que estaban siendo tratados con carácter previo a la plena aplicación del Reglamento, el Considerando 171 señala que, “cuando el tratamiento se base en el consentimiento de conformidad con la Directiva 95/46/CE, no es necesario que el interesado dé su consentimiento de nuevo si la forma en que se dio el consentimiento se ajusta a las condiciones del presente Reglamento, a fin de que el responsable pueda continuar dicho tratamiento tras la fecha de aplicación del presente Reglamento”.

Debe tenerse en cuenta, sobre las fórmulas expuestas en el precitado artículo 6.1 del RGPD, que se incluyen en su apartado f) aquellos casos en los que el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero.

Ahondando en esta fórmula, el Considerando 47 recuerda que el interés legítimo de un responsable, de un cesionario o de un tercero, “puede constituir una base jurídica para el tratamiento, siempre que no prevalezcan los intereses o los derechos y libertades del interesado, teniendo en cuenta las expectativas razonables de los interesados basadas en su relación con el responsable”, añadiendo posteriormente que “en cualquier caso, la existencia de un interés legítimo requeriría una evaluación meticulosa, inclusive si un interesado puede prever de forma razonable, en el momento y en el contexto de la recogida de datos personales, que pueda producirse el tratamiento con tal fin. En particular, los intereses y los derechos fundamentales del interesado podrían prevalecer sobre los intereses del responsable del tratamiento cuando se proceda al tratamiento de los datos personales en circunstancias en las que el interesado no espere razonablemente que se realice un tratamiento ulterior”.

En este sentido, y de cara a clarificar estos aspectos, la propia Agencia Española de Protección de Datos, se ha pronunciado en su Informe 0195/2017, a raíz de una consulta realizada por Asociación Española de Banca, analizando el “tratamiento para fines de mercadotecnia, publicidad y comunicaciones comerciales en línea con el desarrollo del negocio que realice la entidad de sus propios productos y/o servicios”.

A tal efecto, la consulta indica que el citado tratamiento se funda en un interés legítimo de las entidades, que los clientes han venido aceptando durante el mantenimiento de su relación con la entidad, por lo que existe una expectativa razonable de que se sigan recibiendo esas comunicaciones comerciales, teniendo en cuenta en todo caso que el interesado puede en cualquier momento ejercer su derecho de oposición a seguir recibiendo todo tipo de comunicaciones.

Así, como recuerda la propia Agencia, en relación con las comunicaciones comerciales, deberá observarse el cumplimiento de lo establecido en el artículo 21 de la Ley 34/2002, de 11 de julio, de Servicios de la sociedad de la información y de comercio electrónico, y concretamente, en su apartado 2, en relación con la excepción al envío de comunicaciones comerciales, “cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente. En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija. Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección de correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección”.

A mayor abundamiento, debe tener en cuenta la futura aprobación del Reglamento Europeo sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas y por el que se deroga la Directiva 2002/58/CE, cuyo previsible artículo 16 se refiere a las comunicaciones no solicitadas, en este sentido, debe tenerse en consideración que, dicho precepto parte igualmente del principio de consentimiento con una excepción similar a la contenida en el precitado artículo 21.2 de la norma española.

En base a los preceptos enumerados, y a la ponderación previa que debe realizarse, será necesario realizar una interpretación razonable de lo que debe ser considerado como un producto o servicio similar al previamente contratado por el cliente, tal y como afirma la propia Agencia Española de Protección de Datos, de forma que la habilitación que podría ampararse en la regla a la que se está haciendo referencia debería igualmente vincularse con la naturaleza de los productos y servicios previamente contratados, no extendiéndose a aquéllos respecto de los que no pueda aplicarse una identificación lógica basada en la expectativa razonable del cliente.

Adicionalmente, el Grupo de Trabajo del Artículo 29, en su Dictamen 06/2014 sobre el concepto del interés legítimo del responsable del tratamiento de los datos en virtud del artículo 7 de la Directiva 95/46/CE, ya articuló una serie de criterios de cara afrontar la ponderación reseñada:

  • Que el tratamiento sea lícito, conforme a la legislación nacional y europea.

  • Que el tratamiento sea suficientemente concreto, es decir que quede claramente delimitado y definido.

  • Que el tratamiento sea representativo de un interés real y actual, es decir, que no sea especulativo.

  • De igual manera, deberán tenerse en cuenta el impacto que dicho tratamiento tenga en el interesado, la naturaleza de los datos objeto de tratamiento y la forma de dicho tratamiento o, las expectativas razonables de los interesados en relación con el tratamiento.

A mayor abundamiento los propios Considerandos 47 a 50 del Reglamento General de Protección de Datos, establecen una serie de supuestos concretos de interés legítimo:

  • La prevención del fraude (Considerando 47).

  • La mercadotecnia directa (Considerando 47).

  • Garantizar la seguridad de la red y de la información, así como de los servicios proporcionados a través de esos sistemas o redes de información (Considerando 49).

  • Compartir datos personales dentro de un mismo grupo empresarial o entre entidades afiliadas a un mismo organismo central con fines administrativos internos (Considerando 48).

  • La indicación de posibles actos delictivos o amenazas para la seguridad pública, así como la transmisión a la autoridad competente de los datos relacionados con dichos actos delictivos o amenazas para la seguridad pública (Considerando 50).

El precitado Dictamen del Grupo de Trabajo del Artículo 29, recoge otros tratamientos que podrían ser considerados dentro del concepto analizado del interés legítimo, tales como:

  • Ejercicio del derecho de libertad de expresión o información.

  • Prospección convencional y otras formas de comercialización o publicidad.

  • Mensajes no comerciales que no hayan sido solicitados, incluidos los pertenecientes a campañas políticas o de recaudación de fondos para organizaciones caritativas.

  • Ejecución de derechos reconocidos en procedimientos judiciales o, en determinados casos, extrajudiciales.

  • Prevención del uso indebido de servicios o del blanqueo de dinero.

  • Supervisión de los empleados con fines de seguridad o de gestión.
  • Canales internos de denuncia de irregularidades.

  • Seguridad física.

  • Tratamiento con fines históricos, científicos, estadísticos, o con fines de investigación (incluyéndose la investigación de mercado).

Sentado lo anterior, el Grupo de Trabajo del Artículo 29 recomienda la adopción de garantías adicionales por parte de los responsables que vayan a realizar tratamientos de datos bajo la fórmula del interés legítimo. Mediante la adopción de las mismas, se pueden reducir riesgos asociados en el tratamiento y el reforzar el compromiso con el respeto a los derechos de los interesados, cuyos datos van a ser tratados. Estas medidas adicionales, que en algún caso hemos analizado previamente, facilitan la capacidad de decisión del usuario sobre el tratamiento de sus datos personales, y por tanto el alineamiento con el espíritu del RGPD. Entre las garantías adicionales a adoptar por los responsables del tratamiento, cabe destacar:

  • Facilitar al usuario información sobre el tratamiento de datos, bien directamente en la propia comunicación, o en casos en los que suponga un esfuerzo desproporcionado, a través de la propia web u otros medios, facilitando información transparente y suficiente en relación con el tratamiento de datos y el interés legítimo. En este sentido debe recordarse que, la no obligación de obtener el consentimiento para el tratamiento de determinados datos con respecto a unas concretas finalidades y su legitimación por las vías analizadas, no eximen de facilitar el derecho de información, de igual manera que venía ocurriendo con nuestra actual Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal en su artículo 6.2, por lo que, en relación con el deber / derecho de información, deberá darse cumplimiento a lo recogido en los artículos 13 y 14 del Reglamento General de Protección de Datos.

  • Facilitar comunicaciones a los interesados, en base a las cuestiones analizadas, que refuercen el deber del responsable sobre las garantías en el tratamiento de los datos personales.

  • Facilitar a los interesados mecanismos para garantizar la posibilidad incondicional de que se excluyan voluntariamente del tratamiento. A modo de ejemplo, los analizados en relación con el envío de comunicaciones comerciales, conforme a la normativa española. Igualmente será correcto el análisis de Listas Robinson de cara a reducir riesgos asociados e impactar sobre usuarios que no deseaban recibir comunicaciones comerciales con carácter previo.

De todo lo anteriormente expuesto, puede deducirse que el tratamiento de determinados con las finalidades analizadas, en los casos en los que exista una relación entre el responsable y los interesados, en tanto sea éste quien contacte con los mismos, no produciéndose comunicaciones o cesiones de datos a terceros, salvo en aquellos casos en los que, mediante consentimiento o derivado de una contratación, el usuario así lo autorice, adoptando las garantías recogidas por el Grupo de Trabajo del artículo 29 y autoridades de control analizadas, sería conforme al Reglamento General de Protección de Datos.