El interés legítimo es una de las bases legitimadoras que permiten tratar datos personales de acuerdo con el artículo 6 del Reglamento General de Protección de Datos (RGPD o GDPR). Para ser honesto, siempre me ha parecido que el interés legítimo en el Reglamento General de Protección de Datos es como el Joker de las bases legitimadoras. Digo esto porque la considero la figura más oscura y siniestra de todo el GDPR, ya que son muy pocas –por no decir ninguna- las ocasiones en que la podemos utilizar con completa seguridad jurídica. Ahora bien, al mismo tiempo he de reconocer que es una base legitimadora necesaria, ya que existen multitud de tratamientos que, si bien son razonables, no podrían ampararse en ninguna de las otras bases que nos ofrece el citado artículo 6.
Como consecuencia de la manifiesta falta de claridad de esta figura, observo como, según la empresa y el abogado o experto en privacidad que la haya interpretado, en la práctica se utiliza de una y otra forma para amparar ciertos tratamientos. En este contexto, hace pocas semanas, tuve la oportunidad de revisar el registro de actividades de una compañía europea y observé que la base legitimadora que constaba para varios tratamientos del departamento de Recursos Humanos era “los intereses legítimos de los empleados”. Esto me resultó chocante, porque era la primera vez que me encontraba un tratamiento amparado en el interés legítimo de los interesados. De hecho y para ser sincero, mi primera impresión fue que –discúlpenme la expresión- la habían pifiado.
No obstante, antes de lanzarme a rechazar algo que a simple vista parece incorrecto, me gusta repasar qué argumentos pueden existir para defender esa posición y, de esta forma, intentar entender si la interpretación acuñada por otras personas es correcta. Y eso es lo que pretendo hacer aquí, por lo que formularé a continuación la pregunta objeto de controversia:
¿Puede ampararse un tratamiento de datos en el interés legítimo de los empleados?
Para responder a la pregunta debemos acudir al artículo 6.1.f GDPR que recoge esta figura:
El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones: […] f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero…
Como se puede observar, este artículo establece claramente dos posibles sujetos que podrían perseguir estos intereses legítimos que habilitarían el tratamiento. El primero de ellos es el responsable del tratamiento. El segundo, por su parte, es cualquier “tercero”, sin que dicho artículo especifique con más detalle quién puede entenderse por tercero a estos efectos. Es evidente que un empleado nunca podría encajar en el primer supuesto porque, sencillamente, el responsable del tratamiento es el empleador (la empresa, entidad, etc.) y nunca el trabajador, que es el interesado. Sin embargo, ¿podría el trabajador, además de interesado, considerarse un “tercero”?
Pues bien, de primeras, si aplicamos el sentido común, ya de por sí chirría que el interesado pueda encajar en el concepto de “tercero”. De hecho, si observamos el mismo artículo 6, podemos comprobar que en el apartado d) se hace referencia a los “intereses vitales del interesado”, lo que a todas luces nos lleva a deducir que si el legislador hubiera querido referirse al interesado en el apartado f), hubiera utilizado directamente la palabra “interesados” -al igual que en el mencionado apartado d)- y no “terceros”.
Pero es evidente que en Derecho no únicamente vale con aplicar el sentido común, sino que debemos intentar arrojar algo de luz en relación con el concepto de “terceros” en sentido jurídico. Pues bien, en este caso parece bastante sencillo, ya que contamos con un maravilloso artículo 4.10 GDPR que lo define de la siguiente forma:
Tercero: persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado.
Es decir, claramente no podemos considerar que el interesado se encuentre dentro del concepto de “terceros”.
Podría existir un último argumento a favor de la existencia de esta base, que es el hecho de que el artículo 35 del GDPR, relativo a las evaluaciones de impacto, hace mención expresa a los “intereses legítimos de los interesados”. Sin embargo, el contexto en este caso es completamente diferente, pues en ningún caso este artículo se refiere a ello como una base legitimadora para un tratamiento, sino como algo a tener en cuenta a la hora de identificar medidas para paliar los riesgos en materia de privacidad. Por tanto, de esta mención del artículo 35.7 GDPR no parece extraerse una reflexión distinta a la ya indicada anteriormente.
En conclusión, tras haberlo analizado con más detenimiento sigo pensando que el interés legítimo de los interesados no es una base legitimadora válida, por el simple hecho de que no existe. Pienso que, si el legislador hubiera querido prever esta posibilidad, habría incluido mención directa a los “data subjects” en el art. 6.1.f). Asimismo, tampoco creo que esta figura sea necesaria en tanto que apenas habría tratamientos que pudieran ampararse en ella (en el caso de la empresa que mencionaba, eran tratamientos que, en mi opinión, podían ampararse en la ejecución de un contrato – art. 6.1.b). Por ende, no cabe lugar a basar una actividad de tratamiento en el interés legítimo de los empleados o de cualquier otro interesado.