Dar sentido al interés legítimo según el RGPD

Como se menciona en la publicación inicial de Dennis para nuestra serie de blogs sobre el Reglamento general de protección de datos (GDPR), las organizaciones establecidas o que operan en la UE deben tener una base legal para procesar datos personales. El GDPR proporciona seis bases legales para dicho procesamiento: consentimiento, interés legítimo, contrato, obligación legal, intereses vitales y tareas públicas. La mayoría de las organizaciones que buscan adquirir nuevos clientes o usuarios buscarán el consentimiento o el interés legítimo como base permisible para el procesamiento. La semana pasada escuchamos de Elizabeth, nuestra especialista en privacidad, sobre el consentimiento . Esta semana veremos el "interés legítimo". Ha habido bastante confusión en torno al interés legítimo, ¡así que intentaremos aclararle y decirle cómo lo estamos pensando!

El idioma
Primero, echemos un vistazo al lenguaje relevante del Artículo 6 (1) (f) del RGPD sobre interés legítimo:

El procesamiento será legal solo si y en la medida en que se aplique al menos uno de los siguientes:

(f) el procesamiento es necesario para los fines de los intereses legítimos perseguidos por el controlador o por un tercero, excepto cuando dichos intereses sean anulados por los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular donde el interesado es un niño.

Es tentador pensar que el interés legítimo se puede utilizar para cubrir una amplia gama de circunstancias, obviando la necesidad de consentimiento. Pero las interpretaciones amplias de esta sección se han desalentado abiertamente: “las excepciones abiertas en la línea del artículo 6 del RGPD, y en particular el art. 6 (f) GDPR (motivo de interés legítimo), debe evitarse ". Véase el dictamen 01/2017 del Grupo de trabajo sobre protección de datos del artículo 29 sobre la propuesta de Reglamento para el Reglamento de privacidad electrónica (2002/58 / CE), adoptado el 4 de abril de 2017.

Entonces, ¿dónde trazan la línea las organizaciones?

Interés legítimo en juego
Primero, consideremos qué es un interés legítimo. El GDPR proporciona algunos ejemplos, como el procesamiento de datos personales para prevenir el fraude, para fines administrativos internos relacionados con empleados y clientes, para garantizar la seguridad de la red y la información, y para informar posibles actos delictivos o amenazas a la seguridad pública a una autoridad competente. Además, es probable que el procesamiento de datos que sea necesario para cumplir con el gobierno corporativo interno o externo o los requisitos de cumplimiento legal relacionados se considere un interés legítimo.

Quizás un ejemplo menos obvio, el considerando 47 del GDPR apunta al “procesamiento de datos personales con fines de marketing directo” como un interés legítimo. Un malentendido común con el que nos hemos topado aquí es que este lenguaje justifica todo el marketing e incluso las opciones suaves. Para comprender mejor por qué este no es el caso, es útil primero considerar lo que esta redacción no dice: esto no significa que todo el marketing por correo electrónico o todo el envío de material de marketing directo esté permitido.

En segundo lugar, es fundamental recordar que el RGPD no funciona en el vacío. Para fines de marketing directo, las organizaciones y los comercializadores deben tener en cuenta cómo funciona el GDPR con la Directiva de privacidad y comunicación electrónica (Directiva de privacidad electrónica), que proporciona reglas de consentimiento complementarias para el marketing enviado por teléfono, fax, correo electrónico, SMS y otros canales de comunicación electrónica. , y que actualmente se encuentra en proceso de actualización. Según la Directiva de privacidad electrónica actual, se requiere el consentimiento de aceptación para el marketing por correo electrónico y SMS a menos que (i) la recopilación se haya realizado en el punto de venta y (ii) se haya proporcionado una opción de exclusión voluntaria en ese momento. Por lo tanto, si bien algunos especialistas en marketing de primer nivel tienen una base legal para el marketing directo basado en la venta y la exclusión voluntaria (por ahora), en todos los demás casos, los especialistas en marketing deben cumplir con los requisitos de consentimiento de inclusión voluntaria, independientemente de si tienen un interés legítimo en virtud de la GDPR.

Lo que constituye un interés legítimo se aclarará con el tiempo con más orientación y decisiones de los organismos pertinentes, y con la publicación de la próxima Directiva de privacidad electrónica modificada. Mientras tanto, utilizamos estos ejemplos y los parámetros establecidos por el RGPD que se analizan a continuación, como marco para adherirnos a los principios de procesamiento sobre la base del interés legítimo.

Evitar las trampas del interés legítimo
Para establecer con confianza que existe un interés legítimo, las organizaciones deben analizar y documentar tanto la necesidad del procesamiento particular como su conclusión después de equilibrar el interés del procesamiento con los derechos de los interesados . Algunos se refieren a esto como una evaluación de interés legítimo ("LIA"). En cuanto a la necesidad del tratamiento, sugerimos adquirir el hábito de preguntarse: ¿ se puede lograr el mismo objetivo sin el tratamiento de datos personales? Si la respuesta es “sí”, la mejor práctica es alejarse del interés legítimo como base para el procesamiento y obtener el consentimiento.

Si la respuesta es “no”, el objetivo no se puede lograr de otra manera, un buen paso siguiente es preguntar: ¿la necesidad de procesamiento es superada por los intereses o derechos de los interesados? Al responder a esta pregunta, es importante recordar que los interesados ​​tienen derecho a oponerse a un interés legítimo como base para el procesamiento, objeción que solo puede superarse con razones "imperiosas" establecidas por la organización de procesamiento.

Dadas estas limitaciones, cuando se basa en un interés legítimo como base para el procesamiento, recomendamos contar con un proceso para mantener un registro escrito de la necesidad y las conclusiones de equilibrio. Esto es especialmente importante cuando el interesado es un niño. Y, como práctica general, ayudará a evitar trampas de interés legítimo y demostrará que se prestó la debida consideración a la necesidad de procesamiento y los derechos y libertades de las personas cuyos datos se procesan.

Una nota de aviso
Si una organización se basa en un interés legítimo como base para procesar el RGPD, se requiere que la organización le permita a las personas cuyos datos se recopilan saber cuáles son los intereses legítimos y que tienen derecho a oponerse. Esto se puede hacer en el momento de la recopilación de datos o, en el caso del aviso de objeción, en la sección de un aviso de privacidad que trata sobre los derechos de las personas. Al igual que con todo lo relacionado con el RGPD y la privacidad, la mejor manera de hacerlo es ser franco y transparente sobre sus actividades de procesamiento.