¿Puede una empresa ‘tratar’ nuestros datos sin nuestro consentimiento?

La semana pasada hemos recibido todos una avalancha de correos (algunos de ellos de empresas que no conocíamos o a las que no recordábamos haber dado nuestros datos personales), pidiendo nuestro consentimiento para poder ‘seguir’ enviándonos información, antes de que se aplicase -el viernes 25- el Reglamento General de Protección de Datos (RGPD) de la UE.

Estos correos podían significar dos cosas: que nunca les habíamos dado nuestro consentimiento para tratar nuestros datos personales y enviarnos información, o que sí se lo habíamos dado (o ellos consideraban que se lo habíamos dado) de forma tácita y genérica, y ahora necesitaban que lo hiciéramos de forma expresa y específica, para poder documentarlo y cumplir con el RGPD.

También se ha producido una tercera situación: la de las empresas que ya tenían nuestro consentimiento expreso y específico y, muy mal aconsejadas -porque no había ninguna necesidad- han pedido ‘revalidar’ o confirmar ese consentimiento; habiendo hecho un mal negocio, porque muchos clientes no les han contestado y han visto reducida sus bases de datos sustancialmente.

Pero también ha habido muchas empresas que, para evitar a toda costa solicitar nuestro consentimiento y sobre todo para evitar a toda costa que no se lo demos (basta con no contestar para que se entienda que no consentimos) y, entonces, no podrían tratar nuestros datos personales ni enviarnos información, alegan que ellas tratan nuestros datos bajo otra base legal que no es el consentimiento.

Esto puede suponer una gran sorpresa para mucha gente, porque hemos dicho tantas veces que el RGPD devuelve a los ciudadanos el dominio sobre sus datos (y, al recibir tantos correos pidiéndoles su consentimiento, los ciudadanos se lo han creído) que decirles ahora que hay otras ‘bases legales’ para tratar sus datos sin necesidad de pedirles el consentimiento parece una tomadura de pelo.

¿Para qué, entonces, tanto ruido y para qué tantos correos, si se pueden utilizar nuestros datos personales sin necesidad de pedir el consentimiento? Pues bien, la respuesta no es sencilla, porque lo que antes, en la vieja Directiva europea y en nuestra LOPD, eran unas excepciones a la regla general del consentimiento, ahora, en el RGPD, son otras opciones al mismo nivel que éste.

Entre otras ‘bases legales’ para el tratamiento lícito de nuestros datos personales (aparte del consentimiento, hay otras cinco), destaca especialmente la última de ellas (art. 6.f RGPD): “cuando el tratamiento de dichos datos sea necesario para la satisfacción de intereses legítimos perseguidos por la empresa responsable del tratamiento o incluso por un tercero” (otra empresa a la que se cedan éstos).

Eso sí, el RGPD matiza que, para poder hacer el tratamiento de dichos datos sin consentimiento de sus titulares, la empresa responsable del tratamiento debe demostrar que esos intereses legítimos -suyos o de un tercero- prevalecen sobre los intereses o los derechos y libertades fundamentales del titular (en especial, la intimidad) que requieran la protección de esos datos personales.

“En cualquier caso -dice el RGPD (considerando 47)- la existencia de un interés legítimo requeriría una evaluación meticulosa, inclusive si el titular de los datos puede prever de forma razonable, en el momento y en el contexto de la recogida de datos personales, que pueda producirse el tratamiento con tal fin”. Y no cabe cuando “no espere, razonablemente, que se realice un tratamiento ulterior”.

Continúa diciendo el RGPD que: “Tal interés legítimo podría darse, por ejemplo, cuando existe una relación -pertinente y apropiada- entre el titular (de los datos) y el responsable (del tratamiento de los mismos), como en situaciones en las que el titular (de los datos) es cliente o está al servicio del responsable” (empleado). En esos casos, la empresa no necesitaría pedir su consentimiento.

Añade el RGPD que: “El tratamiento de datos de carácter personal estrictamente necesario para la prevención del fraude constituye también un interés legítimo del responsable del tratamiento de que se trate”. Y que asimismo: “El tratamiento de datos personales con fines de mercadotecnia directa puede considerarse realizado por interés legítimo”, pero no aclara más.

Por último (Considerando 49): “Constituye un interés legítimo el tratamiento de datos -en la medida estrictamente necesaria y proporcionada- para garantizar la seguridad de la red y de la información: impedir los accesos no autorizados y la distribución de códigos maliciosos, y frenar ataques de «denegación de servicio» y daños a los sistemas informáticos y de comunicaciones electrónicas.

Respecto a los fines de ‘mercadotecnia directa’, no aclara el RGPD cuáles son, pero recordemos que la Ley de Servicios de la Sociedad de la Información y de comercio electrónico (art. 21) especifica que no es necesario el consentimiento o la autorización expresa del destinatario de una comunicación comercial por vía electrónica siempre que se cumplan una serie de condiciones: cuando exista una relación contractual previa, 

haya obtenido de forma lícita los datos de contacto del destinatario o  cuando los emplee para enviar comunicaciones comerciales referentes a productos o servicios de su propia empresa o similares a los que inicialmente fueron objeto de contratación con el cliente.

Por otra parte, con respecto a otros ‘intereses legítimos’, dice el RGPD (art. 40.b) que: “Las asociaciones y otros organismos representativos de las empresas responsables o encargadas del tratamiento podrán elaborar códigos de conducta -o modificar o ampliar dichos códigos- con objeto de especificar… los ‘intereses legítimos’ perseguidos, en contextos específicos”.

anto cuando se obtengan datos personales del propio titular (art. 13.1.d) como cuando se obtengan por otra vía (art. 14.2.b) el responsable del tratamiento debe informar al titular de los datos de la base legal del tratamiento y, si no se basa en el consentimiento del titular de los datos, sino en supuestos ‘intereses legítimos’ del responsable del tratamiento o de un tercero, debe indicarle cuáles son éstos.

Dice asimismo el RGPD (Considerando 69) que “En los casos en que los datos personales puedan ser tratados lícitamente por motivos de ‘intereses legítimos’ del responsable (del tratamiento) o de un tercero, el titular (de los datos) debe, sin embargo, tener derecho a oponerse al tratamiento de cualquier dato personal relativo a su situación particular” (mediante un procedimiento sencillo y gratuito).

Y añade: “Debe ser el responsable (del tratamiento) el que demuestre que sus intereses legítimos imperiosos prevalecen sobre los intereses o los derechos y libertades fundamentales del titular de los datos”. Es decir, además de legítimo, el interés debe ser ‘imperioso’, que, según la RAE, significa: ‘fuerte e ineludible’, ‘necesario y urgente’. No basta, por tanto, cualquier ‘interés legítimo’.

En conclusión, aunque el RGPD (art. 6) habla sólo de las distintas ‘condiciones’ o ‘bases legales’ para la ‘licitud del tratamiento’ de datos personales, haciendo una interpretación sistemática (arts. 13 y 14) hay que distinguir entre la captación de éstos (tanto cuando se recaben del propio titular como por cualquier otra vía) y los tratamientos (específicos) para cada uso o finalidad.

Y, en ese sentido, parece que la base legal de los ‘intereses legítimos imperiosos’ de la empresa responsable del tratamiento -o de otra tercera empresa a la que se le cedan los datos- sólo se puede aplicar a determinados tratamientos, cuando ya existe una relación previa contractual. Es decir, los datos han sido captados legalmente, solicitando el consentimiento expreso de los titulares de los mismos.

Por tanto y por lo que se refiere, en especial, a los fines de mercadotecnia directa, pueden las empresas utilizar la ‘base legal’ de los intereses legítimos imperiosos cuando hay una relación contractual preexistente (evaluando, en cualquier caso, si esos intereses prevalecen sobre los intereses o los derechos fundamentales de los titulares de los datos), pero no se pueden alegar para captar dichos datos.