Columnas
Interés legítimo: despejando algunas dudas en materia de protección de datos
"La idónea elección de la base de licitud es especialmente importante, porque el Proyecto contempla como una infracción grave el tratamiento de los datos personales sin contar con un antecedente o fundamento legal que otorgue licitud al tratamiento".
Por Jorge Tisné Niemann *
La ley N° 19.628 sobre Protección de la Vida Privada contempla exclusivamente a la ley y al consentimiento como fuentes o bases de licitud que autorizan el tratamiento de datos personales. Una de las novedades del proyecto de ley sobre datos personales (“Proyecto”) es que actualiza las fuentes, ampliándolas notablemente, siguiendo el ejemplo del Reglamento General de Protección de Datos europeo, o GDPR por sus siglas en inglés.
En tal sentido, si bien el Proyecto establece como regla general el consentimiento como fuente de licitud del tratamiento (art. 12), también se contemplan otras fuentes de licitud que habilitan para tratar datos personales en ausencia del consentimiento (art 13). Todos ellas pueden ser elegidas por el responsable para respaldar su tratamiento.
Las nuevas fuentes de licitud se pueden resumir en: (i) tratamiento referido a datos relativos a obligaciones de carácter económico, financiero, bancario o comercial y se realice de conformidad con las normas del Título III del Proyecto; (ii) tratamiento que sea necesario para la ejecución o el cumplimiento de una obligación legal o lo disponga la ley; (iii) tratamiento necesario para la celebración o ejecución de un contrato entre el titular y el responsable, o para la ejecución de medidas precontractuales adoptadas a solicitud del titular; (iv) tratamiento que sea necesario para la satisfacción de intereses legítimos del responsable o de un tercero, siempre que con ello no se afecten los derechos y libertades del titular;(v) tratamiento de datos sea necesario para la formulación, ejercicio o defensa de un derecho ante los tribunales de justicia u órganos públicos; y (vi) o para resguardar la vida, salud o integridad física de una persona (art. 16).
Por lo tanto, antes de ejecutar un tratamiento de datos, el responsable deberá decidir y acreditar cuál es la base que otorga la licitud a su actuación. Esto,tanto ante el titular como ante la futura Agencia de Protección de Datos cuando requiera de información.
La idónea elección de la base de licitud es especialmente importante, porque el Proyecto contempla como una infracción grave el tratamiento de los datos personales sin contar con un antecedente o fundamento legal que otorgue licitud al tratamiento. Estas sanciones suponen multas de hasta 5.000 UTM o, en el caso de empresas, una multa de hasta el equivalente de 2% de los ingresos anuales por ventas y servicios y otras actividades del giro en el último año calendario, con un tope máximo de 10.000 UTM.
Ahora bien, el interés legítimo aparentaría ser en primera instancia una base de licitud laxa o flexible, que habilitaría al responsable a tratar datos personales según su mejor conveniencia y en cualquier contexto. Con todo, este concepto indeterminado ha tenido una construcción acabada en ordenamientos comparados que han delimitado su ámbito de aplicación y que la perfilan como una compleja base de licitud para su empleo.
Como se observa, conforme al Proyecto, el interés legítimo del responsable o terceros (sean personas naturales, jurídicas o incluso de la sociedad) encuentra un límite en los derechos y libertades del titular. Recordemos que la autodeterminación informativa es un derecho fundamental consagrado en el artículo 19 N° 4 de la Constitución Política de Chile. Esta limitación anticipa la necesidad de realizar una ponderación de licitud previo a su empleo, en donde se considere la expectativa razonable de los titulares a cómo el responsable utilizará sus datos.
La redacción de la norma propuesta no es antojadiza, pues es similar pero no idéntica a la empleada en el artículo 6 del GDPR, en relación con el Considerando 47 de dicho cuerpo legal. De hecho, en el escenario europeo, su origen se encuentra en la derogada Directiva 95/46/CE (artículo 7.f), y que ha dado origen al menos a pronunciamientos por parte del Tribunal de Justicia de la Unión Europea, materiales de trabajo y dogmática que han contribuido a perfilar sus contornos.
Dado que los intereses legítimos pueden ser múltiples y de distintas clases, para efectos de utilizar esta base de licitud el responsable deberá previamente realizar un test de ponderación que incluye las circunstancias del caso concreto y, en particular, la evaluación del propósito, necesidad del tratamiento y una valoración los intereses comprometidos (cado uno de estos elementos supone un análisis de subelementos). Cabe hacer presente que la mera descripción de un interés no es suficiente para descansar en esta base, sino que debe existir un beneficio real y concreto para el responsable o terceros que prevalezca sobre el interés del titular, lo cual debe ser respaldado con el ejercicio de ponderación enunciado.
Este test (también conocido como Evaluaciones de Intereses Legítimos o LIAs por sus siglas en inglés) permite anticipar los posibles riesgos e impactos del tratamiento propuesto, con el objeto de adoptar una decisión adecuada respecto a la validez del interés legítimo, o al contrario, descartar su empleo.
El enfoque de riesgo es coherente con los principios del tratamiento de datos, el cual se fundamenta en la actuación proactiva del responsable para evitar infringir los derechos de los titulares de datos. Esto, asimismo, conlleva la responsabilidad de documentar las decisiones adoptadas. Por lo tanto, al optar por esta base de licitud, el responsable asume un mayor grado de diligencia para equilibrar los intereses y las expectativas de los titulares con las garantías y medidas de resguardo necesarias.
Como contrapartida al interés legítimo, y dado que su empleo evita solicitar la anuencia del titular, la norma del Proyecto prevé que el interesado siempre podrá exigir ser informado sobre el tratamiento que lo afecta y cuál es el interés legítimo sobre el cual se efectúa dicho tratamiento. Esto encuentra correlación en los principios que informan a la protección de datos (principio de información y transparencia y protección desde el diseño y defecto). Además, la elección de esta base de licitud habilita a los titulares a ejercer sus derechos, especialmente, el de derecho de acceso y oposición.
Cabe señalar que el Proyecto contempla un empleo más restringido de esta base de licitud en el contexto de datos sensibles, pues solo autoriza la justificación del interés legítimo respecto de: (i) una persona jurídica de derecho público o de derecho privado que no persiga fines de lucro en base a ciertas condiciones específicas, y (ii) las personas naturales o jurídicas, públicas o privadas, incluidos los organismos públicos, cuando el tratamiento se realiza exclusivamente con fines históricos, estadísticos, científicos y para estudios o investigaciones, todos los cuales deben atender fines de interés público.
Desde un punto de vista práctico, el Proyecto no detalla ejemplos concretos de finalidades que constituyan intereses legítimos. Con todo, se han propuesto como ejemplos la prevención del fraude, el marketing directo, cesión de datos en un grupo empresarial y garantizar la seguridad de la red y de la información (Considerandos 47, 48 y 49 GDPR), así como el tratamiento de datos de empleados y clientes. Si bien estos son solo algunos ejemplos, el interés legítimo podrá servir como base de licitud para un amplio cúmulo de tratamientos, que deben ser evaluados pormenorizadamente conforme al test de ponderación antes referido.
En suma, la evaluación de la fuente de licitud a utilizar debe hacerse en consideración a cada tratamiento pretendido. Su ventaja es que no necesita del consentimiento del titular (el cual es esencialmente revocable). Si bien el concepto de interés legítimo podría considerarse ambiguo y flexible, su empleo no debe ser discrecional, exigiendo una conducta diligente por parte del responsable. En este escenario, el responsable deberá previamente realizar un test de proporcionalidad, en virtud del cual determine si el tratamiento puede o no descansar en dicha base.
Para esta evaluación, que siempre deberá ser documentada y sujeta a revisión, se deberá considerar la clase de datos involucrados, el propósito del tratamiento, la necesidad y el equilibrio de los intereses comprometidos (incluyendo impactos y riesgos en los titulares). Esta ponderación, junto con el cumplimiento de los principios y deberes previstos en el Proyecto, demostrará una conducta apegada a la normativa, permitiendo acreditar la licitud del tratamiento y evitar, en consecuencia, infracciones y sanciones.
* Jorge Tisné Niemann es Asociado Senior área IP, datos y tecnología de Bofill Mir Abogados. Doctor en Derecho, Universidad de los Andes y LLM en Tecnología, Innovación y Derecho de la Universidad de Edimburgo.
