De conformidad con los considerandos 47 y el art. 6.1.f) Reglamento General de Protección de datos (RGPD) el tratamiento de datos personales se considera lícito siempre que sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan el interés del responsable del tratamiento sobre los intereses, derechos y libertades fundamentales del interesado.
En primer lugar, hay que determinar si los datos personales se han obtenido de manera lícita, teniendo en cuenta el consentimiento del interesado expresamente para la finalidad inicialmente establecida, así como garantizar que los datos objeto de tratamiento cumplen con el principio de calidad, siendo estos datos adecuados, pertinentes, limitados y exactos (art. 5.1.c) y d) RGPD. De hecho, el responsable debe garantizar la licitud del procedimiento de recogida de tales datos de acuerdo al RGPD, pues como se ha comentado en entradas anteriores, la falta de licitud y transparencia en el tratamiento de los datos puede salir cara. Concretamente, la obtención lícita de los datos del interesado hace referencia a aquellos datos que se han obtenido de fuentes de acceso públicas. Pero ¿qué es una fuente accesible al público?
Actualmente, a diferencia de lo estipulado en la derogada Ley Orgánica 15/1999, de 13 de diciembre (LOPD), no existe un concepto legal ni en el RGPD ni en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de datos personales y garantías de derechos digitales (LOPDGDD) relativo a las fuentes accesibles al público; así, y tomando como referencia lo recogido por el todavía vigente Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, en su artículo 7 se indica que se consideran fuentes accesibles al público las siguientes:
- Censo promocional
- Guías de servicios de comunicaciones electrónicas, en los términos previstos por su normativa específica
- Listas de personas pertenecientes a grupos profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección profesional e indicación de su pertenencia al grupo
- Diarios y boletines oficiales
- Medios de comunicación social
A este respecto, conviene traer a colación una reciente resolución de la Agencia Española de Protección de Datos (AEPD), con número n.º 0089/2020, en la que la Agencia resuelve sobre una consulta preceptiva al respecto del cumplimiento normativo en materia de protección de datos de un código de conducta que desea constituir el consultante. Entre los principales argumentos alegados por la Agencia en su desestimación de dicho Código, recuerda que el hecho de que los datos estén accesibles al público no habilita al responsable para que ampare dicho tratamiento en base en el interés legítimo, puesto que deberá garantizarse, en todo caso, que la finalidad ulterior de los datos a cargo del responsable cuenta con el consentimiento del interesado o la finalidad a la que se dirige sirve de fundamento para una expectativa razonable del mismo y se garantiza la protección de los intereses, derechos y libertades fundamentales del afectado. Concretamente, la AEPD insiste también en la necesidad de cumplimiento del principio de limitación de la finalidad, conforme al cual no se podrá amparar un tratamiento ulterior en el interés legítimo si no se corresponde con la finalidad inicial para la que se hicieron públicos tales datos (en cumplimiento de una obligación legal de carácter informativo en base al principio de transparencia y acceso a la información pública).
Precisamente, solo cabe esperar una expectativa razonable por parte del afectado cuando la finalidad ulterior es necesaria y compatible con la finalidad inicial para la que se recogieron los datos, para lo que el responsable deberá atender a los criterios de valoración a partir del considerando 47 y el art. 6.4 RGPD, a saber: una relación preexistente y apropiada entre el responsable y el interesado, en su caso; la compatibilidad con la finalidad inicial, el contexto en el que se han recogido los datos personales, la naturaleza de los datos, las consecuencias para la privacidad de los interesados y la existencia de garantías adecuadas como el cifrado o la seudonimización.
En suma, el hecho de que la información ya sea accesible al público no ampara al responsable para esgrimir un interés legítimo para una finalidad ulterior distinta a la inicial, precisamente, cuando la finalidad inicial responde al cumplimiento de una obligación legal independiente de la voluntad de los interesados, lo que supondría que dicho tratamiento ulterior se realiza para una finalidad distinta (envío de comunicaciones comerciales, mercadotecnia directa, seguridad de la red, etc.) a la inicial (cumplimiento de la obligación legal de transparencia y acceso a la información pública); lo que atenta contra el principio de limitación de la finalidad del tratamiento y, por consiguiente, no habilita al responsable para alegar expectativa razonable alguna por parte del interesado, con lo que, en tal caso, no prevalece el interés del responsable sobre el interés y derechos del interesado, no pudiendo el primero amparar el tratamiento en base al interés legítimo. Por tal motivo, el incumplimiento del principio de limitación de la finalidad deslegitima el interés del responsable, con lo que este no podrá amparar dicho tratamiento en el interés legítimo a este respecto.
El simple hecho de que la finalidad del tratamiento, con independencia de su tipología, no sea compatible con la finalidad inicial conforme a la cual constan tales datos en fuentes accesibles al público, implica, al margen de la licitud del sistema de recogida de los datos (fuente accesible al público) que no exista tampoco ningún fundamento para la expectativa razonable del interesado sobre el tratamiento ulterior al que pudieran estar sometidos sus datos personales.
En definitiva, no es suficiente que los datos sean accesibles por terceros a partir de una fuente pública para el amparo en el interés legítimo como base de legitimación del tratamiento por parte del responsable, y habrán de ponderarse también los siguientes criterios:
- Los datos se obtienen de manera lícita, de acuerdo al RGPD en caso de que los datos se obtengan de una fuente de acceso público, garantizar el carácter público de la fuente.
- El tratamiento cumple con el principio de calidad de los datos: los datos son exactos, pertinentes y no excesivos en relación con el ámbito y la finalidad inicial del tratamiento
- Cumplimiento del principio de limitación de la finalidad: comprobar que la finalidad inicial (acceso a la información pública) es compatible con la finalidad ulterior del responsable (publicidad, p.e.)
- Existencia de una expectativa razonable del interesado del tratamiento ulterior de sus datos almacenados en fuentes de acceso público
- Consecuencias del tratamiento en la privacidad de los interesadosen base a la idoneidad, la necesidad y la proporcionalidad del tratamiento de tales datos de acuerdo a la finalidad inicial
- Garantía de protección y no prevalencia de los intereses, derechos y libertades fundamentales del interesado.
La circunstancia de que los datos consten en fuentes públicas puede ser considerada como uno de los elementos a valorar al realizar la correspondiente prueba de ponderación, tal y como recuerda el Dictamen 6/2014 del grupo de trabajo del art. 29 sobre el concepto de interés legítimo, que cita como uno de los factores clave que deben considerarse al efectuar la “prueba de ponderación”, que los datos consten en fuentes accesibles al público o si los datos se han revelado al público o se han puesto de otra manera a disposición de un gran número de personas, pero quedeberá ponderarse, con el resto de circunstancias concurrentes como son la licitud del procedimiento de recogida de datos de conformidad con el RGPD, el cumplimiento del principio de limitación de la finalidad y la expectativa razonable del interesado en relación al tratamiento ulterior.
Por último, la AEPD recuerda que, aunque el tratamiento objeto de ponderación cumpliera con los criterios de ponderación anteriores, inclusive cuando los datos se hubieran obtenido de cualquiera de las anteriores fuentes de acceso público, en ningún caso dicho tratamiento podrá amparase en el interés legítimo si no se garantiza la preceptiva protección de los intereses, derechos y libertades fundamentales del interesado.