Consentimiento o interés legítimo: ¿qué significan exactamente? ¿Cuál deberías elegir?
No hay una respuesta única, aunque muchas autoridades de protección de datos de toda Europa han limitado el uso del interés legítimo.
Por lo tanto, primero hay que entender por qué hay que elegir entre consentimiento o interés legítimo.
El consentimiento y el interés legítimo son dos de las seis bases jurídicas del RGPD.
Según el RGPD, para empezar a tratar los datos personales de tus usuarios, necesitas una base jurídica, es decir, una razón legal para validar tu actividad. Para que tu actividad de tratamiento sea legal, debe ser necesaria para lograr tus finalidades. Si puedes alcanzar tus finalidades sin tratar ningún dato, o con la menor cantidad de datos posible, entonces se debe evitar el tratamiento, y no se necesita una base jurídica.
Ahora, veamos con más detalle qué significan el consentimiento y el interés legítimo.
La definición de consentimiento es bastante sencilla: tus usuarios te dan permiso para empezar a recoger y utilizar su información personal.
Sin embargo, para que el consentimiento sea válido, tiene que cumplir unos requisitos específicos. Como se indica en el RGPD, el consentimiento debe ser libre, específico, informado e inequívoco.
Significa que, antes de iniciar el tratamiento sobre la base del consentimiento, tienes que asegurarte de que tus usuarios han sido informados sobre tu actividad y que han aceptado libremente. Esto también significa que el mecanismo para obtener el consentimiento debe requerir un acto afirmativo por parte del usuario (por ejemplo, debes evitar las casillas marcadas previamente en tus formularios de consentimiento). También es importante proporcionarles un medio para retirar su consentimiento cuando lo deseen.
Puedes obtener más información sobre el consentimiento y el RGPD aquí.
La ICO del Reino Unido define el interés legítimo como la base jurídica más flexible. Y efectivamente, el tratamiento en base al interés legítimo no requiere una finalidad específica ni el consentimiento de los usuarios. La finalidad del tratamiento es el interés legítimo del responsable del tratamiento (es decir, el titular de un sitio web o una aplicación) o de un tercero.
Dado que el interés legítimo puede aplicarse a un amplio número de situaciones, debes tener cuidado al evaluar si tus intereses están equilibrados con los derechos y libertades de tus usuarios.
Por esta razón, la ICO sugiere llevar a cabo una prueba que consta de tres partes para evaluar si el interés legítimo puede aplicarse:
Al no existir una finalidad específica para el interés legítimo, debes ser aún más transparente con tus usuarios y explicar cuáles son los intereses legítimos del tratamiento.
Todo depende de cómo vayas a utilizar los datos que recojas y de lo intrusivo que sea el tratamiento para su privacidad.
Según la ICO, puedes basarte en el interés legítimo cuando:
Sin embargo, hay casos en los que el interés legítimo no está permitido. Por ejemplo, muchas autoridades de protección de datos, como el Garante italiano, han publicado nuevas directrices sobre el uso de cookies y han prohibido explícitamente el interés legítimo como base jurídica válida para la elaboración de perfiles de cookies.
En general, el consentimiento suele ser la opción más segura. Basarse en una base jurídica errónea podría invalidar tu actividad y exponerte a graves consecuencias. ¡Así que siempre es mejor ir a lo seguro!
Esperamos que este post te haya ayudado a determinar tu base jurídica. Ahora estás listo para dar el siguiente paso.
