Twitter Instagram Youtube

'Consentimiento, contrato o interés legítimo', por Isaac Díaz

Imagen de redaccion

redaccion

Imagen de archivo

Elegir mal la base jurídica no es un error formal, es un problema estructural

Muchas organizaciones piden consentimiento para casi cualquier tratamiento de datos. Lo hacen por inercia, porque parece lo más seguro, pero la normativa de protección de datos no funciona así, lo que exige no es más consentimiento, sino la base jurídica correcta en cada caso. Y equivocarse tiene consecuencias reales.

La base jurídica no es un trámite documental, es el fundamento que determina si un tratamiento de datos es lícito o no. Todo lo demás, derechos del interesado, plazos de conservación, defensa ante una reclamación, depende de haberla elegido bien.

 LAS SEIS BASES QUE RECONOCE LA NORMATIVA

El Reglamento establece un listado cerrado, solo estos seis fundamentos pueden legitimar un tratamiento de datos personales. Si ninguno aplica, el tratamiento no debería existir.

 01 · Consentimiento.  La más conocida, también la más sobreutilizada y la que más errores genera en la práctica.

02 · Ejecución de contrato.  Cubre los tratamientos objetivamente necesarios para cumplir la relación contractual.

03 · Obligación legal.  La ley impone el tratamiento, el consentimiento no añade ni quita nada.

04 · Intereses vitales.  Casos excepcionales de riesgo directo para la vida de una persona.

05 · Interés público.  Misiones en interés público o en el ejercicio de poderes públicos.

06 · Interés legítimo.  Flexible y útil, pero exige una ponderación documentada y rigurosa.

En la práctica empresarial, las bases 01, 02, 03 y 06 concentran casi la totalidad de los tratamientos. Son también las que generan más confusión, porque a veces una misma operación parece encajar en varias cuando solo una es la adecuada.

EL CONSENTIMIENTO, visible, exigente y frecuentemente mal aplicado

Para que el consentimiento sea jurídicamente válido deben cumplirse cuatro condiciones simultáneamente. No son opcionales ni intercambiables.

  • Libre.  No puede condicionarse a la prestación del servicio ni a ninguna ventaja. Si la persona no tiene una alternativa real, el consentimiento no es libre.
  • Específico.  Debe referirse a una finalidad concreta y determinada. Un consentimiento genérico "para cualquier finalidad relacionada con la empresa" no es válido.
  • Informado.  La persona debe saber exactamente qué autoriza, quién trata los datos, con qué propósito y durante cuánto tiempo.
  • Inequívoco.  No caben casillas premarcadas, silencios ni comportamientos ambiguos. La acción debe ser afirmativa y clara.

A esto se añade una condición que muchas organizaciones no tienen suficientemente interiorizada, quien consiente puede retirar ese consentimiento en cualquier momento, y hacerlo tiene que ser tan sencillo como otorgarlo.

Advertencia práctica. Si se pide consentimiento para un tratamiento que en realidad corresponde a otra base, se crea una dependencia artificial. Cuando la persona retire el consentimiento, la organización queda expuesta, aunque el tratamiento fuera completamente legítimo por otra vía.

Cuando el consentimiento sí es la base correcta

  • Envío de newsletter a personas suscritas voluntariamente sin relación contractual previa.
  • Uso de cookies de seguimiento publicitario no esenciales para el funcionamiento del sitio.
  • Tratamiento de datos de categorías especiales (salud, ideología) cuando no aplica otra base.

Cuando no debe usarse el consentimiento

  • Datos de envío, facturación o historial de compra necesarios para ejecutar un pedido ya realizado.
  • Conservación de facturas o datos contables exigida por normativa fiscal o mercantil.
  • Gestión de incidencias, garantías o reclamaciones derivadas del contrato existente.

 EL CONTRATO, la base que más se confunde con el consentimiento

La ejecución de un contrato legitima los tratamientos sin los cuales esa relación contractual no puede desarrollarse. El criterio no es si el tratamiento tiene alguna relación con el contrato, sino si es objetivamente necesario para cumplirlo.

 Caso habitual en comercio electrónico

Una tienda online solicita consentimiento para tratar los datos de envío, el correo de confirmación del pedido y el historial de compras del cliente. En el formulario aparece una casilla: "Acepto que mis datos sean utilizados para gestionar mi pedido."

El problema es que ese tratamiento ya está cubierto por el contrato de compraventa, el cliente no está aceptando nada nuevo, está ejerciendo su derecho como parte contratante. Al presentarlo como consentimiento, la empresa da a entender que el cliente podría retirarlo y paralizar el envío de su propio pedido.

Error: la base correcta es el contrato, no el consentimiento. Usarlo aquí crea una obligación innecesaria y una expectativa jurídicamente incorrecta.

 ¿Cuál es entonces la fórmula correcta?

Cuando la base jurídica es el contrato, la casilla no debe solicitar permiso, debe informar. La redacción correcta no es "Acepto que mis datos sean utilizados para gestionar mi pedido", sino algo como "He leído y quedo informado sobre el tratamiento de mis datos para la gestión de este pedido". No se pide consentimiento porque no hace falta, el tratamiento ya está legitimado por la relación contractual. Lo que se garantiza es que la persona ha recibido la información a la que tiene derecho. La casilla sigue siendo necesaria, pero su función cambia, no autoriza, acredita que se ha informado.

El límite entre lo que cubre el contrato y lo que no es uno de los puntos más delicados en la práctica. Un servicio de suscripción necesita los datos bancarios para cobrar, base contractual. Usar esos mismos datos para construir un perfil publicitario, ya no lo cubre el contrato.

La obligación legal, cuando no hay margen de elección

La empresa no trata los datos porque el interesado lo permita ni porque tenga un interés propio, lo hace porque la normativa se lo impone. Pedir consentimiento en estos casos no solo es innecesario, es jurídicamente incorrecto.

  • Conservación de facturas durante el plazo legal establecido.
  • Comunicación de datos a la Agencia Tributaria.
  • Cotizaciones y obligaciones frente a la Seguridad Social.
  • Registros exigidos por normativa sectorial (bancaria, sanitaria, laboral...).

 EL INTERÉS LEGÍTIMO, la base más flexible y la peor defendida

El interés legítimo es la base jurídica que mayor margen de aplicación ofrece en el ámbito empresarial. También es la que con más frecuencia se invoca de forma incorrecta, como un comodín para justificar cualquier tratamiento que no encaja en las demás.

Permite tratar datos sin consentimiento cuando concurren tres elementos, un interés real y lícito del responsable, la necesidad del tratamiento para satisfacer ese interés, y la ausencia de prevalencia de los derechos del interesado. Los tres deben cumplirse.

Requisito clave: Lo que exige el interés legítimo es un test de ponderación real, documentado, razonado y capaz de sostenerse ante la autoridad de control. No basta con escribir "interés legítimo" en la política de privacidad.

 Qué debe responder el test de ponderación

  • ¿El tratamiento persigue una finalidad concreta, real y lícita? No puede ser abstracta ni genérica.
  • ¿Es el tratamiento necesario para alcanzar esa finalidad, o podría lograrse con menos datos?
  • ¿Puede la persona razonablemente esperar que sus datos se usen para esto, dada su relación con el responsable?
  • ¿Qué impacto tiene sobre sus derechos y libertades? ¿Es proporcional al beneficio que obtiene el responsable?
  • ¿Existen medidas adicionales, anonimización, seudonimización, que reduzcan ese impacto?

 Usos habituales donde puede aplicar

  • Prevención del fraude:  verificar la identidad o el comportamiento de usuarios en plataformas de comercio o servicios financieros.
  • Videovigilancia con fines de seguridad:  en locales comerciales o instalaciones empresariales, siempre que exista señalización adecuada.
  • Comunicaciones a clientes existentes:  sobre productos o servicios similares a los ya contratados, en los contextos permitidos por la LSSICE.
  • Análisis internos de comportamiento:  para mejorar la experiencia de usuario o detectar patrones, siempre acotados y documentados.

 Dónde falla habitualmente el interés legítimo

Una empresa recibe una solicitud de supresión de datos de un cliente. En su respuesta invoca el interés legítimo para oponerse, pero no puede acreditar que realizó ningún análisis de ponderación cuando inició el tratamiento. No existe documentación interna, no hay evaluación del impacto sobre el interesado, y la finalidad indicada en la política de privacidad es demasiado vaga para sostener la defensa.

Conclusión: sin test de ponderación documentado, el interés legítimo no protege a la organización. Al contrario, evidencia que el tratamiento se inició sin base suficiente.

LAS CONSECUENCIAS DE ELEGIR MAL

La práctica sancionadora de la AEPD y otras autoridades europeas muestra un patrón claro, muchas de las infracciones más costosas no tienen su origen en una filtración masiva ni en un ataque informático. Nacen de un error de planteamiento anterior.

  • Consentimiento para tratamientos contractuales:  el interesado puede "bloquear" tratamientos necesarios retirando un consentimiento que nunca debió pedirse.
  • Interés legítimo sin ponderación:  indefensión ante solicitudes de supresión u oposición. La organización no puede acreditar la legitimidad del tratamiento.
  • Reutilización de datos sin cobertura:  tratamiento para finalidades distintas a las originales sin base que lo cubra. Infracción directa del principio de limitación de la finalidad.
  • Consentimiento inválido como base única:  si el consentimiento no cumple los cuatro requisitos del RGPD, todo el tratamiento queda sin fundamento desde el inicio.
  • Comunicaciones comerciales sin base válida:  infracción simultánea del RGPD y de la normativa de servicios de la sociedad de la información (LSSICE).

TRES REGLAS PARA NO EQUIVOCARSE

Regla 1. No pedir consentimiento cuando existe una obligación legal. Si la normativa impone el tratamiento, el consentimiento es irrelevante. Pedirlo genera confusión en el interesado y obligaciones artificiales en la organización.

Regla 2. No invocar el contrato para tratamientos accesorios. La base contractual cubre lo necesario para ejecutar la relación, no todo lo que pueda relacionarse con ella. Los usos secundarios necesitan su propia base.

Regla 3. No usar el interés legítimo como cláusula de cierre. Es una base legítima y útil, pero solo si se puede demostrar que se realizó el análisis de ponderación antes de iniciar el tratamiento, no después de recibir una reclamación.

LO QUE DIFERENCIA EL CUMPLIMIENTO REAL DEL APARENTE

Una política de privacidad bien redactada no equivale a un modelo de cumplimiento sólido. Lo que determina la solidez es el análisis previo, entender para qué se trata cada dato, por qué ese tratamiento es legítimo y qué base jurídica lo sostiene.

Ese análisis condiciona la información que se facilita al interesado, los derechos que puede ejercer, los plazos de conservación y la capacidad de defensa ante una reclamación o una inspección. No es documentación accesoria: es la arquitectura sobre la que se construye todo lo demás.

Una misma relación con un cliente puede contener varios tratamientos distintos, cada uno con su propia base jurídica. Gestionarlos todos bajo una misma etiqueta de consentimiento no simplifica el cumplimiento: lo falsea.

La normativa no pide automatismos, pide criterio, y el criterio se demuestra antes, no cuando llega el problema.

Isaac Díaz

Procade