En el marco del programa de apoyo de expertos del CEPD, se ha publicado el documento One-stop-shop Case Digest: Legitimate Interest, que analiza 62 resoluciones OSS y cinco decisiones vinculantes adoptadas entre 2018 y 2025 bajo el mecanismo de ventanilla única regulado en el artículo 60 del RGPD. Del análisis realizado se desprende que el interés legítimo es, en la práctica, la base de legitimación más exigente del Reglamento General de Protección de Datos (en adelante, «RGPD») y, pese a su aparente amplitud, la mayoría de los responsables del tratamiento que lo invocan terminan fracasando, no porque sus intereses no sean legítimos, sino porque no logran superar los requisitos de necesidad y proporcionalidad que le son inherentes.
Los tres elementos del interés legítimo
El artículo 6.1.f) del RGPD condiciona la licitud del tratamiento a la concurrencia simultánea de tres elementos: la existencia de un interés legítimo del responsable o de un tercero, la necesidad del tratamiento para alcanzar ese interés, y la ausencia de prevalencia de los derechos e intereses del interesado sobre el interés legítimo invocado. Estos requisitos operan de forma acumulativa, sin que la debilidad de uno pueda compensarse con el fortalecimiento de otro. El CEPD, en sus Directrices 1/2024 sobre el tratamiento de datos personales basado en el artículo 6.1.f) del RGPD, ha reforzado esta cuestión, que se refleja en las resoluciones OSS.
Qué puede y qué no puede ser un interés legítimo
Una distinción conceptual relevante que reflejan las diferentes resoluciones es la que existe entre el interés del responsable y la finalidad del tratamiento, exigiendo que se informe al interesado de ambos elementos por separado. Las Directrices 1/2024 establecen que la finalidad es el motivo concreto por el que se tratan los datos, mientras que el interés constituye la ventaja o beneficio más amplio que subyace al tratamiento. En la práctica, este es uno de los errores más frecuentes detectados en las resoluciones: responsables del tratamiento invocaban el interés legítimo de forma genérica, sin articular el interés subyacente con la precisión que el RGPD exige.
El TJUE abordó en el asunto Koninklijke Nederlandse Lawn Tennisbond (C-621/22) dos cuestiones fundamentales: que el interés legítimo no requiere un fundamento legal positivo expreso, y que un interés puramente comercial también puede cualificarse como legítimo. No obstante, el interés debe ser lícito en el sentido de no ser contrario al Derecho de la Unión ni al Derecho de los Estados miembros.
Las resoluciones también dejan claro qué intereses no pueden invocarse bajo el artículo 6.1.f) RGPD, que se refiere al interés del responsable o de un tercero, en el sentido del artículo 4.10 del RGPD, excluyendo por tanto al propio interesado. Ello significa que los intereses de los propios titulares de los datos no tienen cabida en el ámbito del interés legítimo del responsable. Así lo estableció la autoridad de protección de datos de Baviera en el asunto Worldcoin, rechazando que se pudieran invocar los intereses de sus usuarios como base de licitud, ya que convertiría al responsable en una suerte de tutor de facto de los interesados, con capacidad para tomar decisiones sobre sus datos al margen de su voluntad real. Del mismo modo, las resoluciones precisan que el artículo 6.1.f) del RGPD no ampara la invocación de intereses públicos generales por parte de operadores privados, cuya base de legitimación más ideal sería la prevista en el artículo 6.1.e) del RGPD.
Finalmente, el interés debe estar clara y precisamente articulado. Este requisito cumple una doble función: permite llevar a cabo el test de ponderación de manera rigurosa y garantiza que el interesado disponga de información suficiente para el ejercicio de su derecho de oposición.
La necesidad del tratamiento
El TJUE, en los asuntos acumulados SCHUFA Holding (C-26/22 y C-64/22), estableció que la necesidad implica que los intereses legítimos perseguidos no puedan alcanzarse de manera igualmente eficaz mediante medios menos restrictivos de los derechos y libertades de los interesados. En la resolución relativa a Zalando, las autoridades alemanas aceptaron la realización de comprobaciones de solvencia previas a la conclusión del contrato únicamente cuando el cliente había seleccionado activamente una opción de pago aplazado y confirmado expresamente dicha selección mediante un paso adicional, rechazando que tal comprobación pudiera practicarse de forma automática.
El caso de WorldCoin es, probablemente, el ejemplo más claro de cómo se analiza el requisito de necesidad. La autoridad de protección de datos reconoció que preservar la integridad de los espacios digitales puede ser un interés legítimo, pero no vio justificación para retener los datos biométricos de todos los usuarios que cierran su cuenta: la gran mayoría no ha incurrido en ninguna infracción, y bastaba con consultar a los servicios vinculados si existía un bloqueo concreto.
El test de ponderación
El tercer elemento del análisis es el juicio de ponderación entre el interés legítimo del responsable y los intereses, derechos y libertades fundamentales del interesado. Las Directrices 1/2024 del CEPD articulan este juicio en torno a cuatro factores: la identificación de los intereses y derechos existentes, el impacto del tratamiento, las expectativas razonables del interesado, y la posibilidad de adoptar medidas adicionales de mitigación.
En cuanto al impacto, las resoluciones adoptan una perspectiva amplia que va más allá de la mera afectación a los derechos “formales” de los interesados. Por ejemplo, la autoridad checa de protección de datos en el asunto relativo a la publicación de información sobre deudores en internet, consideró que dicha publicación podía generar exclusión social tanto para el deudor como para su familia, pérdida de empleo y otras consecuencias negativas en la vida personal y laboral. El asunto Worldcoin ya mencionado fue especialmente llamativo en este punto: la autoridad bávara señaló que el sistema biométrico proyectado implicaría para el interesado la pérdida completa de control sobre su propia identificación y, con ella, la eliminación de lo que denominó un “derecho a mentir”, esto es, la posibilidad de ocultar o distorsionar información personal en respuesta a exigencias injustificadas o ilegales, posibilidad que puede resultar práctica o necesaria en determinados contextos laborales, políticos o personales.
Las expectativas razonables del interesado son, de hecho, el elemento más frecuentemente invocado en las resoluciones como causa de fracaso del test de ponderación. En el asunto relativo a una cadena de tiendas de telefonía que adquirió datos de contacto a través de intermediarios, la CNIL concluyó que los interesados no podían razonablemente esperar recibir comunicaciones comerciales de esa entidad concreta, dado que los intermediarios no habían indicado en el momento de la recogida con qué entidades se compartiría la información
Las resoluciones subrayan además que las expectativas razonables y la transparencia están estrechamente relacionadas, pero no son idénticas, precisando las Directrices 1/2024 que las expectativas razonables no dependen necesariamente de la información facilitada al interesado.
Temas recurrentes en las resoluciones OSS
Más allá del análisis del triple test, las resoluciones OSS ponen de manifiesto dos cuestiones transversales de relevancia práctica directa: la invocación retroactiva del interés legítimo y la interacción con la Directiva ePrivacy.
La posición dominante en relación con la invocación retroactiva del interés legítimo en el conjunto de resoluciones es negativa: el cambio de base jurídica una vez iniciado el procedimiento administrativo menoscaba los derechos del interesado, que fue privado de la información sobre el interés legítimo perseguido y de la posibilidad de ejercer su derecho de oposición en el momento oportuno. La ausencia de información sobre el test de ponderación priva al interesado de la posibilidad de hacer valer los elementos que podrían contrarrestar el interés invocado por el responsable, viciando cualquier ponderación que este hubiera podido realizar con posterioridad.
La segunda cuestión es la interacción con la Directiva ePrivacy en el ámbito de las cookies, estableciendo que el interés legítimo no puede operar como base de licitud para el uso de cookies no técnicas. La complejidad se agrava porque en algunos Estados miembros la supervisión de las obligaciones derivadas de la Directiva ePrivacy corresponde a la autoridad de protección de datos, mientras que en otros recae sobre autoridades sectoriales diferentes, lo que puede dejar fuera del ámbito de supervisión aspectos determinantes del análisis, generando lagunas de control que las resoluciones evidencian.
Conclusión
El análisis del conjunto de resoluciones OSS permite extraer conclusiones prácticas claras, estableciendo un nivel de exigencia cada vez mayor en el uso del interés legítimo como base de legitimación y reconfirmando lo que ya sabíamos: no se puede invocar el interés legítimo como base “comodín”.
La evaluación de interés legítimo debe realizarse antes del inicio del tratamiento y debe quedar documentada de forma que permita acreditar que el triple test fue efectivamente superado. Cuando estos elementos se integran adecuadamente en el diseño del tratamiento, el artículo 6.1.f) del RGPD puede operar como una base jurídica sólida. Cuando se omiten, no hay interés, por legítimo que sea, que pueda sostenerlo.
Si quieres conocer más información sobre las últimas novedades en protección de datos puedes leer otras entradas en nuestro blog pinchando aquí y aquí.
Escrito por: Alicia Aguilar Cacho
