¿Es posible que una empresa recopile cualquier dato de un cliente basándose en el “interés legitimo”?
Como principio general, la normativa vigente en materia de Protección de Datos (Reglamento Europeo 2016/679 (RGPD)) establece que para recopilar o tratar de cualquier forma datos de carácter personal se requiere el consentimiento expreso del titular:
“El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones: a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos”, artículo 6.1 RGPD
Pero también se prevén otros supuestos que legitiman el tratamiento de datos personales, como cuando el tratamiento sea necesario para el cumplimiento o ejecución de una obligación contractual.
Es evidente que para la prestación de servicios contratados o la entrega de productos adquiridos en una tienda o comercio, es absolutamente imprescindible tratar datos del cliente/comprador (nombres, apellidos, datos bancarios para el pago con tarjeta, email, teléfono, dirección para comunicaciones relacionadas con los servicios o productos adquiridos, envío de facturas, justificantes, reclamación de pagos, etc.).
Sin embrago puede darse el caso de que en el momento de la contratación el cliente no proporcione información veraz o actualizada, y al momento de reclamar el pago de dichos servicios no sea posible contactar con el cliente, ya que su email, teléfono o dirección son erróneos.
¿Podemos conseguir dichos datos en Internet alegando “interés legitimo”?
Otro de los supuestos que legitima el tratamiento de datos de carácter personal es el ejercicio de un interés legítimo:
“El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones: f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño”, artículo 6.1 RGPD
No obstante, no todos los datos que aparecen en Internet se consideran que se obtienen de una fuente accesible al público o de una fuente oficial. Se consideran fuentes de acceso público el censo promocional; los repertorios telefónicos en los términos previstos por su normativa específica; las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo; los diarios y boletines oficiales, y los medios de comunicación social.
Por tanto, las redes sociales, los blogs personales, foros, etc no son fuentes oficiales. No es lícito obtener esta información de estas fuentes, ya que el titular de esos datos utiliza esos portales con fines personales.
Sería una invasión al ámbito de la privacidad e intimidad, derecho reconocido en el Art. 18 de la Constitución:
“Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen”
El interés legítimo no puede basarse en un acto ilícito de origen, ni puede vulnerar otros derechos del titular. Es decir, antes de categorizar un tratamiento de datos (sin consentimiento) basado en interés legítimo es necesario realizar una evaluación detallada.
Incluso cuando el cliente proporcione a sabiendas, datos falsos para evadir el pago de los servicios o artículos adquiridos, en todo caso los intereses y los derechos fundamentales de una persona podrían prevalecer sobre los intereses de una empresa que quiere ejecutar una obligación contractual.
En ATEA COMPLIANCE contamos con profesionales especialistas en protección de datos, que prestan asesoramiento jurídico personalizado a aquellas empresas que quieran cumplir con dicha normativa, ofreciendo así un servicio integral de alto nivel.