Hemos escuchado innumerables veces que para tratar ciertos tipos los datos personales es obligatorio que el titular de los datos haya dado su consentimiento expreso, pero hoy vamos a ver un caso en el que este requisito no es necesario, todo enfocado en la prevención y detección del fraude.
Hay circunstancias en las que el consentimiento expreso del titular de los datos no es el camino a seguir para tratar los datos personales.
Vamos a ver en éste artículo qué significa “el interés legítimo”, qué implicaciones tiene para “el consentimiento” y cuáles criterios calificarían para que el tratamiento de los datos personales se dé basado en esta categoría para nuestra actividad económica basada en la prevención del fraude interno.
Fundamento para el análisis
El artículo 6 del capítulo dos (Principios) del reglamento de protección de datos del parlamento Europeo (GDPR) enumera los casos en los que es legal/lícito el tratamiento de datos personales. Nos vamos a centrar en el literal (f):
“el tratamiento es necesario para los intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, excepto cuando sobre dichos intereses prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño”
Vamos a extraer párrafos textuales del documento de análisis elaborado por la junta de protección de datos del parlamento europeo para consulta pública. No vamos a analizar todas las categorías de aplicación de éste principio, solamente nos vamos a centrar en el campo de la prevención del fraude interno. Este documento se puede descargar dando clic en éste vínculo.
Alcance del análisis
El análisis que haremos hoy no aplica para todas las jurisdicciones, solamente para aquellas que estén bajo el paraguas de la Unión Europea y para aquellos países donde sus leyes de protección de datos personales hayan sido tomadas literalmente del GDPR.
Base legal para el procesamiento
Según el recital 47 del RGPD, el tratamiento de datos en el ámbito de la prevención del fraude puede encontrar su base jurídica en el artículo 6, literal (f) del RGPD. Este recital aclara que el tratamiento de datos personales estrictamente necesario para los fines de prevenir el fraude puede constituir un interés legítimo del responsable del tratamiento.
Esto no significa, sin embargo, que sea automáticamente posible basarse en el artículo 6, literal (f) del RGPD como base jurídica para realizar cualquier tratamiento de datos personales con fines de prevención del fraude, ya que para basarse legalmente en el artículo 6, literal (f) del RGPD, el tratamiento previsto debe basarse en un interés legítimo y cumplir tanto las pruebas de necesidad como de ponderación.
Cobertura en prevención y detección
El recital 47 no contiene una definición de prevención del fraude. Sin embargo, el elemento central de cualquier fraude es la acción u omisión engañosa intencionada de una o más personas para obtener una ventaja o beneficio al que no tienen derecho, o para obtenerlo de manera ilícita (por ejemplo, fraude financiero, oferta de productos falsificados). Por tanto, la prevención del fraude incluye todas las medidas destinadas a prevenir el comportamiento fraudulento.
En principio, también puede considerarse que está cubierta la detección del fraude, ya que, por un lado, suele existir un riesgo de repetición y, por otro, es la única manera de llevar a cabo el análisis necesario de las deficiencias para evitar nuevos fraudes. No obstante, debe evaluarse caso por caso si una medida aplicada para detectar el fraude también puede considerarse adecuada para la prevención del fraude.
Condiciones y limitaciones
El tratamiento de datos personales para el interés legítimo de la prevención del fraude no se aplica sin condiciones y limitaciones, en particular porque este tipo de tratamiento puede tener un impacto significativo en los interesados. Por ejemplo, el recital 47 deja claro que el tratamiento de datos personales debe ser “estrictamente necesario para los fines de prevención del fraude”, lo que debe examinarse en conjunción con el principio de “minimización de datos” consagrado en el artículo 5(1)(c) del RGPD.
Al mismo tiempo, el principio de limitación del almacenamiento del artículo 5(1)(e) del RGPD debe tenerse en cuenta al decidir las políticas de retención de datos que se aplican a los datos tratados con fines de detección o prevención del fraude.
La finalidad de prevenir el fraude
Los responsables del tratamiento deberían ser específicos sobre qué tipo de fraude están tratando de prevenir y qué datos realmente necesitan tratar para prevenir ese tipo de fraude, de lo contrario, lo más probable es que el equilibrio de intereses se incline a favor del interesado y el responsable del tratamiento no podrá basarse en el artículo 6(1)(f) del RGPD a este respecto.
Todo tratamiento de datos personales debe cumplir los principios establecidos en el artículo 5(1) del RGPD. Cualquier incumplimiento de estos principios tiene como consecuencia que el tratamiento respectivo no pueda realizarse. El principio de limitación de la finalidad establecido en el artículo 5(1)(b) del RGPD requiere que los datos solo se recopilen para fines específicos, explícitos y legítimos. Por tanto, cabe señalar que una referencia genérica al objetivo de “luchar contra el fraude” para definir el interés legítimo, por ejemplo, en la política de privacidad, no es suficiente para cumplir con las obligaciones de transparencia y documentación en virtud del RGPD.
Los derechos fundamentales de los individuos
Los derechos y libertades fundamentales de los individuos incluyen el derecho a la protección de datos y a la privacidad, pero también otros derechos y libertades fundamentales, como el derecho a la libertad y a la seguridad, a la libertad de expresión e información, a la libertad de pensamiento, conciencia y religión, a la libertad de reunión y asociación, a la prohibición de discriminación, al derecho de propiedad o el derecho a la integridad física y mental, que pueden verse afectados por el tratamiento, ya sea directa o indirectamente.
El interesado en procesar los datos personales para prevenir y detectar el fraude debe hacer un test de ponderación que incluya el impacto que tendrá en los derechos y libertades de los individuos.
Una vez que el responsable del tratamiento haya identificado y evaluado los intereses legítimos perseguidos, los derechos y libertades pertinentes del individuo, el impacto del tratamiento y las expectativas razonables del interesado, el responsable del tratamiento debe poder lograr un equilibrio entre todos los intereses, derechos y libertades identificados.
Si el resultado de esta evaluación es que los intereses, derechos y libertades del interesado no prevalecen sobre los intereses legítimos perseguidos, el tratamiento previsto podrá llevarse a cabo.
Aunque el responsable del tratamiento debe intentar lograr este equilibrio de la manera más objetiva posible, cualquier ejercicio de equilibrio sigue siendo una evaluación caso por caso. El responsable del tratamiento tiene la obligación de demostrar que la prueba de ponderación se ha llevado a cabo de forma adecuada y que los intereses legítimos perseguidos no se ven objetivamente prevalecidos por los intereses, los derechos y las libertades fundamentales del interesado.
Si los intereses, los derechos y las libertades del interesado prevalecen sobre los intereses legítimos perseguidos y no se pueden adoptar medidas de mitigación suficientes, el tratamiento no puede basarse en el artículo 6(1)(f) del RGPD.
Reflexiones y conclusiones
De éste análisis publicado por la junta de protección de datos del parlamento Europeo, quizás la parte más importante no es la de que “no se requiere el consentimiento del titular de los datos para fines de prevención del fraude”, sino que probablemente la más importante es “que hacer una referencia genérica al objetivo de luchar contra el fraude para definir el interés legítimo no es suficiente para cumplir con las obligaciones de transparencia y documentación en virtud del RGPD”.
Aquí entran en consideración el principio de limitación de la finalidad, la minimización de los datos, la retención de los datos y la proporcionalidad. Por lo tanto sería correcto decir, que aunque “prevenir el fraude” es de interés legítimo para un negocio, no todos los métodos, técnicas, software o metodologías disponibles en el mercado califican para hacerlo legalmente bajo el paraguas del GDPR, incluso, prevenir es una cosa y detectar es otra.
Hacer un test de ponderación e intentar equilibrar la prevención del fraude sobre los derechos a la privacidad es fundamental, sobre todo para demostrar que la empresa en la cual se está llevando a cabo la prevención del fraude es conocedora de este conflicto entre deberes y derechos.
Referencias
(GDPR, 2024) Guidelines 1/2024 on processing of personal data based on Article 6(1)(f) GDPR
Acerca de NOFRAUD
NOFRAUD es la compañía que desarrolla el software antifraude The Fraud Explorer y apoya a personas y empresas a enfrentar y solucionar sus retos en materia de fraude interno, corrupción y abuso corporativo. NOFRAUD ha creado la base de datos conductual de actos deshonestos más grande del mundo en Español e Inglés, que sirve para que la inteligencia artificial encuentre patrones sospechosos de corrupción al interior de las organizaciones.
Mejoramos la capacidad de las organizaciones incrementando sus beneficios, arrebatándole a los perpetradores la posibilidad de afectar negativamente los ingresos a través del fraude, la corrupción, el abuso corporativo y la generación de ambientes tóxicos.
Contacte conmigo en » jrios@nofraud.la y Visítenos en » www.nofraud.la.
