Fin de la incertidumbre, inicio de la obligación.
Hasta ahora, muchas organizaciones utilizaban el «interés legítimo» como una base legal
«comodín» para tratar datos personales cuando no resultaba práctico pedir consentimiento. La
Superintendencia de Protección de Datos Personales (SPDP) ha puesto fin a la interpretación
libre con la Resolución No. SPDP-SPD-2025-0041-R.
Esta normativa establece que el interés legítimo solo aplica al sector privado y bajo
condiciones muy estrictas. Ya no basta con «creer» que la empresa tiene un buen motivo;
ahora hay que demostrarlo documentalmente antes de actuar.
Desglose de las nuevas reglas obligatorias.
- La «Evaluación de Ponderación»: El corazón de la norma.
No se puede usar el interés legítimo sin antes realizar una Evaluación de Ponderación. Si la
SPDP te audita y no tienes este documento, se considerará una infracción grave.
Esta evaluación no es un simple trámite; debe analizar y documentar tres pilares clave:
– Idoneidad: El interés debe ser real, lícito y concreto, no hipotético.
– Necesidad: Debes demostrar que no existe otra forma menos invasiva de lograr tu
objetivo.
– Proporcionalidad: El beneficio para la empresa no puede pesar más que la
privacidad de las personas afectadas.
Ojo al dato: Esta evaluación debe actualizarse al menos cada año, o automáticamente si
cambian las condiciones del tratamiento (como usar los datos para algo nuevo).
- Semáforo de usos: ¿Qué está permitido y qué no?
La norma aclara situaciones cotidianas para las empresas:
Permitido bajo condiciones (Luz Verde con precaución)
– Mercadotecnia Directa: Puedes enviar publicidad sin consentimiento si existe una
relación previa con el cliente o una expectativa razonable de contacto. Condición
vital: Cada mensaje debe tener una opción visible, gratuita y sencilla para darse de
baja (derecho de oposición), la cual debe atenderse de inmediato.
– Videovigilancia: Solo válida para seguridad de personas, bienes o instalaciones.
– Prevención de Fraude: Limitado estrictamente a los datos necesarios para analizar
operaciones sospechosas o delitos conexos.
– Grupos Empresariales: Se permite compartir datos entre empresas del mismo grupo
solo para tareas administrativas internas (como auditorías o servicios compartidos).
Prohibido (Luz Roja)
– Videovigilancia con Audio: Está terminantemente prohibido grabar conversaciones;
se considera una violación a la intimidad.
– Zonas Privadas: Nunca se pueden poner cámaras en baños, vestidores, lactarios o
comedores.
– Control Laboral Invasivo: No se puede usar el interés legítimo para monitorear el
desempeño mediante grabaciones de audio.
– Datos Sensibles y de Menores: Por regla general, no se puede usar interés legítimo
para datos de salud, biométricos, religión, ni datos de niñas, niños y adolescentes.
Solo hay excepciones muy raras si es «estrictamente indispensable» y se aplican
medidas de seguridad reforzadas.
El deber de informar (Transparencia)
Aunque no pidas permiso, debes avisar. Antes de empezar a usar los datos bajo esta figura,
debes informar al titular de manera clara y sencilla (sin lenguaje legal complicado) que sus
datos se usarán por interés legítimo y explicarle por qué. Esto suele hacerse actualizando las
políticas de privacidad.
En conclusión, la entrada en vigencia de esta norma obliga a todas las empresas a realizar un
inventario inmediato de sus usos de datos. Si estás enviando correos comerciales, grabando
con cámaras de seguridad o compartiendo datos con filiales sin consentimiento expreso,
necesitas tener lista tu Evaluación de Ponderación.
En caso de requerir asesoría para la aplicación de estos cambios en la normativa y la correcta
elaboración de las evaluaciones de ponderación, estamos para servirte.
