En una frase. El interés legítimo del art. 6(1)(f) RGPD permite tratar datos sin consentimiento cuando el interés del responsable prevalece, pero solo si superas y documentas el triple test: idoneidad, necesidad y ponderación frente a los derechos del interesado.
El interés legítimo RGPD es la base más flexible y también la más incomprendida. No es un comodín: la AEPD rechaza sistemáticamente su invocación cuando falta el análisis previo. Bien usado, sostiene el marketing a clientes propios, la prevención del fraude o la videovigilancia; mal usado, es una infracción del art. 6.
Puntos clave
- El triple test (idoneidad, necesidad, ponderación) debe realizarse y documentarse antes de iniciar el tratamiento.
- El interés legítimo no vale para poderes públicos en el ejercicio de sus funciones (art. 6.1, párrafo final).
- El interesado conserva siempre el derecho de oposición (art. 21), absoluto en marketing directo.
- El art. 19 LOPDGDD presume el interés legítimo para tratar datos de contacto de empresarios individuales y profesionales.
- Un tratamiento sin análisis de ponderación documentado se considera base no acreditada por la AEPD.
Qué dice el art. 6(1)(f) RGPD
El interés legítimo permite el tratamiento cuando es “necesario para la satisfacción de intereses legítimos perseguidos por el responsable o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño”.
De esta redacción se extraen los tres requisitos acumulativos que forman el triple test. Es una de las seis bases de legitimación del art. 6 y, a diferencia del consentimiento, no depende de la voluntad del interesado, pero exige un ejercicio de responsabilidad proactiva.
El triple test paso a paso
El CEPD adoptó en 2024 sus Directrices 1/2024 sobre el interés legítimo, que consolidan la metodología en tres fases.
1. Test de finalidad (idoneidad)
¿Existe un interés real, actual y lícito? No sirven intereses hipotéticos o genéricos. Ejemplos aceptados por reguladores y por el propio Considerando 47-49 RGPD: seguridad de la red, prevención del fraude, marketing directo a clientes propios.
2. Test de necesidad
¿Es el tratamiento necesario para ese interés, o hay una vía menos invasiva? Si puedes lograr el mismo objetivo con menos datos o sin identificar a nadie, el interés legítimo decae. Aquí entra la minimización de datos como criterio.
3. Test de ponderación (balancing test)
¿Prevalecen los derechos del interesado sobre tu interés? Hay que valorar:
- Las expectativas razonables del interesado (¿esperaría este uso?).
- La naturaleza de los datos (¿son sensibles? ¿hay menores?).
- El impacto sobre la persona.
- Las garantías que introduces (seudonimización, transparencia, opt-out fácil).
Si tras introducir garantías el equilibrio se inclina a tu favor, el interés legítimo es válido. Este análisis se documenta en un LIA (Legitimate Interest Assessment) que debes conservar y poder mostrar a la AEPD.
Plantilla mínima de LIA
Un LIA no necesita ser extenso, pero sí completo:
| Sección | Contenido |
|---|---|
| Tratamiento | Descripción y finalidad concreta |
| Interés perseguido | Cuál es y por qué es lícito, real y actual |
| Necesidad | Por qué no hay alternativa menos invasiva |
| Datos y sujetos | Categorías de datos e interesados (¿menores? ¿sensibles?) |
| Expectativas | Qué esperaría razonablemente el interesado |
| Riesgos e impacto | Consecuencias para la persona |
| Garantías | Medidas que reducen el impacto (opt-out, seudonimización, información) |
| Conclusión | Prevalece / no prevalece el interés legítimo |
Guarda el LIA junto al registro de actividades de tratamiento: es la prueba de que la base está acreditada.
Ejemplos válidos e inválidos en España
Válidos (con LIA):
- Marketing a clientes propios de productos similares, con opt-out en cada comunicación (Considerando 47 y art. 21.2 LSSI).
- Videovigilancia de seguridad proporcionada, con cartel y conservación de un mes.
- Prevención del fraude en pagos y comercio electrónico.
- Datos de contacto profesional de empresarios individuales: el art. 19 LOPDGDD presume el interés legítimo, siempre que el tratamiento se limite a la actividad profesional.
Inválidos:
- Compra de bases de datos de terceros para enviar publicidad en frío (no hay relación previa ni expectativa; requiere consentimiento).
- Cesión de datos a empresas del grupo para finalidades nuevas sin información ni ponderación.
- Perfilado intensivo con datos sensibles amparado en un interés legítimo genérico.
La AEPD ha sancionado reiteradamente a operadoras y energéticas del sector marketing por apoyar en un supuesto interés legítimo llamadas comerciales y cesiones sin base; el detalle está en el análisis de sanciones de la AEPD en marketing y publicidad. En banca, defectos de legitimación de este tipo motivaron sanciones como la de CaixaBank (6 millones EUR) y BBVA (5 millones EUR), recogidas en el panorama de sanciones RGPD.
Interés legítimo frente a consentimiento
Elegir entre interés legítimo y consentimiento no es cuestión de preferencia, sino de encaje. El consentimiento sitúa la decisión en manos del interesado y es revocable en cualquier momento; el interés legítimo traslada la responsabilidad al que trata los datos, que debe justificar la ponderación pero no depende de un “sí” previo.
| Criterio | Interés legítimo | Consentimiento |
|---|---|---|
| Quién decide | El responsable (con ponderación) | El interesado |
| Revocabilidad | Oposición (art. 21) | Retirada en cualquier momento (art. 7.3) |
| Carga documental | LIA / triple test | Prueba del consentimiento |
| Uso típico | Fraude, marketing propio, seguridad | Cookies, prospección en frío, datos sensibles |
La regla práctica: si necesitas el tratamiento para operar y el interesado lo esperaría razonablemente, el interés legítimo suele ser más sólido que un consentimiento que puede evaporarse. Si el tratamiento es intrusivo o inesperado, el consentimiento es la vía correcta.
Interés legítimo y derecho de oposición
Elegir el interés legítimo no cierra el asunto. El interesado puede oponerse (art. 21). En marketing directo la oposición es absoluta: debes cesar sin excusas. En otros tratamientos, debes acreditar motivos imperiosos que prevalezcan. Por eso conviene revisar la coherencia entre la base elegida, el LIA y los canales de ejercicio de derechos en tu checklist de cumplimiento RGPD.
Cuando el tratamiento afecta a empleados, el interés legítimo convive con los límites laborales de los arts. 88-90 LOPDGDD; conviene contrastarlo con la guía sobre intimidad y vida privada de los trabajadores.
Documentar decenas de LIA y mantenerlos actualizados cuando cambian los tratamientos es tedioso; plataformas como Legiscope permiten generar y versionar la ponderación junto al registro de actividades.
Véase también: limitación de la finalidad.
FAQ
¿Necesito consentimiento si uso interés legítimo?
No. El interés legítimo es una base autónoma; no requiere consentimiento. Pero exige el triple test documentado y respetar el derecho de oposición del interesado (art. 21).
¿Puedo usar interés legítimo para enviar publicidad?
Sí para tus propios clientes de productos o servicios similares, con opt-out claro en cada envío (art. 21.2 LSSI y Considerando 47 RGPD). No para prospección en frío a personas con las que no tienes relación previa: ahí necesitas consentimiento.
¿Qué es un LIA y es obligatorio?
Un LIA (Legitimate Interest Assessment) es el documento que recoge el triple test. No aparece nominalmente en el RGPD, pero es la forma de acreditar la base ante la AEPD por el principio de responsabilidad proactiva (art. 5.2). Sin él, la base se considera no probada.
¿El interés legítimo sirve para datos sensibles?
En la práctica, no. Los datos del art. 9 requieren una excepción específica del art. 9(2); el interés legítimo del art. 6 no habilita por sí solo su tratamiento. Consulta la guía sobre categorías especiales de datos.
Fuentes oficiales: Reglamento (UE) 2016/679 (RGPD), art. 6 y Considerandos 47-49, Directrices del CEPD sobre interés legítimo y Agencia Española de Protección de Datos.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial