El 7 de noviembre de 2025, mediante Resolución No. SPDP-SPD-2025-0041-R, la Superintendencia de Protección de Datos Personales (en adelante, “SPDP”) expidió la Normativa general para la aplicación del interés legítimo como base de legitimación para el tratamiento de datos personales (en adelante, la “Normativa”).
La Normativa es de aplicación obligatoria cuando se invoque el interés legítimo como base de legitimación para el tratamiento de datos personales.
A continuación, detallamos los aspectos más relevantes de la Normativa:
- Características del interés legítimo
La Normativa establece que el interés legítimo deberá ser:
i. Lícito: la actividad de tratamiento no tendrá una finalidad que esté prohibía legalmente.
ii. Real y concreto: no podrá invocarse en circunstancias hipotéticas en cuanto deberá ser determinado y deberá responder a necesidades ciertas y comprobables.
iii. Proporcional: el tratamiento deberá ser adecuado, necesario, oportuno y no excesivo.
iv. Compatible con las expectativas razonables del titular: el responsable previa la ejecución del tratamiento deberá proporcionar al titular la información relevante de toda la actividad de tratamiento, y, demás, deberá incluir dicha información en la política de privacidad.
2. Evaluación de ponderación
Todo responsable que pretenda justificar un tratamiento en un interés legítimo deberá realizar una evaluación de ponderación previa. Estas evaluaciones, y sus resultados, deberán estar disponibles para consulta por parte de la SPDP y los titulares.
La evaluación de ponderación tendrá como finalidad determinar si el interés invocado por el responsable del tratamiento prevalece frente a los derechos y libertades de los titulares. Su omisión constituirá una infracción grave en virtud de lo establecido en la Ley Orgánica de Protección de Datos Personales.
La evaluación de ponderación deberá incluir, los criterios definidos en el Anexo 1 de la Normativa, que entre otros aspectos requieren:
i. Identificación y justificación del interés legítimo.
ii. Justificación de la necesidad que demuestre que el tratamiento es indispensable para cumplir la finalidad perseguida y que no existen medios menos intrusivos.
iii. Ponderación entre la finalidad perseguida y el posible impacto en los derechos del titular.
iv. Implementación de medidas técnicas, organizativas y de mitigación aplicadas, así como el resultado documentado de la evaluación.
Los responsables deberán mantener un registro actualizado de las evaluaciones de ponderación. Este deberá ser revisado al menos una vez al año o cuando se modifique la finalidad, el tipo de datos o el nivel de riesgo del tratamiento.
3. Supuestos admisibles
La SPDP limitó el uso del interés legítimo a los siguientes supuestos:
i. Mercadotecnia directa, siempre que no se utilicen datos sensibles ni de menores de edad y se garantice un mecanismo gratuito e inmediato de oposición.
ii. Prevención, detección y reporte de fraudes, lavado de activos, financiamiento del terrorismo y delitos conexos, conservando los datos únicamente por el tiempo estrictamente necesario.
iii. Comunicación interna de datos dentro de grupos empresariales, limitada a finalidades legítimas y con transparencia hacia los titulares.
iv. Seguridad de redes y sistemas tecnológicos, mediante la implementación de medidas técnicas y organizativas adecuadas.
v. Videovigilancia con fines de seguridad de personas, bienes o instalaciones. No es permitido la captación o grabación de audio en estos sistemas que se sustenten en interés legítimo.
Notando que en todo caso cada actividad deberá superar la evaluación de ponderación exigida en la Normativa; y, que frente a estas actividades de tratamiento los titulares podrán ejercer en cualquier momento sus derechos contemplados en la Ley Orgánica de Protección de Datos Personales, y particularmente sus derechos de oposición y acceso.
4. Prohibiciones
No podrá invocarse el interés legítimo en los siguientes supuestos:
i. Tratamiento de categorías especiales de datos personales, salvo que el tratamiento sea estrictamente indispensable y existan medidas de seguridad reforzadas.
ii. Tratamiento que implique elaboración de perfiles automatizados cuando produzca efectos jurídicos o afecte significativamente al titular, salvo los casos previstos en los sectores financiero o asegurador con salvaguardas adicionales.
iii. Tratamiento de datos personales de niñas, niños o adolescentes, salvo que se justifique con base en el interés superior del menor.
iv. Tratamientos masivos o reutilización de datos personales con fines distintos o incompatibles con la finalidad original.
