La sentencia dictada el jueves pasado por el Tribunal de Justicia de la UE declara inaplicables el artículo 6.2 de la LOPD y el artículo 10.2.b del Reglamento de la LOPD, en relación a la exigencia de que, para tratar o ceder datos personales sin el consentimiento del interesado, se cumpla el requisito adicional de que dichos datos figuren en fuentes accesibles al público.
Consecuencias inmediatas
Los efectos de esta sentencia en los tratamientos de datos personales que se realicen a partir de ahora son, a mi modo de ver, los siguientes:
– La relación restrictiva de fuentes accesibles al público pierde relevancia.
– Los datos personales podrán ser tratados sin consentimiento del interesado aunque no provengan de fuentes accesibles al público.
– Los únicos requisitos que deberán cumplirse serán: 1) el interés legítimo del responsable del fichero y 2) que no se vulneren los derechos y libertades fundamentales del interesado.
– Ello significa que cualquiera que sea el origen de los datos, incluido Internet, éstos podrán ser objeto de tratamiento y cesión, siempre que se cumplan los dos requisitos comentados y exista un equilibrio entre el interés legítimo y los derechos fundamentales del interesado. Las comunicaciones electrónicas comerciales seguirán precisando el consentimiento expreso del destinatario de las mismas, salvo en el caso de clientes.
– Vuelven a estar dentro de la ley muchos tratamientos que resultan inocuos para la intimidad del interesado y que hasta ahora estaban vedados a las empresas.
– Es recomendable seguir el protocolo que hasta ahora venía aplicándose para asegurar el cumplimiento del deber de información y la no vulneración del derecho a la intimidad, de manera que se pondere el equilibrio entre interés legítimo y derechos fundamentales.
– Se incluirá en este protocolo, entre otras medidas, el filtro de las listas Robinson, el filtro de las cancelaciones recibidas, la ponderación del justo equilibrio de intereses y la información sobre los derechos ARCO en las comunicaciones y en los plazos establecidos para ello.
El Tribunal declara el efecto directo del artículo 7.f en España, debido a una incorrecta trasposición de la misma, por lo que, en mi opinión, no es necesario esperar al pronunciamiento del Tribunal Supremo, que fue el que planteó las dos cuestiones prejudiciales. Por ello, no estoy de acuerdo con el contenido de la nota informativa de la AEPD y pienso que la sentencia puede abrir la posibilidad de que las empresas soliciten la devolución de las sanciones pagadas por determinadas infracciones relacionadas con la falta de consentimiento en las que había equilibrio entre interés legítimo y derechos fundamentales.
Gracias por este resumen, muy útil. Lo que me queda por entender (entre otras cosas) es quién debe valorar «el peso» del interés legítimo del Responsable del Fichero y cuándo éste sabe que su tratamiento/cesión no choca con los derechos y libertades fundamentales del interesado.
¿No estaremos abriendo una puerta a que los responsables del fichero traten/cedan los datos sin consentimiento y, a posteriori, verse en la obligación de explicar su valoraciones en un tribunal?
Escenario: yo trato los datos sin consentimiento (porque creo que cumplo con los dos requisitos) y después serán los interesados que tendrán que «defenderse» para demostrar que no se han respetado estas dos opciones.
Seguiremos leyendo las opiniones de la AEPD.
Gracias a ti por tu comentario, Amedeo. Efectivamente, podría entenderse que pasamos de elementos de valoración objetivos, como la inclusión o no del dato en una fuente accesible al público, a un elemento de valoración subjetivo, con el consiguiente riesgo de que la ponderación del responsable del fichero sea distinta de la ponderación realizada por la Agencia. Sin embargo, ese riesgo ya existía antes, ya que el hecho de que un dato figurase en una fuente accesible al público no impedía que se vulnerase la intimidad del interesado.
Además, aplicando el protocolo habitual, el interesado será informado del tratamiento y podrá oponerse a futuros tratamientos, cancelar los datos o no decir nada. Si no dice nada, los efectos deberán ser los mismos que en el caso de que el dato hubiese sido obtenido en una fuente accesible al público.
Finalmente, tenemos la referencia de la doctrina aplicada por la Audiencia Nacional que ha aplicado en diversas ocasiones esta ponderación. Sin ir más lejos, anuló una resolución de la Agencia en la que sancionaba a un hotel por haber facilitado el currículum de un candidato a otro hotel que buscaba a una persona para cubrir un puesto de trabajo similar. Es evidente que en estos casos no hay vulneración de la intimidad y el legítimo interés es claro.
Hola, dándole vueltas al asunto, que lo merece, se me ocurre más cosas:
«el interesado será informado del tratamiento y podrá oponerse a futuros tratamientos, cancelar los datos o no decir nada»: es decir, introducimos un «opt out», que tanto detestamos (por lo menos, yo).
En el famoso caso de cv que pasa de un hotel a otro (que, para mis clientes, les viene de maravillas), sigo viendo vulneración de la intimidad (del candidato) y no me aclaro con el interés legítimo del cedente: ¿ceder un cv es un interés legítimo? ¿De quién? ¿Del cedente? Del cesionario, sin duda, pero al cedente ni la va ni le viene; su actividad es la hostelería, no la selección del personal (de los demás).
Imagínate que me despiden del Hotel A y no quiero que éste sepa que sigo en el paro; me presento en el Hotel B, que manda mi cv al Hotel A que, viéndome todavía en el paro, se «ríe» de mí. ¿Por qué mi antigua empresa debe saber si sigo estando en el paro? En fin, una vez más, gracias por este post, que ayuda mucho a reflexionar sobre estos asuntos.
Amedeo Maturo
En mi opinión, el «opt-out» ya existía en relación a los datos obtenidos en fuentes accesibles al público. Hasta ahora, si una empresa creaba un fichero con datos que provenían de una fuente accesible al público, debía dar la opción a los interesados de ejercitar los derechos ARCO contra dicho fichero. Si no decían nada tras haber sido comunicada su inclusión en dicho fichero de titularidad privada, se entendía que aceptaban dicha inclusión. Lo que ha cambiado la sentencia es que este régimen ya no es exclusivo para los datos obtenidos en fuentes accesibles al público.
Respecto al caso del CV que pasa de un hotel a otro, el artículo 6 de la LOPD se refiere al interés legítimo perseguido por el responsable del fichero «o» por el del tercero a quien se comuniquen los datos. La existencia de la «o» indica que sólo hace falta que uno de los dos tenga interés legítimo.
En relación al ejemplo, el hotel B tiene que informarte de tus derechos en el momento de la entrega del CV y de las finalidades a las que va a destinarlo. Si no deseas que el hotel A conozca tu situación, puedes pedir al hotel B que no ceda el CV ni tus datos a terceros, o específicamente al hotel A.
Ya puestos, me sigo aprovechando de tu amabilidad, para continuar con este debate.
Me he expresado mal con la «reintroducción» del opt-out; debería haber dicho, «aumentamos sin límites (que tampoco, pero es para entendernos) las posibilidades del opt-out».
Escenario posible: empresa de gestión de contenidos audiovisuales (A) pide los datos de mi IP a mi compañía de telefonía (B), que se los cede. El interés legítimo de «A» está claro.
Me llega la carta en la que «A» me informa de que es cesionaria de mis datos. Me queda la opción del «opt-out», pero a ver quién es el usuario que se entera de estos asuntos. No ejerzo mi derecho (posiblemente, ni siquiera sé qué es) y «A» me corta la línea ADSL por conectarme a sitios de descarga «dudosa». Me voy a los Tribunales y gano (en el mejor de los casos) porque la ponderación del interés legítimo de «A» no aguanta la comparación con mis derechos fundamentales (¿secreto de las comunicaciones?).
En el mejor de los casos, me quedo meses/años sin ADSL y sí, obtengo todas las compensaciones por daños/perjuicios posibles. Pero, ¿no me estarán cargando con una carga excesiva? ¿Tengo que ejercer mi oposición al tratamiento de «A» por correo ordinario/certificado/burofax?
A falta de mejores ponderaciones, sigue sin gustarme esta puerta abierta, cuando estaba cerrada/circunscrita (y bien cerrada/circunscrita) a los datos de fuentes de acceso público.
Ya no molesto más y gracias por las respuestas.
Amedeo Maturo
En mi opinión, hay que distinguir entre el marco en que se produce una recogida de datos y el marco en que se produce una cesión de datos.
En relación a la recogida, el efecto de la sentencia ha sido una ampliación de los supuestos en los que puedo obtener datos y crear un fichero sin tener el consentimiento del interesado. Por ejemplo, si quiero realizar el envío postal de una circular a personas con el apellido García y con residencia en Pamplona y busco en Google +García +Pamplona, entiendo que podré crear un fichero con esos datos. Antes teóricamente no podía porque ni Google ni Internet entraban en el concepto «medios de comunicación» de la lista de fuentes accesibles al público (aunque ya he manifestado mi opinión contraria a ello). Ahora puedo hacerlo porque ya no es obligatorio que la fuente de los datos esté en esa lista.
En relación con la cesión hay que ver el origen de los datos, porque si los ha facilitado el propio interesado en el marco de una relación contractual, tendremos que comprobar lo que dice el contrato. En el ejemplo que pones, entiendo que hay un contrato entre el operador de telecomunicaciones y el usuario. En dicho contrato el proveedor se habrá obligado a tratar los datos con unas finalidades específicas y a cederlos también en unas circunstancias concretas y a unos cesionarios determinados. Como hay un contrato, y éste incluye un consentimiento informado muy específico, estamos ante el supuesto del artículo 6.1 de la LOPD (con consentimiento), por lo que ya no se aplicaría el 6.2 (sin consentimiento).
Además, en el ejemplo que comentas, la valoración que debe realizar el operador ya está resuelta con antelación, porque en Europa hay una doctrina legal y jurisprudencial clara sobre los supuestos en los que un proveedor puede facilitar una dirección IP.
En cualquier caso, imagínate que el usuario ha aceptado expresamente que el operador facilite los datos del usuario en el caso de que una entidad de gestión se los solicite. Creo que este debate ya se produjo anteriormente en el blog, por lo que si te interesa, te remito a él.
La puerta que, como bien dices, estaba cerrada, en los demás países europeos estaba abierta, y ello generaba un problema de competitividad para las empresas españolas, al tiempo que impedía el libre tráfico en Europa. No me consta que en otros países con la Directiva correctamente traspuesta se hayan producido muchos problemas por tener esta puerta abierta, pero lo que está claro es que, tanto nuestro asesoramiento a clientes como el criterio de la Agencia, deberán ajustarse a partir de ahora a este nuevo escenario.
Gracias a ti por participar.
Xavier
Pingback: El Tribunal Supremo anula el artículo 10.2.b del reglamento de la LOPD « Xavier Ribas
Buen resumen Xavier.
Sin perjuicio de la incertidubre que genera el «interés legítimo», creo que no existe una merma en los derechos del afectado, pues perfectamente podrá oponerse a un tratamiento y cesión como venía haciendo hasta ahora.
Por otro lado, respecto a las cesiones, entiendo se sigue exigiendo el requisito de que la cesión sea para fines directamente relacionados con las funciones del cedente y el cesionario. Por tanto, no está avalando una cesión libre. La recomendación por tanto para el cliente es que amplíe los usos posibles de los datos.
Gracias por tu comentario, Javier. Efectivamente, el afectado mantiene el control sobre el tratamiento de sus datos a través del derecho de oposición. De acuerdo también con tu segundo comentario.
Un abrazo,
Xavier