|
|
 |
|
Marketing y Protección de Datos (III) : Principios básicos del tratamiento de Datos Personales | |
De: Víctor Roselló Mallol
Fecha: Septiembre 2009
Origen: Noticias Jurídicas
Una vez estudiado el concepto de dato personal (Capítulo nº1) así como los requisitos básicos que debe cumplir el tratamiento de datos (Capítulo nº2), nos adentramos en este punto en el Titulo II de la LOPD, abordando los principios básicos que forman el núcleo esencial del derecho fundamental a la protección de datos.
Como quedó reflejado en el Capítulo nº1 la importante STC 292/2000 configura el derecho a la protección de datos personales, como un derecho autónomo a otros como el de la intimidad y el honor. En este punto conviene dar un paso más y definir en qué consiste, de forma concreta, este derecho fundamental o, en otras palabras, cuáles son sus características básicas sin las cuales no sería posible definir el citado derecho. El derecho a la protección de datos, también conocido como derecho a la autodeterminación informativa, consiste, de forma resumida, en el poder de control y disposición que cualquier titular de datos, tiene sobre estos; así en palabras del Tribunal Constitucional (STC 254/1993, de 20 de julio”) “el derecho fundamental a la protección de datos persigue, en suma, garantizar a la persona un poder de control sobre sus datos personales, sobre su uso y su destino (…) el derecho a la protección de datos garantiza a los individuos un poder de disposición sobre esos datos (…) atribuye a su titular un conjunto de poderes o facultades, que se traducen en auténticos deberes para aquellos que utilizan los datos, garantizando a la persona un poder de control sobre sus datos personales y que son, esencialmente: el derecho a que se requiera con carácter general, el previo consentimiento para la recogida y uso de datos personales; el derecho a saber y ser informado sobre el destino y uso de los mismos; y el derecho a acceder, rectificar y cancelar dichos datos. Pues sólo así se puede garantizar el poder de disposición sobre los datos personales”.
El Título II de la LOPD, anteriormente citado, recoge en suma, una serie de herramientas en forma de principios, que la ley pone a disposición del titular del dato, para que el poder de disposición y control sobre dichos datos, sea efectivo. A pesar del desglose de los principales rasgos inspiradores del derecho a la protección de datos que llevaremos a cabo a lo largo de este Capítulo, los principios pueden agruparse en dos: en primer lugar el principio de calidad de los datos y en segundo lugar el de la necesidad de consentimiento para poder recoger y tratar datos personales. A continuación pues analizaremos cada uno de estos principios, aplicables a cualquier tipo de tratamiento que pretenda llevarse a cabo de los datos, deteniéndonos en las especificaciones que en su caso, sean aplicables al tratamiento de datos con fines publicitarios a pesar que este punto, será abordado con mayor profundidad en el Capítulo 4. Los principios que seguidamente analizamos, deberán ser observados por tanto, por cualquier entidad que disponga de un fichero, automatizado o no, con datos personales, y pretenda utilizar dichos datos con cualquier finalidad publicitaria o de promoción de productos y/o servicios. Para conocer las eventuales particularidades de los principios aplicables al tratamiento de datos con finalidades publicitarias o de prospección comercial hacemos una primera referencia aquí el Capítulo II del Título IV del RLOPD (arts. 45 a 51), al que iremos haciendo constantes referencias en lo que queda de Obra. En este Capítulo pues seguimos analizando los principios básicos del tratamiento de datos para poder entender posteriormente las particularidades que caracterizan dicho tratamiento en el sector publicitario o promocional.
El artículo 4 de la LOPD, define el contenido esencial del primero de los grandes principios a que debe someterse la recogida y tratamiento de datos personales: el principio de calidad de los datos. Este principio está compuesto por una serie de principios adicionales que lo integran dándole un contenido concreto. El párrafo 1 y 2 del artículo 4 establecen los principios de proporcionalidad y finalidad; el 3, así como el 4 y el 5 de forma más extensa, el de veracidad y exactitud; el apartado 6 realiza una primera introducción a uno de los derechos básicos de los titulares de datos: el derecho de acceso y por último, el párrafo 7 prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos. Así el citado artículo 4 establece:
“1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.
2. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.
3. Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.
4. Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16.
5. Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.
No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.
Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida el mantenimiento integro de determinados datos.
6. Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados.
7. Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos.”
Los apartados del artículo 4 que tienen mayor influencia en el ámbito del tratamiento de datos con finalidades publicitarias son, sin ninguna duda, el primero y el segundo, donde se desarrollan, como ya se ha indicado, los principios de finalidad y proporcionalidad. En este apartado nos centraremos en exclusiva en el estudio de estos dos principios, por su trascendencia en el ámbito publicitario, dejando las referencias a los demás principios de artículo 4 para otros momentos de esta Obra.
A pesar que leyendo el artículo 4 el principio de finalidad no es el primero de los que se enumeran, iniciamos el estudio del citado precepto legal por este punto, ya que entendemos que es la base del principio de calidad de los datos, por las razones que a continuación trataremos de exponer.
Así el apartado 1 del artículo 4 establece al final del mismo, que los datos personales deberán ser recogidos y tratados para finalidades determinadas, explícitas y legítimas. Este triple requisito condensado en uno de genérico, la finalidad, se repite en el artículo 45.1.b) del RLOPD donde entre los supuestos que habilitan para el uso de datos personales con fines publicitarios o de prospección comercial, se incluye la necesidad que los datos hayan sido obtenidos para finalidades “determinadas, explícitas y legítimas” Por tanto el primer requisito básico para que la recogida y posterior tratamiento de datos, se realice de acuerdo a la LOPD y de más normativa de desarrollo, es que las finalidades para las que se usan dichos datos:
Sean determinadas: el cumplimiento de este requisito es el que, sin lugar a duda, ha llevado a mayores cuotas de conflicto en la interpretación y aplicación de la normativa. Así es necesario que la finalidad de la recogida y tratamiento de datos, sea identificada con la máxima precisión posible evitando finalidades genéricas. En el ámbito del tratamiento de datos para finalidades comerciales, podemos destacar la SAN, Sección 1ª, de 2 de abril de 2006, donde la Audiencia Nacional, confirmando el criterio de la AEPD, aprecia la vulneración del principio de finalidad en relación a una cláusula que anunciaba que los datos recogidos serían utilizados para el envío de “promociones comerciales de productos y servicios que pueden resultar de su interés”. En este caso tanto la AEPD como la AN consideran que la referencia en la cláusula a las “promociones comerciales”, “no permite entender incluida cualquier clase de promoción comercial, sino que es necesario vincular el término “comercial” con el resto de finalidades del club (responsable del fichero) y con las actividades generales de aquél y del público destinatario”.
En esta misma linea se expresa la AEPD en su Informe de Recomendaciones al sector del Comercio Electrónico, cuando indica que si bien la información a facilitar al titular del dato (como veremos en el apartado dedicado al deber de información), puede referirse que el mismo será utilizado en sectores de actividad determinados, deberá huirse de las referencias a finalidades indeterminadas (como por ejemplo, actividad comercial, actividad publicitaria, etc).
En definitiva la apreciación o no de la determinación de una finalidad, puede depender de múltiples factores y al final incluso de criterios excesivamente subjetivos; lo que sí queremos destacar aquí es que conviene que se hagan los mayores esfuerzos para determinar e identificar de la forma más concreta posible, la finalidad en un tratamiento de datos concretos. En el ámbito de la publicidad y prospección comercial, conviene por tanto informar, en las condiciones que veremos luego, que los datos personales serán utilizados para estas finalidades concretas, utilizando la fórmula que de una forma más clara defina dicha finalidad.
Sean explícitas: en segundo lugar es necesario que las finalidades sean identificadas de forma concreta y con carácter general en el momento de la recopilación de los datos. Este es un factor importante del deber de información al que haremos referencia más adelante en este mismo Capítulo y que viene a reforzar el requisito anterior.
Sean legítimas: en el ámbito que nos ocupa del tratamiento de datos con fines publicitarios, parece claro, con carácter general, que la publicitación de los productos y servicios, entraría dentro de las finalidades legítimas de una organización empresarial, por lo que el uso de los datos con esta finalidad, siempre que se cumplan el resto de requisitos, podría ser considerada como legítima. Por tanto no es suficiente que la finalidad sea determinada y que se haya explicitado sino que resulta necesario además, que dicha finalidad esté acorde con el objetivo general de quien recoge o trata los datos; así entendiendo que entre las misiones de una organización empresarial suele o debería incluirse la promoción de sus productos y servicios, como una fórmula para su crecimiento, podemos entender que dicha finalidad estaría conforme con el objetivo general de dicha organización.
El principio de finalidad se completa con la redacción del párrafo segundo del artículo 4 de la LOPD donde se establece que una vez los datos han sido recabados, estos no podrán ser utilizados para “finalidades incompatibles” a las que motivaron dicha recopilación. El uso de la expresión “finalidades incompatibles” no ha quedado exento de la polémica y discusión doctrinal, ya que en este punto la LOPD difiere en relación a la anterior redacción de la derogada LORTAD, donde se indicaba que lo que se prohibía era el uso de los datos con “finalidades diferentes”. Esta modificación parece dar a entender una mayor laxitud de la LOPD ya que es bien cierto que una finalidad puede ser distinta pero seguir siendo compatible con la finalidad que originó la recopilación de los datos. A pesar de esta obviedad basada en criterios más bien lingüísticos la jurisprudencia de la AN (Sentencias Sección 1ª, de 11 de febrero de 2004 o 14 de junio de 2002), ha determinado que el uso de la expresión “incompatible” debe interpretarse como si la normativa siguiera diciendo “diferentes” y atribuye el uso de la primera expresión a un error en la traducción de la Directiva de Protección de Datos, con el objetivo final de argumentar que una interpretación literal del concepto “incompatibles”, ampliaría de forma injustificada el uso que puede realizarse de unos datos personales. Así y en resumen, resulta contrario a la ley cualquier uso de los datos personales con una finalidad distinta a la que motivó su recopilación. En el ámbito del uso de datos con fines publicitarios, la AN, por ejemplo, ha considerado que el uso de los datos de tráfico y facturación por parte de una empresa de telefonía para ofrecer servicios de otra con la que había firmado un contrato de agencia, resulta incompatible con la finalidad inicial para la que se recogieron los datos (SAN, Sección 1ª, de 11 de febrero de 2004) y por tanto, resulta contrario a la normativa.
Superado el examen del principio de finalidad y una vez esta ha sido identificada en la forma definida, entra en acción el segundo de los principios que integran el de calidad de los datos: el de proporcionalidad. En atención a este principio únicamente podrán recogerse y tratarse datos que sean adecuados, pertinentes y no excesivos, de acuerdo con una finalidad previamente establecida.
En relación al principio de proporcionalidad el RLOPD no establece particularidades respecto el tratamiento de datos con fines publicitarios, en su artículo 45.1 determina que “sólo podrán utilizar nombres y direcciones u otros datos de carácter personal”; así en principio, no existe limitación en relación al tipo de datos que pueden utilizarse en acciones de marketing, siempre que se respete el principio general de proporcionalidad, de forma que los datos que se soliciten y traten, respondan a un criterio de ponderación en relación a la finalidad que se persigue.
Este principio por tanto hace referencia a la cantidad y tipología de datos que pueden solicitarse y siempre deberá estar relacionado con la finalidad que pretende satisfacerse con la recogida de dichos datos. El cumplimiento de este requisito exige un esfuerzo de ponderación en relación a los datos que efectivamente se soliciten, obligando al responsable del fichero o del tratamiento a justificar con carácter previo a la recogida de un dato concreto, que este cubre la finalidad o parte de la misma, para el que dicho dato es solicitado. En este sentido, reza el artículo 4.1 los datos que podrán solicitarse serán pertinentes, adecuados y no excesivos. Estos tres términos, prácticamente sinónimos en este caso, exigen como decimos, que quien recaba los datos realice un examen de la proporcionalidad de dichos datos en función de la finalidad determinada, examen que deberá tratar de responder dos preguntas principales:
¿La recopilación de los datos o de un dato concreto, resulta imprescindible para cumplir con la finalidad propuesta?
¿Podría conseguirse la misma finalidad recopilando menor cantidad de datos?
Una respuesta negativa a la primera pregunta o afirmativa a la segunda, deben hacernos sospechar que probablemente no estamos cumpliendo con el principio de proporcionalidad por lo que resultaría necesario replantearse la cantidad y el tipo de datos que pretendemos recopilar.
Ponemos punto y seguido aquí al principio general de calidad de los datos; este, como se ha dicho, es uno de los fundamentos del derecho a la protección de datos y debe observarse por quien pretenda su recopilación y/o tratamiento; evidentemente quienes procedan al tratamiento de datos con fines publicitarios resultan igualmente obligados al cumplimiento de estos requisitos generales, con las particularidades que iremos desglosando a lo largo de la Obra.
Cerramos este apartado correspondiente al principio de calidad analizando el reflejo que el incumplimiento de este principio en el apartado de infracciones y sanciones de la LOPD (arts. 44 y 45).
El artículo 44.3.b) tipifica como infracción grave (multa de 30.000 a 300.000 €), la recogida de datos por parte de una entidad privada, con finalidades distintas de las que constituyen su objeto legítimo.
El artículo 44.3.d) define como infracción también grave el hecho de tratar datos personales con conculcación de los principios recogidos en la LOPD, entre los que debemos añadir, por supuesto, el de calidad (finalidad y proporcionalidad).
Por último el artículo 44.4.f) tipifica como infracción muy grave (multa de 300.001 a 600.000 €) el tratamiento de datos personales con menosprecio a los principios aplicables, cuando con ello se impida o se atente contra el ejercicio de derechos fundamentales. Esta es un previsión un tanto extraña del legislador ya que como hemos repetido, el derecho a la protección de datos es un derecho fundamental por lo que cualquier menosprecio a sus principios atenta contra este tipo de derechos, resultándonos difícil visualizar un caso en que esto no fuera así.
Abordamos en este punto el segundo de los principios fundamentales que rigen el tratamiento de datos personales: el principio del consentimiento. Este es un aspecto básico en relación a cualquier tratamiento de datos personales y es que si, como hemos repetido anteriormente, el derecho a la protección de datos consiste en la facultad de control y disposición sobre los propios datos, este se concreta en “(…) la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como sus usos posibles (…)” (STC 292/2000).
En este punto trascendental nos detendremos en los criterios generales que rigen en relación al consentimiento, haciendo breves referencias a las particularidades del tratamiento de datos con fines publicitarios; posteriormente, en el Capítulo 4 abordaremos de forma más concreta dichas particularidades.
Como criterio general podemos establecer que cualquier tipo de tratamiento de datos exigirá el consentimiento de la persona afectada, salvo que la ley disponga lo contrario. Esta importante regla queda consagrada en el artículo 6 de la LOPD: “El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa”. Esta previsión se completa con la definición de consentimiento establecida en el artículo 3 i) de la propia LOPD: “toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.” Procedemos a continuación a analizar los rasgos que caracterizan esta regla general.
Características del consentimiento
A continuación desglosaremos las características básicas de las que debe gozar todo consentimiento para estar acorde con la LOPD para, posteriormente abordar cuatro casos concretos comunes en el tratamiento de datos para fines publicitarios en relación a la forma de otorgar el consentimiento: el envío de comunicaciones comerciales electrónicas, la obtención del consentimiento para fines no relacionados con la finalidad principal, la forma de obtener el consentimiento en una web y el caso de los menores.
A. Consentimiento inequívoco:
La primera característica que debe tener el consentimiento es que este debe ser “inequívoco”. Esto implica que el responsable del fichero o del tratamiento (quien promueve la recogida datos) debe estar en disposición de demostrar (tiene la carga de la prueba) que el interesado ha dado dicho consentimiento. Evidentemente la fórmula que puede demostrar, sin lugar a dudas, el otorgamiento del consentimiento no es otra que el consentimiento expreso o firmado, sin embargo no debemos confundir la expresión “consentimiento inequívoco” por “expreso o firmado”, ya que la LOPD únicamente prevé la necesidad de otorgar el consentimiento en este modo, en relación a una tipología de datos que requieren mayor protección (por ejemplo, datos de salud), por lo que es necesario señalar que un consentimiento de tipo tácito puede ser considerado como inequívoco. A los efectos de aclarar cuál es la mejor fórmula para solicitar un consentimiento tácito ha venido a clarificar conceptos el artículo 14 RLOPD que establece que, en los casos que no sea necesario el consentimiento expreso, será posible que el responsable del fichero o el tratamiento, informe al afectado que procederá a un tratamiento concreto de sus datos si en el plazo de 30 días no ha indicado lo contrario. Esta es una novedad importante, así cuando no sea exigible un consentimiento expreso, será aplicable el procedimiento recientemente descrito.
Cuatro supuestos concretos:
a) Consentimiento para el envío de comunicaciones comerciales electrónicas.
Nos detenemos en este punto en un tratamiento de datos muy concreto que exige un consentimiento específico y que tiene especial relevancia en el campo del marketing (especialmente online). Nos estamos refiriendo al envío de comunicaciones comerciales electrónicas (correos electrónicos publicitarios), regulados por la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante, “LSSICE”) y que en su artículo 21 establece que “Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas”. En el Capítulo 5 profundizaremos en este importante requisito así como sobre sus excepciones, aquí únicamente queremos subrayar que:
El envío de comunicaciones comerciales electrónicas exigirá, salvo las excepciones que veremos, el consentimiento expreso del destinario de la misma; es por esto que el procedimiento para recabar el consentimiento tácito previsto en el artículo 14 RLOPD, no es aplicable a este tipo de tratamiento de datos.
Los beneficiarios del derecho consentir expresamente el envío de comunicaciones comerciales electrónicas, son tanto las personas físicas como las jurídicas; por lo que no se puede alegar, en justificación de un eventual incumplimiento de este requisito, que el destinatario del envío no era una persona física y por tanto no se estaban tratando datos personales.
b) Obtención del consentimiento para finalidades distintas a la relación contractual.
El artículo 15 RLOPD introduce una novedad importante y que puede afectar de forma muy directa al tratamiento de datos con finalidades publicitarias. El citado precepto establece: “Si el responsable del tratamiento solicitase el consentimiento del afectado durante el proceso de formación de un contrato para finalidades que no guarden relación directa con el mantenimiento, desarrollo o control de la relación contractual, deberá permitir al afectado que manifieste expresamente su negativa al tratamiento o comunicación de datos. En particular, se entenderá cumplido tal deber cuando se permita al afectado la marcación de una casilla claramente visible y que no se encuentre ya marcada en el documento que se le entregue para la celebración del contrato o se establezca un procedimiento equivalente que le permita manifestar su negativa al tratamiento.”
Este artículo, de redacción a nuestro juicio, claramente mejorable, regula los supuestos en que durante el procedimiento de contratación de un servicio o de adquisición de un producto, el responsable del fichero o del tratamiento, pretende utilizar los datos más allá de las finalidades básicas de mantener la relación contractual que se está estableciendo. Así este supuesto incluiría por ejemplo, el caso en que quien recoja los datos para prestar un servicio o vender un producto, pretenda utilizar los mismos datos con finalidades publicitarias; con la redacción de este artículo este tratamiento “secundario”, sería posible siempre que se diera la posibilidad al titular del dato a manifestar su negativa a dicho tratamiento, marcando una casilla que exprese dicha negativa.
Sin querer avanzarnos al siguiente Capítulo, en este punto únicamente señalaremos que este procedimiento resultaría indicado, tanto en el entorno offline como online, para ofrecer a los titulares de datos que contratan un servicio o adquieren un producto, a que manifiesten su negativa al tratamiento de datos con finalidades publicitarias.
c) Obtención del consentimiento mediante una web.
Los Informes Jurídicos de la AEPD 398/2008 y 93/2008, abordan un tema que resulta de especial interés desde el punto de vista práctico y es que es muy común que en la recopilación de datos a través de una web (especialmente a través de formularios), posteriormente sea difícil demostrar que el afectado ha dado el consentimiento para el tratamiento de sus datos puesto que normalmente es técnicamente posible completar un registro sin acceder a la información que solicita el consentimiento. Así la AEPD establece que “este (el consentimiento informado) habrá de recabarse de tal forma que resulte imposible la introducción de dato alguno sin que previamente el afectado haya conocido la advertencia que contenga las menciones a las que nos hemos referido, pudiendo servir como prueba del consentimiento la acreditación de que el programa impide introducir los datos sin antes haber aceptado el aviso legal al que hemos hecho referencia. Todo ello tiene por objeto asegurar que el consentimiento de los afectados sea efectivamente específico e inequívoco tal y como exige la Ley."
Esta opinión de la AEPD otorga elementos de claridad a los responsables de ficheros y tratamientos que obtienen datos a través de sus páginas web. Es por tanto recomendable que en los formularios web de recogida de datos, lejos de incluir un aviso legal en los márgenes que pocas veces se abre y casi nunca se lee, en el proceso de recopilación de datos y antes de su envío, el usuario deba aceptar expresamente la política de protección de datos de la web, la no aceptación de dicha política debería impedir de forma técnica, el envío de los datos al responsable del fichero o el tratamiento.
Consultar el Informe Jurídico de la AEPD 93/2008.
Consultar el Informe Jurídico de la AEPD 398/2008.
Estos dos informes pueden ser completados con el Informe Jurídico 300/2009, donde la AEPD declara la validez del consentimiento manifestado mediante un click en una pestaña de “acepto las condiciones”. En este mismo informe se incluye otra cuestión importante y es que se obliga a quien recoge los datos, a que en un único texto incluya toda la información relativa a la política de protección de datos, evitando la multiplicidad de enlaces y textos que hacen para el titular de los datos muy difícil, el conocer que es lo que realmente consiente mediante la entrega de sus datos.
d) Menores de edad.
Otro aspecto que cada vez toma mayor importancia es la forma de recabar el consentimiento en el caso de menores de edad, especialmente en el caso de Internet donde esos son sus mayores usuarios. Tras una serie de conflictos, originados por qué la LOPD no reguló este tema y que fueron resueltos por las opiniones de la AEPD, disponemos ya del artículo 13 del RLOPD donde se establece que el tratamiento de datos 14 años deberá hacerse mediante el consentimiento de sus padres o tutores legales. Para completar esta previsión se establecen tres requisitos adicionales en relación a la forma en que debe recabarse dicho consentimiento:
En ningún caso podrá utilizarse al menor para recabar información sobre otros miembros de su familia como los datos relativos a la actividad profesional de los progenitores, información económica, datos sociológicos o cualesquiera otros, sin el consentimiento de los titulares de tales datos. No obstante, podrán recabarse los datos de identidad y dirección del padre, madre o tutor con la única finalidad de recabar la autorización prevista en el apartado anterior.
La información dirigida a los mismos deberá expresarse en un lenguaje que sea fácilmente comprensible por aquéllos, con expresa indicación de lo dispuesto en este artículo.
Corresponderá al responsable del fichero o tratamiento articular los procedimientos que garanticen que se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado en su caso, por los padres, tutores o representantes legales.
El tema del tratamiento de datos de menores de 14 años no es algo menor, pues cada vez existen más productos y servicios (especialmente en la Red), dirigidos a este público objetivo. Este aumento de los productos y servicios para menores lamentablemente no viene unida a un desarrollo de sistemas efectivos que permitan acreditar telemáticamente la edad de la persona, por lo que el cumplimiento efectivo de los requisitos del artículo 13 RLOPD, especialmente en el mundo online, aún requiere demasiados trámites que entorpecen enormemente el procedimiento de recopilación de datos del menor.
B. Consentimiento informado.
La segunda característica básica de la que debe gozar el consentimiento además de ser inequívoco, es que sea informado. Aquí no nos entretendremos mucho ya que el siguiente principio que pretendemos analizar es el del deber de información, únicamente señalar que para que un consentimiento pueda ser considerado válido a los efectos de la normativa vigente, el afectado debe haber dispuesto de la información necesaria respecto a los usos que pretende realizarse de sus datos, a efectos que conozca de antemano las consecuencias concretas que implica el otorgamiento de su consentimiento. A continuación abordamos cuál es la información concreta que debe facilitarse.
C. Consentimiento revocable
El último de los rasgos definitorios del consentimiento es un revocabilidad establecida tanto por la LOPD en su artículo 6.3 como en el RLOPD, artículo 17, de ambos preceptos puede deducirse que:
El procedimiento para revocar el consentimiento debe ser sencillo, gratuito y que no implique un ingreso para el responsable del fichero o el tratamiento.
La exigencia de que exista una causa justificada, incluida en el artículo 6.3 LOPD no debe suponer un obstáculo a la revocación del consentimiento, pues si la otorgación del consentimiento se basa, en la mayoría de casos, en la manifestación de voluntad del interesado, su revocación debería estar fundamentada en lo mismo.
El consentimiento no tendrá, como no podía ser de otra forma, carácter retroactivo.
Una vez revocado el consentimiento, el responsable del fichero o tratamiento cesará en el tratamiento o uso de los datos en un plazo máximo de 10 días, dentro de este mismo plazo deberá comunicar a eventuales cesionarios de los datos, sobre la manifestación de revocación del consentimiento para que dicho cesionarios cesen a su vez en el tratamiento de los datos.
Concluimos este apartado con una nueva mención a la LSSICE donde se regula, en su artículo 22.1, el derecho a que quienes hayan otorgado su consentimiento para recibir comunicaciones comerciales electrónicas, puedan revocarlo. Este derecho no es más que un traslado al mundo telemático del derecho genérico reconocido por la LOPD y el RLOPD.
Iniciamos en este punto, con el tratamiento del deber de información, un tema clave en relación a qué características debe tener el consentimiento para que reúna los requisitos necesarios para ser considerado válido. Volvemos al inicio de este punto a hacer una nueva referencia a la esencial STC 292/2000, donde establece “(…) es evidente que el interesado debe ser informado (…) pues sólo así será eficaz su derecho de consentir, en cuanto facultad esencial de su derecho a controlar y disponer de sus datos personales.”. Con la instauración de este principio recogido en el artículo 5 de la LOPD, se cierra de alguna forma el círculo a los efectos que el derecho a que uno dispone a disponer y a controlar sus propios datos, sea efectivo. Este, como decimos, es uno de los derechos básicos del titular de datos, el derecho a conocer de antemano, qué uso se prevé de sus datos, este derecho supone evidentemente, una carga para quien recabe dichos datos, por eso, derecho y deber, son en este caso, como en tantos otros, la cara de una misma moneda.
Características básicas del derecho/deber de información:
El derecho a ser informado o el deber de otorgar dicha información, es un paso previo al consentimiento; efectivamente no tendría validez un consentimiento si antes no se informa al titular de los datos de los aspectos que definen dicho consentimiento.
A diferencia del principio de consentimiento que como hemos visto, acepta excepciones (por ejemplo cuando la entrega de datos se establece en una ley), no existen excepciones al deber de informar del uso de los datos. Cuando se recaben datos, siempre debe informarse de los extremos que a continuación analizaremos, con independencia de si el consentimiento es o no exigible.
La importancia básica del derecho a ser informado es que es el pilar esencial para el ejercicio de otros derechos inherentes al titular de los datos; sin cierta información previa, el ejercicio de dichos derechos deviene imposible.
El artículo 5 de la LOPD recoge, como hemos dicho, el derecho de información en la recogida de datos, diferenciando dos supuestos posibles:
1. Información a facilitar cuando los datos son recabados directamente del interesado: artículo 5.1, 5.2 y 5.3.
De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
Los únicos puntos sobre los que es necesario informar en todo caso es del primero y último del listado expuesto; los otros tres resultan prescindibles si la información se deduce claramente de los datos que se solicitan o de las circunstancias en que se recopilan.
En relación a la forma de facilitar la información, el artículo 5.2 LOPD establece que esta deberá facilitarse en cualquier cuestionario de recogida de datos, esto implica, como no podría ser de otra forma, que la información se facilitará al momento de entregar los datos, es decir de cumplimentar el cuestionario. En este punto cabe tener en consideración lo señalado anteriormente para el caso de la recogida de datos mediante web, en relación al otorgamiento del consentimiento.
2. Información a facilitar cuando los datos no son recabados directamente del interesado: artículo 5.4 y 5.5.
La LOPD también obliga a la información en el caso que los datos no hayan sido entregados por el interesado; así en este supuesto, quien recabe los datos para su tratamiento, deberá informar a su titular, de forma expresa, precisa e inequívoca, en un plazo de tres meses des del momento de registro de los datos de:
El contenido del tratamiento.
De la procedencia de los datos.
De la finalidad del tratamiento y los destinatarios de los datos.
De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
De la identidad y dirección del responsable del tratamiento.
El supuesto de tratamiento de datos no entregados por el titular de los mismos, resulta un caso común en el mundo del marketing, especialmente en las empresas que se dedican al marketing directo; en este sentido la AEPD ha manifestado la necesidad que dichas empresas informen a los titulares de los datos, sobre la procedencia de los mismos. Cuando analicemos de forma más concreta el tratamiento de datos con fines publicitarios, volveremos a abordar este tema; a este nivel únicamente señalar que esta obligación es consecuencia del segundo párrafo del artículo 5.5 donde se faculta a quienes se dediquen a la actividad de publicidad y promoción comercial, a no informar dentro de estos tres meses siempre que los datos se hayan obtenido de fuentes accesibles al público y en cada comunicación se informe:
Origen de los datos (como hemos dicho).
Identidad del responsable.
Derechos que asisten al titular de los datos.
Consultar Informe AEPD 347/2009.
a) Infracciones y sanciones relativas al consentimiento.
- La recopilación de datos sin el consentimiento del afectado (cuando no sea exigible un consentimiento expreso), puede ser considerada como una infracción grave en tanto que podría suponer tratar o usar datos con conculcación de los principios y garantías de la ley. Sanción grave de 30.001 a 300.000 €.
- Relacionado también con el consentimiento la AEPD tiene competencias para sancionar los incumplimientos en materia de comunicaciones comerciales electrónicas reguladas por la LSSICE, así:
Serán consideradas infracciones graves (multa de 30.001 a 150.000 €), el envío de tres o más comunicaciones comerciales electrónicas sin cumplir los requisitos legales durante el plazo de un año y el incumplimiento del procedimiento de revocación del consentimiento.
Son consideradas infracciones leves (multa hasta 30.000 €), el envío de comunicaciones comerciales electrónicas no solicitadas, siempre que no estemos ante una infracción grave y la ausencia de procedimientos para revocar el consentimiento.
b) Infracciones y sanciones relativas a la información.
- El incumplimiento del deber de información cuando los datos son entregados por el propio afectado, supone una infracción leve de la ley. Sanción igualmente leve de 600 a 30.000 €.
- El incumplimiento del deber de información cuando los datos no son entregados por su titular, supone una infracción grave. Sanción grave de 30.001 a 300.000 €.
Nos adentramos en este último punto del Capítulo, en los derechos que asisten a los titulares de los datos una vez estos ya han sido entregados y ya son tratados por responsables de ficheros y tratamiento; estos derechos, podemos decir, son posteriores a los estudiados hasta el momento ya que, como decimos, son ejercidos cuando el titular de los datos ha otorgado su consentimiento para que estos sean tratados. Los derechos que a continuación veremos, deben ser observados ante cualquier tipo de tratamiento y también, por tanto, en aquellos con finalidades publicitarias y promocionales; el apartado del RLOPD que regula el tratamiento de datos con estas finalidades se remite, de forma expresa, a la regulación general de los derechos de acceso, rectificación y cancelación, también incluida en el citado Reglamento. Por último el derecho de oposición, si que goza de ciertas especialidades en el marco del tratamiento de datos con finalidades publicitarias.
En primer lugar es necesario destacar que los derechos de acceso, rectificación, cancelación y oposición son personalísimos, de forma que únicamente podrán ser ejercidos, con carácter general, por el titular de los datos. El RLOPD también prevé la posibilidad de ejercer el derecho por un representante en caso de personas incapaces o menores de edad (se entiende de 14 años), así como la representación voluntaria acreditando debidamente dicha representación.
En relación a la forma de conceder el ejercicio cabe destacar que el legislador se ha decantado por garantizar al máximo el derecho de los afectados mediante la libertad de forma, dándole las mayores facilidades para que su petición sea atendida, así el responsable del fichero o del tratamiento deberá ofrecer medios sencillos y gratuitos, garantizando el ejercicio del derecho aunque el afectado no haya utilizado los medios facilitados por el responsable del fichero o del tratamiento, siempre que el medio escogido por el afectado pueda acreditar el envío y la recepción de la solicitud. En cualquier caso y siempre que la petición reúna unas características mínimas, esta deberá ser atendida y en caso de que no se cumplan dichos requisitos mínimos el responsable del fichero o el tratamiento así debería comunicarlo al afectado para que subsane su error. El artículo 25 RLOPD recoge las características básicas sobre el procedimiento para ejercer dichos derechos.
Ver modelo del derecho de acceso
Este derecho concede al afectado la posibilidad de conocer si sus datos están siendo tratados, la finalidad de dicho tratamiento, el origen de los datos, así como las comunicaciones a terceros de dichos datos. La única limitación a este derecho es que únicamente puede ser ejercido por el titular de los datos (salvo representación acreditada) y en intervalos no inferiores a 12 meses (salvo acreditar un interés legítimo).
Como todo derecho, este implica la asunción de una nueva carga para quien recaba los datos, que tendrá las siguientes obligaciones:
Deberá contestar la solicitud en el plazo máximo de un mes desde su recepción, dentro de este mismo plazo deberá comunicar al interesado en el caso que no disponga de datos sobre el mismo. Transcurrido este período sin respuesta, el interesado o afectado podrá interponer ante la AEPD el inicio de un procedimiento de tutela de derechos al que haremos referencia más adelante.
La información se facilitará de modo legible e inteligible, sin utilizar claves o códigos que impliquen el uso de dispositivos mecánicos específicos.
La respuesta a la solicitud no dependerá del procedimiento en que esta se haya realizado, siempre que, como se ha dicho anteriormente, se pueda acreditar el envío y recepción de la misma y la solicitud goce de las características del artículo 25.1 RLOPD.
Ver modelo derecho rectificación.
Ver modelo derecho cancelación.
La rectificación y la cancelación de los datos son derechos íntimamente relacionados con el principio de calidad de los datos, puesto que ambos están dirigidos a que los responsables de ficheros y tratamientos utilicen datos actualizados y que respondan a la realidad de cada momento del afectado. Ambos derechos, como en el caso del de acceso, implican una serie de obligaciones para quien trata los datos:
Debe garantizarse el ejercicio del derecho de cancelación sobre cualquier tipo de datos, no únicamente sobre los inexactos o desactualizados. En otras palabras el titular de los datos, de la misma forma que tiene reconocido el derecho a revocar el consentimiento, podrá cancelar sus datos sin que medie necesidad de justificar su solicitud.
El responsable del fichero o el tratamiento deberá dar respuesta al ejercicio de ambos derechos en el plazo de diez días hábiles a contar des del día siguiente a la recepción de la solicitud; en este mismo plazo deberá informar sobre la rectificación o cancelación a los eventuales cesionarios del dato del afectado.
La cancelación del dato dará lugar a su bloqueo, de forma que dicho dato será mantenido en los ficheros del responsable pero de forma que sea técnicamente imposible su tratamiento, el dato en cuestión será congelado o aislado. Este estado se mantendrá durante el período de prescripción máximo de las eventuales responsabilidades de quien trata los datos (tres años), una vez transcurrido este tiempo el dato será definitivamente suprimido, salvo que no exista una ley que obligue a un tiempo superior de retención de dicho dato.
El de oposición es el derecho de que dispone cualquier persona cuyos datos son tratados sin su consentimiento, por mediar alguna de las excepciones legales, a negarse o a oponerse a dicho tratamiento. El procedimiento mantiene las características definitorias del previsto para los derechos de rectificación o cancelación, otorgando al responsable del fichero o tratamiento un plazo de diez días para otorgarle o denegarle motivadamente su solicitud, primando la libertad de forma en el ejercicio del derecho.
Este es un derecho que, como hemos dicho, tiene implicaciones prácticas en el ámbito del tratamiento de datos con fines publicitarios o promocionales. Así tanto el artículo 30.4 de la LOPD como el 51 del RLOPD reconocen de forma explícita este derecho en éste sector. Esto es así ya que una fuente habitual para el tratamiento de datos con fines publicitarios, son las fuentes accesibles al público, que luego definiremos, hecho que implica que esos datos puedan ser tratados sin el consentimiento de su titular (art. 6.2 LOPD), es por ello que era necesario prever este derecho para este supuesto concreto. En el Capítulo 4ª volveremos a abordar este tema.
La importancia que el legislador otorga a los derechos del titular del dato, queda plasmada en la existencia de un procedimiento específico ante la AEPD para reclamar la obstrucción o denegación, total o parcial de los mismos por parte del responsable del fichero o el tratamiento. Estamos hablando del procedimiento de tutela de derechos que goza de las siguientes características:
Debe ser incoado por el afectado en el caso que le sea denegado de forma total o parcial, alguno de los derechos de que dispone. Es importante señalar que la falta de respuesta en plazo a la solicitud del interesado, es suficiente para incoar el procedimiento.
Este procedimiento no debe confundirse con el procedimiento sancionador. De hecho el inicio de este procedimiento no significa un impedimento para incoar un procedimiento sancionador.
El plazo máximo para que la AEPD resuelva es de seis meses a contar desde la fecha de entrada de la reclamación.
Ante la resolución de la AEPD los afectados pueden interponer, en el plazo de un mes, recurso de reposición ante la propia AEPD, que deberá ser resuelto por su Director en el plazo de un mes o dentro de los siguientes dos meses, reclamar en vía judicial a través del recurso contencioso administrativo.
Es considerada una infracción leve (art. 44.2 a) LOPD), no atender por motivos formales la solicitud de rectificación o cancelación (multa de 600 a 30.000 €).
Se considera una infracción grave (art. 44.3 e) LOPD) el impedimento u obstaculización de los derechos de acceso, rectificación, cancelación u oposición, así como la negativa a facilitar la información solicitada (multa de 30.001 a 300.000 €).
Por último es considerada como una infracción muy grave (art. 44.4 h) LOPD) el hecho de no atender u obstaculizar de forma sistemática el ejercicio de los derechos (sanción de 300.001 a 600.000 €).
Víctor Roselló Mallol.
Abogado. Especialista en Protección de Datos.
|
|
[Aviso Legal] http://noticias.juridicas.com