1. Evoluci?n del marketing y tratamiento de datos
La Real Academia Espa?ola define el marketing o la mercadotecnia como el ?conjunto de principios y pr?cticas que buscan el aumento del comercio, especialmente de la demanda?. M?s all? de esta definici?n puramente acad?mica, no son pocos los autores especialistas en esta materia que han definido este concepto o las organizaciones de reconocido prestigio como la AMA (American Marketing Asociation): ?el marketing es una funci?n de la organizaci?n y un conjunto de procesos para crear, comunicar y entregar valor a los clientes, y para manejar las relaciones con estos ?ltimos, de manera que beneficien a toda la organizaci?n...?.
El objetivo principal de esta obra de enfoque eminentemente pr?ctico, no es otro que el de analizar los riesgos jur?dicos que se esconden tras las pr?cticas de comunicaci?n de las empresas con sus actuales o potenciales clientes, bien sean personas f?sicas o jur?dicas, centr?ndonos especialmente en una de las cuatro P?s que Jerry McCarthy consider?, en 1960, que integraban la definici?n de marketing: producto, precio, plaza y promoci?n. Nos centraremos en esta ?ltima y es que el marketing, tradicionalmente ha buscado las herramientas para atraer a nuevos clientes, as? como para fidelizar a los que ya lo son, o para posicionar en las mentes de los consumidores una marca o un producto para que sea su principal opci?n al momento de cubrir sus necesidades.
La promoci?n pues, es una de las herramientas principales del marketing o de la comunicaci?n de las empresas para cumplir sus metas y dentro de la promoci?n se encuentran acciones concretas como la publicidad, las promociones de ventas, las relaciones p?blicas o la venta directa a consumidores. Es en este ?ltimo punto donde la progresiva implantaci?n en el tr?fico mercantil y empresarial de las tecnolog?as de la informaci?n, ha transformado las herramientas del marketing tradicional y donde han nacido instrumentos como el marketing directo donde las organizaciones empresariales pretenden obtener respuestas medibles a sus campa?as, en un p?blico objetivo (target) determinado. En esta obra trataremos de los riesgos legales de utilizar las formas tradicionales de marketing directo como el mailing postal tradicional, el telemarketing, el env?o de faxes publicitarios o las m?s recientes formas como el env?o de emails (marketing online) o SMS o MMS publicitarios. M?s all? de la forma o el canal escogido para comunicarse con los potenciales consumidores, ha cambiado tambi?n el mensaje que se les env?a aumentando, de forma muy considerable, la capacidad de interactuaci?n entre la empresa y el consumidor o, incluso, entre los propios consumidores (un buen ejemplo de esto ser?an las campa?as lanzadas cada vez con mayor frecuencia a trav?s de redes sociales).
En este estado de las cosas, uno de los principales objetivos de las campa?as de marketing actuales, es conocer al consumidor; si se llega a un punto de conocimiento ?ptimo del destinatario de su mensaje, las posibilidades que este reaccione positivamente al mensaje lanzado, aumentan considerablemente. Volviendo nuevamente a los expertos en materia de marketing, estos enumeran en tres, los ingredientes para que una campa?a de marketing directo tenga opciones de ser exitosa: el primero disponer de una base de datos (el marketing directo, donde se incluir?a el marketing on line, dicen los expertos, el marketing con memoria); el segundo la interactividad y la participaci?n del destinatario del mensaje y en tercer lugar conseguir motivar su participaci?n (respuesta positiva). El nivel de perfeccionamiento, sin embargo no acaba aqu?, ya que tambi?n se habla del database marketing (marketing de base de datos), que se diferencia del marketing directo en un mayor an?lisis de los datos disponibles de los consumidores (bien sean personas f?sicas o jur?dicas), procediendo a su filtrado para conocer a?n m?s al destinatario del mensaje (creaci?n y an?lisis de perfiles), resultando el mayor o menor ?xito de sus acciones, en funci?n de la cantidad de informaci?n de que puedan disponer de un consumidor determinado. El marketing apunta pues hacia el conocimiento del consumidor con el objetivo de personalizar el mensaje que recibe.
Sin embargo esta obra tambi?n est? dirigida a qui?n, sin disponer de sofisticadas herramientas inform?ticas para analizar los datos que su negocio genera y de qu? dispone, tienen la necesidad de promocionar sus productos o servicios a nuevos clientes o mercados. No debemos olvidar que el marketing o la estimulaci?n de la demanda, forma parte de los objetivos b?sicos de cualquier organizaci?n empresarial. Para tratar de dar una visi?n global, no nos centraremos, ?nicamente en las nuevas formas de comunicaci?n con clientes (c?mo el email o el SMS o MMS), sino que trataremos de abordar cualquier canal de difusi?n de la oferta existente en este momento, siempre que el mensaje sea enviado a una persona (f?sica o jur?dica) determinada, con el objetivo final que pr?cticamente cualquier empresa que promocione sus productos o servicios de esta forma, pueda encontrar alg?n cap?tulo de esta obra que resulte de su inter?s.
Resumiendo y con independencia de este ?ltimo p?rrafo, la tendencia actual del marketing, junto con los beneficios econ?micos de animarse a probar acciones comunicativas usando las tecnolog?as de la informaci?n, as? como la constante mejora de las herramientas de recopilaci?n, almacenamiento y tratamiento de informaci?n, creemos que justifican la redacci?n de una obra como esta, donde tratar?n de detectarse los riesgos reales que suponen las acciones de marketing personalizadas, a los efectos que sus evidentes virtudes y ventajas no acaben volvi?ndose en contra de sus promotores.
A trav?s de esta breve definici?n de la evoluci?n de las herramientas de promoci?n dentro del marketing y de las tendencias actuales, estamos en disposici?n de enumerar algunas de las preguntas y elementos jur?dicos relevantes integrantes del env?o de un mensaje publicitario personalizado, que trataremos en este cap?tulo y a lo largo de la obra:
El env?o de un mensaje de este tipo, con independencia del canal de comunicaci?n utilizado, presupone que su remitente (normalmente, aunque no necesariamente, la empresa que quiere promocionar sus productos o servicios), dispone de un cierto grado de informaci?n, mayor o menor, del destinatario, al menos de alg?n dato que permita enviarle informaci?n comercial por cualquier medio: direcci?n postal, direcci?n electr?nica, fax, n?mero de tel?fono fijo o m?vil, etc...
Esta informaci?n, puede consistir en datos de car?cter personal o no.
Los datos de que dispone el remitente pueden ser de clientes o de personas, f?sicas o jur?dicas, que nunca hayan adquirido sus productos o servicios.
Esta informaci?n puede tener diferentes or?genes: la base de datos de clientes o clientes potenciales propios, la base de datos de otras empresas del sector o que comercializan bases de datos, otra empresa del mismo grupo, etc?
El env?o de la comunicaci?n comercial, supone una forma de tratamiento de los datos de su destinatario.
2. Concepto de dato personal y consecuencias
Conocer si la informaci?n de la que dispone quien realiza la acci?n de marketing, es considerada un dato personal o no, no es una cuesti?n balad?, pues resulta clave para conocer si ese tratamiento de datos concretos est? o no sujeto a la LOPD y, en consecuencia, si nos encontramos o no ante un derecho, de los considerados, fundamentales por la Constituci?n Espa?ola.
El art?culo 3.a) de la LOPD define dato personal como ?cualquier informaci?n concerniente a personas f?sicas identificadas o identificables.?, dicha definici?n queda completada por el art?culo 5.1.f) del RLOPD: ?cualquier informaci?n num?rica, alfab?tica, gr?fica, fotogr?fica, ac?stica o de cualquier otro tipo concerniente a personas f?sicas identificadas o identificables.? Por tanto de la definici?n legal de dato personal podemos concluir, que tendr? esta consideraci?n la informaci?n relativa a una persona f?sica, que permita identificarla de forma directa o que sea identificable a trav?s de la citada informaci?n.
Definir correctamente el sujeto titular del derecho a la protecci?n de datos, resulta b?sico ya que, como hemos dicho, ?ste gozar? de las garant?as de la LOPD teniendo la consideraci?n de afectado (persona a la que se refieren los datos). Disponer de esta condici?n convierte al sujeto titular del dato personal por tanto, en titular de un derecho fundamental (resultado del desarrollo del art?culo 18.4 de la CE), que a su vez es diferenciado y aut?nomo de derechos an?logos, que no iguales, a la intimidad o al honor (art?culo 18.1 CE): ?(?) el objeto de protecci?n del derecho fundamental a la protecci?n de datos no se reduce s?lo a los datos ?ntimos de la persona, sino a cualquier tipo de dato personal, sea o no ?ntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales, porque su objeto no es s?lo la intimidad individual, que para ello est? la protecci?n que el art. 18.1 CE otorga, sino los datos de car?cter personal? (Fundamento Jur?dico 6? STC 292/2000).
Esta circunstancia asegura al titular del dato personal, todas y cada una de las garant?as de las que gozan los derechos fundamentales en nuestro ordenamiento jur?dico:
1. Garant?as normativas:
Eficacia directa de los derechos fundamentales. Implica que los derechos fundamentales vinculan a todos los poderes p?blicos por el mero hecho de estar reconocidos en la CE. Cualquiera persona puede reclamar el ejercicio de sus derechos fundamentales sin necesidad de que el derecho fundamental se haya regulado en una normativa espec?fica. Esta caracter?stica no ser?a directamente aplicable al caso del derecho fundamental a la protecci?n de datos puesto que, como hemos visto, se encuentra desarrollado en una ley org?nica.
Reserva de ley org?nica. Los derechos fundamentales s?lo pueden ser regulados por ley org?nica: art. 81.1 CE: ?Son leyes org?nicas las relativas al desarrollo de los derechos fundamentales y de las libertades p?blicas, las que aprueben los Estatutos de Autonom?a y el r?gimen electoral general y las dem?s previstas en la Constituci?n.?
Reforma por la v?a compleja del art?culo 168 CE. La modificaci?n de las leyes que desarrollan derechos fundamentales, exigen la aprobaci?n por mayor?a cualificada de dos tercios de cada una C?mara de las Cortes Generales: Congreso de los Diputados y Senado.
2. Garant?as institucionales:
Defensor del Pueblo:
El art?culo 54 de la CE otorga al Defensor del Pueblo la labor de defender y velar por los derechos fundamentales, pudiendo acudir ante el mismo cualquier ciudadano que considere que dichos derechos, han sido vulnerados.
La particularidad de esta garant?a institucional reside en el hecho que el Defensor del Pueblo ?nicamente podr?a velar por la vulneraci?n de los derechos fundamentales de un ciudadano (incluido el de la protecci?n de datos), en su relaci?n con la Administraci?n P?blica y no cuando un hipot?tico menoscabo del derecho se de en sus relaciones con empresas u organizaciones privadas.
Agencia Espa?ola de Protecci?n de Datos:
Sin querer adelantarnos a lo tratado posteriormente en esta obra, indicamos aqu? que existe, en el ?mbito concreto de la protecci?n de datos personales, una garant?a institucional adicional, como lo es la existencia de una autoridad de control independiente, que vela por el respeto al citado derecho, tanto en el ?mbito p?blico como privado y que dispone de las competencias para conocer y sancionar ante incumplimientos de la normativa vigente en materia de protecci?n de datos.
3. Garant?as jurisdiccionales:
Por ?ltimo cualquier ciudadano que considere que sus derechos fundamentales han sido vulnerados, si decide utilizar las herramientas jurisdiccionales a su disposici?n, gozar? de tres garant?as adicionales:
Recurso preferente y sumario ante los ?rganos judiciales ordinarios (art. 53.2 CE).
Cualquier ciudadano que considere que sus derechos fundamentales han sido vulnerados, podr? acudir a los tribunales ordinarios para ?(?) recabar la tutela de las libertades y derechos reconocidos en el art?culo 14 y la Secci?n 1.? del Cap?tulo Segundo ante los Tribunales ordinarios por un procedimiento basado en los principios de preferencia y sumariedad y, en su caso, a trav?s del recurso de amparo ante el Tribunal Constitucional?.
Recuso de amparo ante el Tribunal Constitucional (art. 53.2 CE).
En el caso de necesidad de recurrir ante el TC, la CE reconoce a los titulares de derechos fundamentales presuntamente vulnerados, la posibilidad de interponer el recurso de amparo (desarrollado en el T?tulo III, Cap?tulo 1? de la Ley Org?nica 2/1979, del Tribunal Constitucional). ?2. Cualquier ciudadano podr? recabar la tutela de las libertades y derechos reconocidos en el art?culo 14 y la Secci?n 1.? del Cap?tulo Segundo ante los Tribunales ordinarios por un procedimiento basado en los principios de preferencia y sumariedad y, en su caso, a trav?s del recurso de amparo ante el Tribunal Constitucional?.
Recurso directo ante el Tribunal Europeo de Derechos Humanos.
Por ?ltimo los recursos jurisdiccionales por la vulneraci?n de un derecho fundamental sobrepasan las fronteras nacionales, ya que el Convenio Europeo para la Protecci?n de los Derechos Humanos y de las Libertades Fundamentales recoge en su art?culo 34 la posibilidad de que cualquier particular que considere que los derechos reconocidos en el texto, han sido violados, podr? recurrir ante el citado tribunal.
Es necesario recordar que el art?culo 8 del Convenio, regula el derecho al respeto a la vida privada y familiar y el Convenio 108 de 1981, del Consejo de Europa, aborda de forma m?s concreta, la protecci?n de los datos personales.
2.1 Dato personal: informaci?n sobre una persona f?sica
Vistas las consecuencias que supone el hecho de tratar o no un dato personal o no, vamos a desgranar las caracter?sticas para conocer cuando una informaci?n puede o no ser considerada como tal. Un primer filtro de lo que debe entenderse por dato personal, lo encontramos en las definiciones tanto de la LOPD como del RLOPD, es que la informaci?n debe referirse a una persona f?sica. Para reforzar esta importante limitaci?n en relaci?n al sujeto del derechos, a la definici?n de dato personal, debemos a?adir la de afectado (art. 3 e) de la LOPD y 5.1.a) del RLOPD) donde se reitera que la condici?n de afectado (titular del derecho), deber? ser una persona f?sica. Quedan, por tanto, excluidos de las garant?as de la LOPD y la normativa de desarrollo, los datos relativos a personas jur?dicas.
La que parece tratarse de una definici?n n?tida y clara, no lo resulta tanto si buscamos algunos casos dudosos. Nos centraremos en los casos que pueden resultar m?s aplicables al sector publicitario en general y del marketing en particular:
a) Datos de personas f?sicas no espa?olas:
Tanto el art?culo 13.1 de la CE ?1. Los extranjeros gozar?n en Espa?a de las libertades p?blicas que garantiza el presente T?tulo en los t?rminos que establezcan los Tratados y la Ley?, como el art?culo 3.1 de la Ley Org?nica 4/2000, que lo desarrolla ?Los extranjeros gozar?n en Espa?a de los derechos y libertades reconocidos en el T?tulo I de la Constituci?n en los t?rminos establecidos en los Tratados internacionales, en esta Ley y en las que regulen el ejercicio de cada uno de ellos. Como criterio interpretativo general, se entender? que los extranjeros ejercitan los derechos que les reconoce esta Ley en condiciones de igualdad con los espa?oles.?, reconocen a los extranjeros los mismos derechos fundamentales que los garantizados a los espa?oles.
Adicionalmente, el Convenio 108 (?), suscrito por Espa?a, destaca en su art?culo primero que su objeto ?(?) es garantizar, en el territorio de cada Parte, a cualquier persona f?sica sean cuales fueren su nacionalidad o su residencia, el respeto de sus derechos y libertades fundamentales, concretamente su derecho a la vida privada, con respecto al tratamiento automatizado de los datos de car?cter personal correspondientes a dicha persona (?protecci?n de datos?).?
b) Datos de menores de 14 a?os:
Hasta la entrada en vigor del RLOPD, el 19 de abril de 2008, exist?an ciertas dudas de la forma de aplicabilidad del derecho de protecci?n de datos a los menores de 14 a?os, a pesar que la AEPD se hab?a pronunciado en distintas ocasiones. Con la entrada en vigor del RLOPD, queda fuera de duda el reconocimiento de este derecho a los menores de 14 a?os, a?adiendo, si cabe unas mayores garant?as en aras de las caracter?sticas de la persona afectada y de los riesgos que ello supone. Art?culo 13 RLOPD: ?1. Podr? procederse al tratamiento de los datos de los mayores de catorce a?os con su consentimiento, salvo en aquellos casos en los que la Ley exija para su prestaci?n la asistencia de los titulares de la patria potestad o tutela. En el caso de los menores de catorce a?os se requerir? el consentimiento de los padres o tutores. (?)?.
Los menores de catorce a?os pues, son titulares del derecho a la protecci?n de datos, a pesar que su ejercicio, en beneficio del menor, se halle sujeto a la acci?n de sus padres o representantes legales, de forma temporal.
En esta l?nea destacamos el Informe Jur?dico de la AEPD 308/2008, donde se analiza la recepci?n de SMS publicitarios por parte de una menor de edad. As? la AEPD establece que ?En caso de no ser aplicable la excepci?n se?alada (el tratamiento de los datos en el marco de una relaci?n familiar o de amistad), el remitente del mensaje estar?a procediendo al tratamiento del dato del n?mero telef?nico o la direcci?n de correo electr?nico de la interesada, quedando dicho tratamiento sometido a lo dispuesto en la Ley Org?nica 15/1999.? Adicionalmente, y en relaci?n a la forma de otorgar el consentimiento la AEPD sigue se?alando que ?De este modo, en caso de que la interesada fuera menor de catorce a?os su consentimiento ?nicamente hubiera sido v?lido en caso de prestarse con la asistencia del propio reclamante (el padre).?
c) Datos de profesionales y comerciantes individuales (aut?nomos):
Nos encontramos en este punto en una de las dudas comunes en muchas empresas que implantan la normativa de protecci?n de datos en su organizaci?n. Estamos hablando de los datos de profesionales o comerciantes individuales, de los que se dispone de forma bastante habitual en muchas organizaciones empresariales (por ejemplo datos de aut?nomos, abogados, arquitectos, etc?). Este problema jur?dico se plantea debido a que la normativa de protecci?n de datos no regula ?nicamente los datos ?ntimos, como hemos se?alado m?s arriba, sino cualquier dato personal, ?ntimo o no, y no cabe duda que la informaci?n relativa a profesionales y comerciales individuales, con independencia de la actividad llevada a cabo por estos, cumple con la definici?n de dato personal ?persona f?sica identificada o identificable?.
El art?culo 2.3 del RLOPD ha recogido los criterios desarrollados desde la entrada en vigor de la LOPD, tanto por los Tribunales como por la AEPD, estableciendo que ?3. Asimismo, los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros, tambi?n se entender?n excluidos del r?gimen de aplicaci?n de la protecci?n de datos de car?cter personal.?
Esta regulaci?n es, como decimos resultado de la jurisprudencia tanto del TS (Sentencia 20/02/2007), como de la Audiencia Nacional (SAN, Secci?n 1?, de 29/03/2006), como de los informes y resoluciones de la AEPD (Resoluci?n 27/02/2001 e informes de 14/02/2006 y 42/2008).
De los textos se?alados, cabe deducir dos primeras premisas b?sicas que deben servir para abordar este caso concreto:
Para discernir si los datos de un profesional o comerciante individual, deben ser considerados como personales o no (lo que comportar?a la aplicaci?n de la LOPD y la normativa de desarrollo), es necesario ir caso por caso. A pesar de las reglas que a continuaci?n expondremos, el Tribunal Supremo en su sentencia de 20/02/2007, recuerda que ?(?) exigir? siempre ir analizando caso por caso para hallar en cada supuesto concreto el l?mite fronterizo donde resulte afectado el derecho fundamental a la protecci?n de datos de los interesados personas f?sicas, o, por el contrario, aqu?l no resulte amenazado por incidir tan s?lo en la esfera de la actividad comercial o empresarial (?)?.
En caso de duda en la aplicaci?n de las reglas que expondremos a continuaci?n, no siendo posible determinar con certitud si un dato relativo a un profesional o comerciante individual, es personal o no, el Tribunal Supremo nos recuerda, en esa misma sentencia, ?(?) la soluci?n deber? siempre adoptarse a favor de la protecci?n de los derechos fundamentales (?)?. Por tanto, en caso que una vez analizado el caso concreto persista la duda, debemos decantarnos por conceder a la informaci?n relativa al profesional o comerciante individual, las garant?as relativas a la protecci?n de datos.
Vistas las reglas b?sicas y seg?n la jurisprudencia del Tribunal Supremo y la doctrina de la AEPD, los datos de un profesional o comerciante individual, se considerar?n personales y por tanto, dispondr?n de las garant?as recogidas en la LOPD y dem?s normativa de desarrollo, cuando:
En el caso de profesionales individuales, cuando estos no tengan organizada su actividad bajo la forma de empresa, no ostentando, por tanto, la condici?n de comerciante (por ejemplo los profesionales liberales, expresamente excluidos del ?mbito de aplicaci?n de la Ley B?sica 3/1993 de C?maras de Comercio, Industria y Navegaci?n, en su art?culo 6.2). Un ejemplo de este supuesto ser?an los datos de un abogado individual que se identificara en el tr?fico mercantil con su nombre f?sico, quedando el tratamiento de los mismos a lo dispuesto en la LOPD y dem?s normativa de desarrollo.
En relaci?n a los datos relativos a comerciantes individuales quedar?a bajo el paraguas protector de la LOPD, en el caso que no fuera posible diferenciar su actividad mercantil de la propia actividad privada. Nos estamos refiriendo en este caso, a los aut?nomos que son definidos en el art?culo 1.1 de su Estatuto (Ley 20/2007), como a las ?(?) personas f?sicas que realicen de forma habitual, personal, directa, por cuenta propia y fuera del ?mbito de direcci?n y organizaci?n de otra persona, una actividad econ?mica o profesional a t?tulo lucrativo, den o no ocupaci?n a trabajadores por cuenta ajena.?.
La necesidad distinci?n entre la actividad mercantil y la privada que la AEPD y los Tribunales hacen en este punto en relaci?n a los datos de aut?nomos, no es balad?, puesto que en el tr?fico mercantil, cuando estos comerciantes individuales facilitan sus datos de contacto (tel?fono fijo o m?vil, direcci?n de correo electr?nico), resulta muy com?n que dichos medios sean utilizados tanto para finalidades privadas como profesionales. En cualquier caso debemos recordar aqu? la jurisprudencia de los Tribunales en el sentido de que en caso de duda, debemos considerar el dato como personal, aplicando todas las medidas previstas en la LOPD y normas que la desarrollan.
De esta regla establecida por la doctrina actual, cabe deducir por tanto, que la aplicabilidad o no de la LOPD y de la dem?s normativa de desarrollo, no depender? de si un dato o informaci?n concreta hace referencia a un profesional, sino de la naturaleza de persona f?sica o jur?dica el titular del dato. En consecuencia, el hecho de que un profesional o comerciante individual utilice sus datos personales para distinguirse en el ?mbito de una actividad mercantil, no implica que quien trate esos datos pueda quedar al margen de las previsiones de la normativa vigente en materia de protecci?n de datos.
A mayor abundamiento de este criterio, la AEPD, en su informe jur?dico de 14 de febrero de 2006, mantiene este enfoque incluso para los casos en que la identificaci?n o el r?tulo de un establecimiento coincide con el nombre de la persona f?sica que lo regenta, ya que esta circunstancia, no convierte al establecimiento en cuesti?n en una persona f?sica. Los ejemplos en que las normas mercantiles exigen que la denominaci?n social de una empresa, contenga el nombre o nombres de sus socios, no son pocos (art?culo 126, Compa??a Colectiva; 146, Compa??a en Comandita o 131 de la Ley 2/1995 que regula la Sociedad Limitada de la Nueva Empresa). Incluso en estos casos, en que en el nombre de la sociedad se incluyen o directamente, se identifica la actividad con el nombre de una persona f?sica, la AEPD considera no aplicable la LOPD ya que la forma de dicha sociedad, sigue siendo de persona jur?dica.
Por ?ltimo la Sentencia de la Audiencia Nacional, Secci?n 1?, de 29 de marzo de 2006, a?ade nuevos elementos para ayudarnos en el caso que una vez aplicadas las reglas precedentes a?n no podamos determinar si un dato de un profesional o comerciante individual, tiene la caracter?stica de personal o no:
Criterio objetivo: seg?n el cual debemos fijarnos en la naturaleza del dato y tratar de resolver si el mismo se refiere a la esfera personal o ?ntima o a la profesional de su titular.
Criterio de la finalidad: por ?ltimo tambi?n disponemos del criterio por el cual resulta necesario conocer la finalidad u objetivo concreto para el que quiera tratarse el dato, concluyendo as?, que hay finalidades estrechamente relacionadas con la vida personal o ?ntima y otras con la actividad profesional.
d) Datos de personas de contacto de personas jur?dicas:
El art?culo 2.2 del RLOPD ha venido a plasmar, de la misma forma que el recientemente analizado 2.3, la doctrina de la AEPD en relaci?n a los datos de las personas f?sicas representantes de personas jur?dicas (personas de contacto); as? el citado precepto establece que: ?2. Este reglamento no ser? aplicable (?) a los ficheros que se limiten a incorporar los datos de las personas f?sicas que presten sus servicios en aqu?llas, consistentes ?nicamente en su nombre y apellidos, las funciones o puestos desempe?ados, as? como la direcci?n postal o electr?nica, tel?fono y n?mero de fax profesionales.?
El criterio de la autoridad de control espa?ola, ha quedado plasmado, entre otras, en las resoluciones de 19/07/2005, de 24/08/2005, de 09/05/2006, de 31/01/2007 o de 01/10/2007, donde se establece el criterio general que para excluir la aplicaci?n de la normativa de protecci?n de datos, es necesario que el tratamiento del dato de la persona f?sica de contacto de la empresa, sea puramente incidental o accidental del mencionado tratamiento. De las resoluciones mencionadas resaltamos, por la tem?tica de esta obra las de 24/08/2005 y 09/05/2006, donde la AEPD sostiene que las direcciones de correo electr?nico en que figuran algunos nombres de personas de la empresa con las que el responsable del tratamiento mantuvo relaci?n comercial ?(?) se trata de direcciones institucionales de empresa que, por lo tanto, no tienen la consideraci?n de dato personal, por lo que procede acordar el archivo de las actuaciones previas de investigaci?n.?
Por tanto, vista la regulaci?n del RLOPD y la doctrina de la AEPD, para excluir la aplicaci?n de la normativa de protecci?n de datos en relaci?n a los datos de las personas de contacto de las personas jur?dicas, es necesario el cumplimiento de dos requisitos:
Que los datos se refieran exclusivamente, al nombre y apellidos, funciones puestos desempe?ados, direcci?n postal o electr?nica, tel?fono y n?mero de fax profesional. La inclusi?n en un fichero y el tratamiento de cualquier otro dato relativo a dicha persona, quedar?a amparada por la LOPD y su normativa de desarrollo.
El tratamiento del dato debe ser meramente incidental, de forma que la finalidad de su tratamiento debe ser, mantener la relaci?n con la persona jur?dica y el uso del dato de la persona f?sica debe dirigirse exclusivamente, a colmar dicha finalidad.
2.2 Dato personal: informaci?n sobre una persona f?sica identificada o identificable
Volvemos a la Real Academia Espa?ola para observar que define la acci?n de identificar como en su tercera acepci?n como ?Dar los datos personales necesarios para ser reconocido?.
La informaci?n que identifica a una persona, por definici?n, es su nombre y apellidos, dentro de esta categor?a podr?amos incluir adem?s, sin lugar a mucho debate, el domicilio f?sico de esa persona. Estas tres son categor?as de datos que, sin duda, que identifican a un individuo entre sus semejantes, por lo que no hay discusi?n en relaci?n a ser considerados como datos personales.
M?s all? de estos datos la LOPD ha incluido en la definici?n de dato personal, la informaci?n relativa a una persona identificable. La LOPD sin embargo, no incluye una definici?n de persona identificable, cosa que s? que hace el RLOPD en su art?culo 5.1.o) se?alando que tendr? esta caracter?stica ?(?) toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier informaci?n referida a su identidad f?sica, fisiol?gica, ps?quica, econ?mica, cultural o social. Una persona f?sica no se considerar? identificable si dicha identificaci?n requiere plazos o actividades desproporcionados.? Esta previsi?n, que no hace m?s que recoger la jurisprudencia de los tribunales en la materia desde la entrada en vigor de la LOPD, nos permite llegar a la conclusi?n que el tratamiento de la informaci?n relativa a una persona f?sica, puede quedar sujeto a la LOPD, incluso si entre esta informaci?n no se encuentra el nombre y apellidos de la persona, pero s? informaci?n suficiente que nos permite conocer su identidad sin un esfuerzo desproporcionado. As? la Sentencia de la Audiencia Nacional, Secci?n 1?, de 8 de marzo de 2002, consider? sujeto a la LOPD un tratamiento de datos donde se inclu?an el n?mero de tel?fono, el sexo, la edad, el destino y el cargo de trabajadores o la sentencia del mismo tribunal de, 12 de enero de 2006, lleg? al mismo fallo en relaci?n a un fichero donde para referirse a los padres de un ni?o, se hablaba de ?familia de (?)?, sin incluir el nombre de los padres. La primera de las sentencias citadas expone que ?(?) para que exista un dato de car?cter personal no es imprescindible una plena coincidencia entre el dato y una persona concreta, sino que es suficiente con que tal identificaci?n pueda efectuarse sin esfuerzos desproporcionados (?)?.
Antes de continuar es necesario abordar dos temas conexos a los datos de personas identificables: en primer lugar lo que debe entenderse por ?plazos o actividades desproporcionados? y seguidamente, la fina l?nea de separaci?n entre ciertos datos de personas identificables y el proceso de disociaci?n de datos, que conllevar?a la no aplicaci?n de la LOPD.
a) Concepto de plazos o actividades desproporcionados.
El Informe de la AEPD 285/2006, hace referencia a lo que debe entenderse como esfuerzo desproporcionado, haciendo menci?n a la anteriormente citada Sentencia de la Audiencia Nacional, de 8 de marzo de 2002, cuando dice que ?(?) para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha persona (?)?. Por tanto la proporcionalidad de los plazos, actividades o esfuerzos tomadas por quien trata los datos con el fin de identificar a un individuo, deber? analizarse caso por caso; as?, en este proceso, intervienen muchos elementos (humanos y t?cnicos, principalmente) que de estar o no a disposici?n de quien trata los datos, pueden hacer modular el juicio en relaci?n a si el esfuerzo que le supone identificar una persona, es o no desproporcionado.
b) Persona identificable vs proceso de disociaci?n de datos.
El procedimiento de disociaci?n de datos est? definido tanto en la LOPD ?todo tratamiento de datos personales de modo que la informaci?n que se obtenga no pueda asociarse a persona identificada o identificable? (art. 3.f)) como en el RLOPD ?Todo tratamiento de datos personales que permita la obtenci?n de datos disociados? (art. 5.1.p)), que lo complementa con la definici?n de dato disociado incluida en el apartado e del mismo art?culo ?aqu?l que no permite la identificaci?n de un afectado o interesado?. Este es un procedimiento que permite que la persona titular de unos datos, deje de ser identificable y que por tanto los tratamientos de datos llevados a cabo tras dicho procedimiento, queden excluidos del ?mbito de aplicaci?n de la LOPD y dem?s normativa de desarrollo.
La invocaci?n al procedimiento de disociaci?n ha sido un recurso frecuente ante la AEPD y los tribunales competentes en la materia, como un elemento para tratar de eludir la responsabilidad.
La pregunta que tratamos de plantear en este apartado no es otra que la de determinar en qu? momento una serie de datos de una persona (no relacionados con los datos que la identifican directamente), se consideran datos disociados (excluidos de la aplicaci?n de la LOPD) y en qu? momento esos datos pasan a hacer identificable a esa persona (supuesto de aplicaci?n de la LOPD).
En primer lugar debemos se?alar que para que una informaci?n personal pueda considerarse disociada de su titular, es necesario que quien trata esa informaci?n no disponga de los datos identificativos de la persona (nombre y apellidos). En el caso que as? sea el procedimiento de disociaci?n no ser?a en ning?n caso aplicable. M?s all? de este principio elemental la AEPD, ha determinado en su doctrina reciente que para que un procedimiento de disociaci?n pueda considerarse suficiente seg?n lo establecido en la LOPD y por tanto, excluido de su ?mbito de aplicaci?n, ?ser? necesario que de la aplicaci?n de dicho procedimiento resulte imposible asociar un determinado dato con un sujeto determinado.? A sensu contrario indica tambi?n la autoridad de control espa?ola que ?ser? suficiente que exista la mera posibilidad, incluso remota, de que, mediante la utilizaci?n, con car?cter previo, coet?neo o posterior de cualquier medio (proceso inform?tico, programa, herramienta del sistema, etc?tera), la informaci?n concerniente a los pacientes (en este informe concreto aborda el supuesto de historiales cl?nicos), que obre en poder de la consultante, pueda revelar la identidad de los afectados, para que quede plenamente sometida a la Ley Org?nica.?
Por tanto como mayor cantidad de datos dispongamos de una persona (incluso sin disponer de su nombre y apellidos) y con el progresivo avance de los sistemas de tratamiento y almacenamiento de datos, m?s complicado se hace poder hablar de que la informaci?n relativa a un individuo, es disociada de este, no identific?ndole y que por tanto, no es aplicable la LOPD. Como ya hemos se?alado m?s arriba y trat?ndose de derechos fundamentales, en caso de duda el criterio debe ser el m?s garantista para el titular de los datos, aplicando la LOPD.
A continuaci?n y para cerrar este primer cap?tulo, abordaremos algunos de los casos planteados ante la AEPD en relaci?n a si cierta informaci?n de uso com?n entre las empresas, debe o no ser considerada dato personal, siendo aplicable en su caso, la LOPD y dem?s normativa de desarrollo.
Direcci?n de correo electr?nico: La AEPD dirimi? en uno de sus primeros informes jur?dicos, si las direcciones de correo electr?nico, ten?an o no la consideraci?n de dato personal, a tenor de la normativa vigente. Esto fue en 1999 y ya desde el primer instante la autoridad de control espa?ola, concluy? que tanto las direcciones de correo electr?nico que identifican a una persona (por contener, por ejemplo, su nombre), como aquellas no permiten dicha identificaci?n (por ejemplo: denominaci?n abstracta o una combinaci?n alfanum?rica sin significado alguno), tienen la consideraci?n de datos personales. Por tanto la opini?n de la AEPD no deja lugar a la duda, as? cualquier direcci?n de correo electr?nico, de la que sea titular una persona f?sica, tendr? la consideraci?n de dato personal, debiendo ser observadas las garant?as que la LOPD prev? para el tratamiento de dicho tipo de datos.
Jurisprudencia de la Audiencia Nacional: SAN de 22 de febrero de 2006
N?mero de tel?fono: La AEPD (informe 285/2006) y la AN han confirmado en su doctrina, la consideraci?n del n?mero de tel?fono como dato personal. Esto ser? as? tanto en el caso que dicho n?mero aparezca asociado a un nombre de una persona determinado, como en el supuesto que el citado n?mero se asocie a otros datos identificativos de una persona como el domicilio (no necesariamente su nombre). Evidentemente esta conclusi?n es tambi?n ampliable a los n?meros de los tel?fonos m?viles.
Adem?s de varias resoluciones e informes jur?dicos, la AEPD ha abordado ampliamente el tema de la recepci?n de llamadas o SMS con finalidades publicitarias, en un plan sectorial publicado en Noviembre de 2008. A trav?s de los planes sectoriales la AEPD pretende estudiar de oficio, el estado en la implantaci?n de la LOPD en determinados sectores econ?micos. Las conclusiones b?sicas de este plan sectorial concreto son tratadas en el Cap?tulo 3 de la presente obra.
Jurisprudencia de la Audiencia Nacional: SAN de 22 de febrero de 2006
DNI o NIE: Despu?s de algunas dudas en este terreno concreto y de una doctrina inicial de la AEPD que no consideraba el DNI, por s? solo, como un dato personal (Resoluci?n E/00561/2004), la opini?n actual de la AEPD en la actualidad es la de considerar el n?mero de DNI o el NIE como un dato personal, aunque estos no est?n asociados a sus titulares. Esto es as? debido a que la normativa reguladora de ambos documentos, dispone que la finalidad de los mismos no es otra que identificar a personas f?sicas.
Jurisprudencia de la Audiencia Nacional: SAN 27 Octubre, 2004.
Direcci?n IP: En su Informe 327/2003, la AEPD consider? que las direcciones IP (direcci?n con la que se asocia cada ordenador conectado a Internet), tanto las fijas como las variables, deben ser consideradas datos personales, puesto que usando ?medios razonables?, es posible identificar la persona f?sica que se encuentra detr?s de dicha direcci?n asignada a la m?quina que utiliza. Por medios razonables la autoridad de control espa?ola considera tanto los mecanismos que indiscutiblemente tienen los proveedores de servicio para conocer qui?n est? detr?s de una direcci?n IP asignada, como ?medios invisibles de tratamiento para recoger informaci?n adicional del usuario, tales como cookies con un identificador ?nico o sistemas modernos de miner?a de datos unidos a bases de datos con informaci?n sobre usuarios de Internet que permiten su identificaci?n?. La AEPD concluye indicando que ?(?) aunque no siempre sea posible para todos los agentes de Internet identificar a un usuario a partir de datos tratados en la Red, desde esta Agencia de Protecci?n de Datos se parte de la idea de que la posibilidad de identificar a un usuario de Internet existe en muchos casos y, por lo tanto, las direcciones IP tanto fijas como din?micas, con independencia del tipo de acceso, se consideran datos de car?cter personal resultando de aplicaci?n la normativa sobre protecci?n de datos.?
V?ctor Rosell? Mallol.
Abogado. Especialista en Protecci?n de Datos.
