Anúnciate en Noticias Jurídicas Newsletter Colabora con nosotros

TIENDA LA LEY

LA LEY. Librería Jurídica Online Profesional

TIENDA LIBROS FORMACIÓN BASES DE DATOS REVISTAS SOFTWARE DE GESTIÓN OBRAS ACTUALIZABLES

Noticias JurídicasOrigen https://noticias.juridicas.com

Conocimiento Artículos doctrinales
01/09/2009 04:00:00 PROTECCIÓN DE DATOS 40 minutos

Marketing y Protección de Datos (III) : Principios básicos del tratamiento de Datos Personales

Una vez estudiado el concepto de dato personal (Capítulo nº1) así como los requisitos básicos que debe cumplir el tratamiento de datos (Capítulo nº2), nos adentramos en este punto en el Titulo II de la LOPD, abordando los principios básicos que forman el núcleo esencial del derecho fundamental a la protección de datos.

Víctor Roselló Mallol

Una vez estudiado el concepto de dato personal (Cap?tulo n?1) as? como los requisitos b?sicos que debe cumplir el tratamiento de datos (Cap?tulo n?2), nos adentramos en este punto en el Titulo II de la LOPD, abordando los principios b?sicos que forman el n?cleo esencial del derecho fundamental a la protecci?n de datos.

Como qued? reflejado en el Cap?tulo n?1 la importante STC 292/2000 configura el derecho a la protecci?n de datos personales, como un derecho aut?nomo a otros como el de la intimidad y el honor. En este punto conviene dar un paso m?s y definir en qu? consiste, de forma concreta, este derecho fundamental o, en otras palabras, cu?les son sus caracter?sticas b?sicas sin las cuales no ser?a posible definir el citado derecho. El derecho a la protecci?n de datos, tambi?n conocido como derecho a la autodeterminaci?n informativa, consiste, de forma resumida, en el poder de control y disposici?n que cualquier titular de datos, tiene sobre estos; as? en palabras del Tribunal Constitucional (STC 254/1993, de 20 de julio?) ?el derecho fundamental a la protecci?n de datos persigue, en suma, garantizar a la persona un poder de control sobre sus datos personales, sobre su uso y su destino (?) el derecho a la protecci?n de datos garantiza a los individuos un poder de disposici?n sobre esos datos (?) atribuye a su titular un conjunto de poderes o facultades, que se traducen en aut?nticos deberes para aquellos que utilizan los datos, garantizando a la persona un poder de control sobre sus datos personales y que son, esencialmente: el derecho a que se requiera con car?cter general, el previo consentimiento para la recogida y uso de datos personales; el derecho a saber y ser informado sobre el destino y uso de los mismos; y el derecho a acceder, rectificar y cancelar dichos datos. Pues s?lo as? se puede garantizar el poder de disposici?n sobre los datos personales?.

El T?tulo II de la LOPD, anteriormente citado, recoge en suma, una serie de herramientas en forma de principios, que la ley pone a disposici?n del titular del dato, para que el poder de disposici?n y control sobre dichos datos, sea efectivo. A pesar del desglose de los principales rasgos inspiradores del derecho a la protecci?n de datos que llevaremos a cabo a lo largo de este Cap?tulo, los principios pueden agruparse en dos: en primer lugar el principio de calidad de los datos y en segundo lugar el de la necesidad de consentimiento para poder recoger y tratar datos personales. A continuaci?n pues analizaremos cada uno de estos principios, aplicables a cualquier tipo de tratamiento que pretenda llevarse a cabo de los datos, deteni?ndonos en las especificaciones que en su caso, sean aplicables al tratamiento de datos con fines publicitarios a pesar que este punto, ser? abordado con mayor profundidad en el Cap?tulo 4. Los principios que seguidamente analizamos, deber?n ser observados por tanto, por cualquier entidad que disponga de un fichero, automatizado o no, con datos personales, y pretenda utilizar dichos datos con cualquier finalidad publicitaria o de promoci?n de productos y/o servicios. Para conocer las eventuales particularidades de los principios aplicables al tratamiento de datos con finalidades publicitarias o de prospecci?n comercial hacemos una primera referencia aqu? el Cap?tulo II del T?tulo IV del RLOPD (arts. 45 a 51), al que iremos haciendo constantes referencias en lo que queda de Obra. En este Cap?tulo pues seguimos analizando los principios b?sicos del tratamiento de datos para poder entender posteriormente las particularidades que caracterizan dicho tratamiento en el sector publicitario o promocional.

1. Principio de calidad de los datos

El art?culo 4 de la LOPD, define el contenido esencial del primero de los grandes principios a que debe someterse la recogida y tratamiento de datos personales: el principio de calidad de los datos. Este principio est? compuesto por una serie de principios adicionales que lo integran d?ndole un contenido concreto. El p?rrafo 1 y 2 del art?culo 4 establecen los principios de proporcionalidad y finalidad; el 3, as? como el 4 y el 5 de forma m?s extensa, el de veracidad y exactitud; el apartado 6 realiza una primera introducci?n a uno de los derechos b?sicos de los titulares de datos: el derecho de acceso y por ?ltimo, el p?rrafo 7 proh?be la recogida de datos por medios fraudulentos, desleales o il?citos. As? el citado art?culo 4 establece:

?1. Los datos de car?cter personal s?lo se podr?n recoger para su tratamiento, as? como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relaci?n con el ?mbito y las finalidades determinadas, expl?citas y leg?timas para las que se hayan obtenido.

2. Los datos de car?cter personal objeto de tratamiento no podr?n usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerar? incompatible el tratamiento posterior de ?stos con fines hist?ricos, estad?sticos o cient?ficos.

3. Los datos de car?cter personal ser?n exactos y puestos al d?a de forma que respondan con veracidad a la situaci?n actual del afectado.

4. Si los datos de car?cter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, ser?n cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el art?culo 16.

5. Los datos de car?cter personal ser?n cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.

No ser?n conservados en forma que permita la identificaci?n del interesado durante un per?odo superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.

Reglamentariamente se determinar? el procedimiento por el que, por excepci?n, atendidos los valores hist?ricos, estad?sticos o cient?ficos de acuerdo con la legislaci?n espec?fica, se decida el mantenimiento integro de determinados datos.

6. Los datos de car?cter personal ser?n almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados.

7. Se proh?be la recogida de datos por medios fraudulentos, desleales o il?citos.?

Los apartados del art?culo 4 que tienen mayor influencia en el ?mbito del tratamiento de datos con finalidades publicitarias son, sin ninguna duda, el primero y el segundo, donde se desarrollan, como ya se ha indicado, los principios de finalidad y proporcionalidad. En este apartado nos centraremos en exclusiva en el estudio de estos dos principios, por su trascendencia en el ?mbito publicitario, dejando las referencias a los dem?s principios de art?culo 4 para otros momentos de esta Obra.

1.1 Principio de finalidad

A pesar que leyendo el art?culo 4 el principio de finalidad no es el primero de los que se enumeran, iniciamos el estudio del citado precepto legal por este punto, ya que entendemos que es la base del principio de calidad de los datos, por las razones que a continuaci?n trataremos de exponer.

As? el apartado 1 del art?culo 4 establece al final del mismo, que los datos personales deber?n ser recogidos y tratados para finalidades determinadas, expl?citas y leg?timas. Este triple requisito condensado en uno de gen?rico, la finalidad, se repite en el art?culo 45.1.b) del RLOPD donde entre los supuestos que habilitan para el uso de datos personales con fines publicitarios o de prospecci?n comercial, se incluye la necesidad que los datos hayan sido obtenidos para finalidades ?determinadas, expl?citas y leg?timas? Por tanto el primer requisito b?sico para que la recogida y posterior tratamiento de datos, se realice de acuerdo a la LOPD y de m?s normativa de desarrollo, es que las finalidades para las que se usan dichos datos:

  • Sean determinadas: el cumplimiento de este requisito es el que, sin lugar a duda, ha llevado a mayores cuotas de conflicto en la interpretaci?n y aplicaci?n de la normativa. As? es necesario que la finalidad de la recogida y tratamiento de datos, sea identificada con la m?xima precisi?n posible evitando finalidades gen?ricas. En el ?mbito del tratamiento de datos para finalidades comerciales, podemos destacar la SAN, Secci?n 1?, de 2 de abril de 2006, donde la Audiencia Nacional, confirmando el criterio de la AEPD, aprecia la vulneraci?n del principio de finalidad en relaci?n a una cl?usula que anunciaba que los datos recogidos ser?an utilizados para el env?o de ?promociones comerciales de productos y servicios que pueden resultar de su inter?s?. En este caso tanto la AEPD como la AN consideran que la referencia en la cl?usula a las ?promociones comerciales?, ?no permite entender incluida cualquier clase de promoci?n comercial, sino que es necesario vincular el t?rmino ?comercial? con el resto de finalidades del club (responsable del fichero) y con las actividades generales de aqu?l y del p?blico destinatario?.

    En esta misma linea se expresa la AEPD en su Informe de Recomendaciones al sector del Comercio Electr?nico, cuando indica que si bien la informaci?n a facilitar al titular del dato (como veremos en el apartado dedicado al deber de informaci?n), puede referirse que el mismo ser? utilizado en sectores de actividad determinados, deber? huirse de las referencias a finalidades indeterminadas (como por ejemplo, actividad comercial, actividad publicitaria, etc).

    En definitiva la apreciaci?n o no de la determinaci?n de una finalidad, puede depender de m?ltiples factores y al final incluso de criterios excesivamente subjetivos; lo que s? queremos destacar aqu? es que conviene que se hagan los mayores esfuerzos para determinar e identificar de la forma m?s concreta posible, la finalidad en un tratamiento de datos concretos. En el ?mbito de la publicidad y prospecci?n comercial, conviene por tanto informar, en las condiciones que veremos luego, que los datos personales ser?n utilizados para estas finalidades concretas, utilizando la f?rmula que de una forma m?s clara defina dicha finalidad.

  • Sean expl?citas: en segundo lugar es necesario que las finalidades sean identificadas de forma concreta y con car?cter general en el momento de la recopilaci?n de los datos. Este es un factor importante del deber de informaci?n al que haremos referencia m?s adelante en este mismo Cap?tulo y que viene a reforzar el requisito anterior.

  • Sean leg?timas: en el ?mbito que nos ocupa del tratamiento de datos con fines publicitarios, parece claro, con car?cter general, que la publicitaci?n de los productos y servicios, entrar?a dentro de las finalidades leg?timas de una organizaci?n empresarial, por lo que el uso de los datos con esta finalidad, siempre que se cumplan el resto de requisitos, podr?a ser considerada como leg?tima. Por tanto no es suficiente que la finalidad sea determinada y que se haya explicitado sino que resulta necesario adem?s, que dicha finalidad est? acorde con el objetivo general de quien recoge o trata los datos; as? entendiendo que entre las misiones de una organizaci?n empresarial suele o deber?a incluirse la promoci?n de sus productos y servicios, como una f?rmula para su crecimiento, podemos entender que dicha finalidad estar?a conforme con el objetivo general de dicha organizaci?n.

El principio de finalidad se completa con la redacci?n del p?rrafo segundo del art?culo 4 de la LOPD donde se establece que una vez los datos han sido recabados, estos no podr?n ser utilizados para ?finalidades incompatibles? a las que motivaron dicha recopilaci?n. El uso de la expresi?n ?finalidades incompatibles? no ha quedado exento de la pol?mica y discusi?n doctrinal, ya que en este punto la LOPD difiere en relaci?n a la anterior redacci?n de la derogada LORTAD, donde se indicaba que lo que se prohib?a era el uso de los datos con ?finalidades diferentes?. Esta modificaci?n parece dar a entender una mayor laxitud de la LOPD ya que es bien cierto que una finalidad puede ser distinta pero seguir siendo compatible con la finalidad que origin? la recopilaci?n de los datos. A pesar de esta obviedad basada en criterios m?s bien ling??sticos la jurisprudencia de la AN (Sentencias Secci?n 1?, de 11 de febrero de 2004 o 14 de junio de 2002), ha determinado que el uso de la expresi?n ?incompatible? debe interpretarse como si la normativa siguiera diciendo ?diferentes? y atribuye el uso de la primera expresi?n a un error en la traducci?n de la Directiva de Protecci?n de Datos, con el objetivo final de argumentar que una interpretaci?n literal del concepto ?incompatibles?, ampliar?a de forma injustificada el uso que puede realizarse de unos datos personales. As? y en resumen, resulta contrario a la ley cualquier uso de los datos personales con una finalidad distinta a la que motiv? su recopilaci?n. En el ?mbito del uso de datos con fines publicitarios, la AN, por ejemplo, ha considerado que el uso de los datos de tr?fico y facturaci?n por parte de una empresa de telefon?a para ofrecer servicios de otra con la que hab?a firmado un contrato de agencia, resulta incompatible con la finalidad inicial para la que se recogieron los datos (SAN, Secci?n 1?, de 11 de febrero de 2004) y por tanto, resulta contrario a la normativa.

1.2 Principio de proporcionalidad

Superado el examen del principio de finalidad y una vez esta ha sido identificada en la forma definida, entra en acci?n el segundo de los principios que integran el de calidad de los datos: el de proporcionalidad. En atenci?n a este principio ?nicamente podr?n recogerse y tratarse datos que sean adecuados, pertinentes y no excesivos, de acuerdo con una finalidad previamente establecida.

En relaci?n al principio de proporcionalidad el RLOPD no establece particularidades respecto el tratamiento de datos con fines publicitarios, en su art?culo 45.1 determina que ?s?lo podr?n utilizar nombres y direcciones u otros datos de car?cter personal?; as? en principio, no existe limitaci?n en relaci?n al tipo de datos que pueden utilizarse en acciones de marketing, siempre que se respete el principio general de proporcionalidad, de forma que los datos que se soliciten y traten, respondan a un criterio de ponderaci?n en relaci?n a la finalidad que se persigue.

Este principio por tanto hace referencia a la cantidad y tipolog?a de datos que pueden solicitarse y siempre deber? estar relacionado con la finalidad que pretende satisfacerse con la recogida de dichos datos. El cumplimiento de este requisito exige un esfuerzo de ponderaci?n en relaci?n a los datos que efectivamente se soliciten, obligando al responsable del fichero o del tratamiento a justificar con car?cter previo a la recogida de un dato concreto, que este cubre la finalidad o parte de la misma, para el que dicho dato es solicitado. En este sentido, reza el art?culo 4.1 los datos que podr?n solicitarse ser?n pertinentes, adecuados y no excesivos. Estos tres t?rminos, pr?cticamente sin?nimos en este caso, exigen como decimos, que quien recaba los datos realice un examen de la proporcionalidad de dichos datos en funci?n de la finalidad determinada, examen que deber? tratar de responder dos preguntas principales:

  • ?La recopilaci?n de los datos o de un dato concreto, resulta imprescindible para cumplir con la finalidad propuesta?

  • ?Podr?a conseguirse la misma finalidad recopilando menor cantidad de datos?

Una respuesta negativa a la primera pregunta o afirmativa a la segunda, deben hacernos sospechar que probablemente no estamos cumpliendo con el principio de proporcionalidad por lo que resultar?a necesario replantearse la cantidad y el tipo de datos que pretendemos recopilar.

Ponemos punto y seguido aqu? al principio general de calidad de los datos; este, como se ha dicho, es uno de los fundamentos del derecho a la protecci?n de datos y debe observarse por quien pretenda su recopilaci?n y/o tratamiento; evidentemente quienes procedan al tratamiento de datos con fines publicitarios resultan igualmente obligados al cumplimiento de estos requisitos generales, con las particularidades que iremos desglosando a lo largo de la Obra.

1.3 Infracciones y sanciones

Cerramos este apartado correspondiente al principio de calidad analizando el reflejo que el incumplimiento de este principio en el apartado de infracciones y sanciones de la LOPD (arts. 44 y 45).

  • El art?culo 44.3.b) tipifica como infracci?n grave (multa de 30.000 a 300.000 ?), la recogida de datos por parte de una entidad privada, con finalidades distintas de las que constituyen su objeto leg?timo.

  • El art?culo 44.3.d) define como infracci?n tambi?n grave el hecho de tratar datos personales con conculcaci?n de los principios recogidos en la LOPD, entre los que debemos a?adir, por supuesto, el de calidad (finalidad y proporcionalidad).

  • Por ?ltimo el art?culo 44.4.f) tipifica como infracci?n muy grave (multa de 300.001 a 600.000 ?) el tratamiento de datos personales con menosprecio a los principios aplicables, cuando con ello se impida o se atente contra el ejercicio de derechos fundamentales. Esta es un previsi?n un tanto extra?a del legislador ya que como hemos repetido, el derecho a la protecci?n de datos es un derecho fundamental por lo que cualquier menosprecio a sus principios atenta contra este tipo de derechos, result?ndonos dif?cil visualizar un caso en que esto no fuera as?.

2. Principio de consentimiento. Informaci?n al interesado

2.1 Principio de consentimiento

Abordamos en este punto el segundo de los principios fundamentales que rigen el tratamiento de datos personales: el principio del consentimiento. Este es un aspecto b?sico en relaci?n a cualquier tratamiento de datos personales y es que si, como hemos repetido anteriormente, el derecho a la protecci?n de datos consiste en la facultad de control y disposici?n sobre los propios datos, este se concreta en ?(?) la facultad de consentir la recogida, la obtenci?n y el acceso a los datos personales, su posterior almacenamiento y tratamiento, as? como sus usos posibles (?)? (STC 292/2000).

En este punto trascendental nos detendremos en los criterios generales que rigen en relaci?n al consentimiento, haciendo breves referencias a las particularidades del tratamiento de datos con fines publicitarios; posteriormente, en el Cap?tulo 4 abordaremos de forma m?s concreta dichas particularidades.

Como criterio general podemos establecer que cualquier tipo de tratamiento de datos exigir? el consentimiento de la persona afectada, salvo que la ley disponga lo contrario. Esta importante regla queda consagrada en el art?culo 6 de la LOPD: ?El tratamiento de los datos de car?cter personal requerir? el consentimiento inequ?voco del afectado, salvo que la ley disponga otra cosa?. Esta previsi?n se completa con la definici?n de consentimiento establecida en el art?culo 3 i) de la propia LOPD: ?toda manifestaci?n de voluntad, libre, inequ?voca, espec?fica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.? Procedemos a continuaci?n a analizar los rasgos que caracterizan esta regla general.

Caracter?sticas del consentimiento

A continuaci?n desglosaremos las caracter?sticas b?sicas de las que debe gozar todo consentimiento para estar acorde con la LOPD para, posteriormente abordar cuatro casos concretos comunes en el tratamiento de datos para fines publicitarios en relaci?n a la forma de otorgar el consentimiento: el env?o de comunicaciones comerciales electr?nicas, la obtenci?n del consentimiento para fines no relacionados con la finalidad principal, la forma de obtener el consentimiento en una web y el caso de los menores.

A. Consentimiento inequ?voco:

La primera caracter?stica que debe tener el consentimiento es que este debe ser ?inequ?voco?. Esto implica que el responsable del fichero o del tratamiento (quien promueve la recogida datos) debe estar en disposici?n de demostrar (tiene la carga de la prueba) que el interesado ha dado dicho consentimiento. Evidentemente la f?rmula que puede demostrar, sin lugar a dudas, el otorgamiento del consentimiento no es otra que el consentimiento expreso o firmado, sin embargo no debemos confundir la expresi?n ?consentimiento inequ?voco? por ?expreso o firmado?, ya que la LOPD ?nicamente prev? la necesidad de otorgar el consentimiento en este modo, en relaci?n a una tipolog?a de datos que requieren mayor protecci?n (por ejemplo, datos de salud), por lo que es necesario se?alar que un consentimiento de tipo t?cito puede ser considerado como inequ?voco. A los efectos de aclarar cu?l es la mejor f?rmula para solicitar un consentimiento t?cito ha venido a clarificar conceptos el art?culo 14 RLOPD que establece que, en los casos que no sea necesario el consentimiento expreso, ser? posible que el responsable del fichero o el tratamiento, informe al afectado que proceder? a un tratamiento concreto de sus datos si en el plazo de 30 d?as no ha indicado lo contrario. Esta es una novedad importante, as? cuando no sea exigible un consentimiento expreso, ser? aplicable el procedimiento recientemente descrito.

Cuatro supuestos concretos:

a) Consentimiento para el env?o de comunicaciones comerciales electr?nicas.

Nos detenemos en este punto en un tratamiento de datos muy concreto que exige un consentimiento espec?fico y que tiene especial relevancia en el campo del marketing (especialmente online). Nos estamos refiriendo al env?o de comunicaciones comerciales electr?nicas (correos electr?nicos publicitarios), regulados por la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la informaci?n y de comercio electr?nico (en adelante, ?LSSICE?) y que en su art?culo 21 establece que ?Queda prohibido el env?o de comunicaciones publicitarias o promocionales por correo electr?nico u otro medio de comunicaci?n electr?nica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas?. En el Cap?tulo 5 profundizaremos en este importante requisito as? como sobre sus excepciones, aqu? ?nicamente queremos subrayar que:

  • El env?o de comunicaciones comerciales electr?nicas exigir?, salvo las excepciones que veremos, el consentimiento expreso del destinario de la misma; es por esto que el procedimiento para recabar el consentimiento t?cito previsto en el art?culo 14 RLOPD, no es aplicable a este tipo de tratamiento de datos.

  • Los beneficiarios del derecho consentir expresamente el env?o de comunicaciones comerciales electr?nicas, son tanto las personas f?sicas como las jur?dicas; por lo que no se puede alegar, en justificaci?n de un eventual incumplimiento de este requisito, que el destinatario del env?o no era una persona f?sica y por tanto no se estaban tratando datos personales.

b) Obtenci?n del consentimiento para finalidades distintas a la relaci?n contractual.

El art?culo 15 RLOPD introduce una novedad importante y que puede afectar de forma muy directa al tratamiento de datos con finalidades publicitarias. El citado precepto establece: ?Si el responsable del tratamiento solicitase el consentimiento del afectado durante el proceso de formaci?n de un contrato para finalidades que no guarden relaci?n directa con el mantenimiento, desarrollo o control de la relaci?n contractual, deber? permitir al afectado que manifieste expresamente su negativa al tratamiento o comunicaci?n de datos. En particular, se entender? cumplido tal deber cuando se permita al afectado la marcaci?n de una casilla claramente visible y que no se encuentre ya marcada en el documento que se le entregue para la celebraci?n del contrato o se establezca un procedimiento equivalente que le permita manifestar su negativa al tratamiento.?

Este art?culo, de redacci?n a nuestro juicio, claramente mejorable, regula los supuestos en que durante el procedimiento de contrataci?n de un servicio o de adquisici?n de un producto, el responsable del fichero o del tratamiento, pretende utilizar los datos m?s all? de las finalidades b?sicas de mantener la relaci?n contractual que se est? estableciendo. As? este supuesto incluir?a por ejemplo, el caso en que quien recoja los datos para prestar un servicio o vender un producto, pretenda utilizar los mismos datos con finalidades publicitarias; con la redacci?n de este art?culo este tratamiento ?secundario?, ser?a posible siempre que se diera la posibilidad al titular del dato a manifestar su negativa a dicho tratamiento, marcando una casilla que exprese dicha negativa.

Sin querer avanzarnos al siguiente Cap?tulo, en este punto ?nicamente se?alaremos que este procedimiento resultar?a indicado, tanto en el entorno offline como online, para ofrecer a los titulares de datos que contratan un servicio o adquieren un producto, a que manifiesten su negativa al tratamiento de datos con finalidades publicitarias.

c) Obtenci?n del consentimiento mediante una web.

Los Informes Jur?dicos de la AEPD 398/2008 y 93/2008, abordan un tema que resulta de especial inter?s desde el punto de vista pr?ctico y es que es muy com?n que en la recopilaci?n de datos a trav?s de una web (especialmente a trav?s de formularios), posteriormente sea dif?cil demostrar que el afectado ha dado el consentimiento para el tratamiento de sus datos puesto que normalmente es t?cnicamente posible completar un registro sin acceder a la informaci?n que solicita el consentimiento. As? la AEPD establece que ?este (el consentimiento informado) habr? de recabarse de tal forma que resulte imposible la introducci?n de dato alguno sin que previamente el afectado haya conocido la advertencia que contenga las menciones a las que nos hemos referido, pudiendo servir como prueba del consentimiento la acreditaci?n de que el programa impide introducir los datos sin antes haber aceptado el aviso legal al que hemos hecho referencia. Todo ello tiene por objeto asegurar que el consentimiento de los afectados sea efectivamente espec?fico e inequ?voco tal y como exige la Ley."

Esta opini?n de la AEPD otorga elementos de claridad a los responsables de ficheros y tratamientos que obtienen datos a trav?s de sus p?ginas web. Es por tanto recomendable que en los formularios web de recogida de datos, lejos de incluir un aviso legal en los m?rgenes que pocas veces se abre y casi nunca se lee, en el proceso de recopilaci?n de datos y antes de su env?o, el usuario deba aceptar expresamente la pol?tica de protecci?n de datos de la web, la no aceptaci?n de dicha pol?tica deber?a impedir de forma t?cnica, el env?o de los datos al responsable del fichero o el tratamiento.

Consultar el Informe Jur?dico de la AEPD 93/2008.

Consultar el Informe Jur?dico de la AEPD 398/2008.

Estos dos informes pueden ser completados con el Informe Jur?dico 300/2009, donde la AEPD declara la validez del consentimiento manifestado mediante un click en una pesta?a de ?acepto las condiciones?. En este mismo informe se incluye otra cuesti?n importante y es que se obliga a quien recoge los datos, a que en un ?nico texto incluya toda la informaci?n relativa a la pol?tica de protecci?n de datos, evitando la multiplicidad de enlaces y textos que hacen para el titular de los datos muy dif?cil, el conocer que es lo que realmente consiente mediante la entrega de sus datos.

d) Menores de edad.

Otro aspecto que cada vez toma mayor importancia es la forma de recabar el consentimiento en el caso de menores de edad, especialmente en el caso de Internet donde esos son sus mayores usuarios. Tras una serie de conflictos, originados por qu? la LOPD no regul? este tema y que fueron resueltos por las opiniones de la AEPD, disponemos ya del art?culo 13 del RLOPD donde se establece que el tratamiento de datos 14 a?os deber? hacerse mediante el consentimiento de sus padres o tutores legales. Para completar esta previsi?n se establecen tres requisitos adicionales en relaci?n a la forma en que debe recabarse dicho consentimiento:

  • En ning?n caso podr? utilizarse al menor para recabar informaci?n sobre otros miembros de su familia como los datos relativos a la actividad profesional de los progenitores, informaci?n econ?mica, datos sociol?gicos o cualesquiera otros, sin el consentimiento de los titulares de tales datos. No obstante, podr?n recabarse los datos de identidad y direcci?n del padre, madre o tutor con la ?nica finalidad de recabar la autorizaci?n prevista en el apartado anterior.

  • La informaci?n dirigida a los mismos deber? expresarse en un lenguaje que sea f?cilmente comprensible por aqu?llos, con expresa indicaci?n de lo dispuesto en este art?culo.

  • Corresponder? al responsable del fichero o tratamiento articular los procedimientos que garanticen que se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado en su caso, por los padres, tutores o representantes legales.

El tema del tratamiento de datos de menores de 14 a?os no es algo menor, pues cada vez existen m?s productos y servicios (especialmente en la Red), dirigidos a este p?blico objetivo. Este aumento de los productos y servicios para menores lamentablemente no viene unida a un desarrollo de sistemas efectivos que permitan acreditar telem?ticamente la edad de la persona, por lo que el cumplimiento efectivo de los requisitos del art?culo 13 RLOPD, especialmente en el mundo online, a?n requiere demasiados tr?mites que entorpecen enormemente el procedimiento de recopilaci?n de datos del menor.

B. Consentimiento informado.

La segunda caracter?stica b?sica de la que debe gozar el consentimiento adem?s de ser inequ?voco, es que sea informado. Aqu? no nos entretendremos mucho ya que el siguiente principio que pretendemos analizar es el del deber de informaci?n, ?nicamente se?alar que para que un consentimiento pueda ser considerado v?lido a los efectos de la normativa vigente, el afectado debe haber dispuesto de la informaci?n necesaria respecto a los usos que pretende realizarse de sus datos, a efectos que conozca de antemano las consecuencias concretas que implica el otorgamiento de su consentimiento. A continuaci?n abordamos cu?l es la informaci?n concreta que debe facilitarse.

C. Consentimiento revocable

El ?ltimo de los rasgos definitorios del consentimiento es un revocabilidad establecida tanto por la LOPD en su art?culo 6.3 como en el RLOPD, art?culo 17, de ambos preceptos puede deducirse que:

  • El procedimiento para revocar el consentimiento debe ser sencillo, gratuito y que no implique un ingreso para el responsable del fichero o el tratamiento.

  • La exigencia de que exista una causa justificada, incluida en el art?culo 6.3 LOPD no debe suponer un obst?culo a la revocaci?n del consentimiento, pues si la otorgaci?n del consentimiento se basa, en la mayor?a de casos, en la manifestaci?n de voluntad del interesado, su revocaci?n deber?a estar fundamentada en lo mismo.

  • El consentimiento no tendr?, como no pod?a ser de otra forma, car?cter retroactivo.

  • Una vez revocado el consentimiento, el responsable del fichero o tratamiento cesar? en el tratamiento o uso de los datos en un plazo m?ximo de 10 d?as, dentro de este mismo plazo deber? comunicar a eventuales cesionarios de los datos, sobre la manifestaci?n de revocaci?n del consentimiento para que dicho cesionarios cesen a su vez en el tratamiento de los datos.

Concluimos este apartado con una nueva menci?n a la LSSICE donde se regula, en su art?culo 22.1, el derecho a que quienes hayan otorgado su consentimiento para recibir comunicaciones comerciales electr?nicas, puedan revocarlo. Este derecho no es m?s que un traslado al mundo telem?tico del derecho gen?rico reconocido por la LOPD y el RLOPD.

2.2 Deber de informaci?n.

Iniciamos en este punto, con el tratamiento del deber de informaci?n, un tema clave en relaci?n a qu? caracter?sticas debe tener el consentimiento para que re?na los requisitos necesarios para ser considerado v?lido. Volvemos al inicio de este punto a hacer una nueva referencia a la esencial STC 292/2000, donde establece ?(?) es evidente que el interesado debe ser informado (?) pues s?lo as? ser? eficaz su derecho de consentir, en cuanto facultad esencial de su derecho a controlar y disponer de sus datos personales.?. Con la instauraci?n de este principio recogido en el art?culo 5 de la LOPD, se cierra de alguna forma el c?rculo a los efectos que el derecho a que uno dispone a disponer y a controlar sus propios datos, sea efectivo. Este, como decimos, es uno de los derechos b?sicos del titular de datos, el derecho a conocer de antemano, qu? uso se prev? de sus datos, este derecho supone evidentemente, una carga para quien recabe dichos datos, por eso, derecho y deber, son en este caso, como en tantos otros, la cara de una misma moneda.

Caracter?sticas b?sicas del derecho/deber de informaci?n:

  • El derecho a ser informado o el deber de otorgar dicha informaci?n, es un paso previo al consentimiento; efectivamente no tendr?a validez un consentimiento si antes no se informa al titular de los datos de los aspectos que definen dicho consentimiento.

  • A diferencia del principio de consentimiento que como hemos visto, acepta excepciones (por ejemplo cuando la entrega de datos se establece en una ley), no existen excepciones al deber de informar del uso de los datos. Cuando se recaben datos, siempre debe informarse de los extremos que a continuaci?n analizaremos, con independencia de si el consentimiento es o no exigible.

  • La importancia b?sica del derecho a ser informado es que es el pilar esencial para el ejercicio de otros derechos inherentes al titular de los datos; sin cierta informaci?n previa, el ejercicio de dichos derechos deviene imposible.

El art?culo 5 de la LOPD recoge, como hemos dicho, el derecho de informaci?n en la recogida de datos, diferenciando dos supuestos posibles:

1. Informaci?n a facilitar cuando los datos son recabados directamente del interesado: art?culo 5.1, 5.2 y 5.3.

  1. De la existencia de un fichero o tratamiento de datos de car?cter personal, de la finalidad de la recogida de ?stos y de los destinatarios de la informaci?n.

  2. Del car?cter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

  3. De las consecuencias de la obtenci?n de los datos o de la negativa a suministrarlos.

  4. De la posibilidad de ejercitar los derechos de acceso, rectificaci?n, cancelaci?n y oposici?n.

  5. De la identidad y direcci?n del responsable del tratamiento o, en su caso, de su representante.

Los ?nicos puntos sobre los que es necesario informar en todo caso es del primero y ?ltimo del listado expuesto; los otros tres resultan prescindibles si la informaci?n se deduce claramente de los datos que se solicitan o de las circunstancias en que se recopilan.

En relaci?n a la forma de facilitar la informaci?n, el art?culo 5.2 LOPD establece que esta deber? facilitarse en cualquier cuestionario de recogida de datos, esto implica, como no podr?a ser de otra forma, que la informaci?n se facilitar? al momento de entregar los datos, es decir de cumplimentar el cuestionario. En este punto cabe tener en consideraci?n lo se?alado anteriormente para el caso de la recogida de datos mediante web, en relaci?n al otorgamiento del consentimiento.

2. Informaci?n a facilitar cuando los datos no son recabados directamente del interesado: art?culo 5.4 y 5.5.

La LOPD tambi?n obliga a la informaci?n en el caso que los datos no hayan sido entregados por el interesado; as? en este supuesto, quien recabe los datos para su tratamiento, deber? informar a su titular, de forma expresa, precisa e inequ?voca, en un plazo de tres meses des del momento de registro de los datos de:

  • El contenido del tratamiento.

  • De la procedencia de los datos.

  • De la finalidad del tratamiento y los destinatarios de los datos.

  • De la posibilidad de ejercitar los derechos de acceso, rectificaci?n, cancelaci?n y oposici?n.

  • De la identidad y direcci?n del responsable del tratamiento.

El supuesto de tratamiento de datos no entregados por el titular de los mismos, resulta un caso com?n en el mundo del marketing, especialmente en las empresas que se dedican al marketing directo; en este sentido la AEPD ha manifestado la necesidad que dichas empresas informen a los titulares de los datos, sobre la procedencia de los mismos. Cuando analicemos de forma m?s concreta el tratamiento de datos con fines publicitarios, volveremos a abordar este tema; a este nivel ?nicamente se?alar que esta obligaci?n es consecuencia del segundo p?rrafo del art?culo 5.5 donde se faculta a quienes se dediquen a la actividad de publicidad y promoci?n comercial, a no informar dentro de estos tres meses siempre que los datos se hayan obtenido de fuentes accesibles al p?blico y en cada comunicaci?n se informe:

  • Origen de los datos (como hemos dicho).

  • Identidad del responsable.

  • Derechos que asisten al titular de los datos.

Consultar Informe AEPD 347/2009.

2.3 Infracciones y sanciones.

a) Infracciones y sanciones relativas al consentimiento.

- La recopilaci?n de datos sin el consentimiento del afectado (cuando no sea exigible un consentimiento expreso), puede ser considerada como una infracci?n grave en tanto que podr?a suponer tratar o usar datos con conculcaci?n de los principios y garant?as de la ley. Sanci?n grave de 30.001 a 300.000 ?.

- Relacionado tambi?n con el consentimiento la AEPD tiene competencias para sancionar los incumplimientos en materia de comunicaciones comerciales electr?nicas reguladas por la LSSICE, as?:

  1. Ser?n consideradas infracciones graves (multa de 30.001 a 150.000 ?), el env?o de tres o m?s comunicaciones comerciales electr?nicas sin cumplir los requisitos legales durante el plazo de un a?o y el incumplimiento del procedimiento de revocaci?n del consentimiento.

  2. Son consideradas infracciones leves (multa hasta 30.000 ?), el env?o de comunicaciones comerciales electr?nicas no solicitadas, siempre que no estemos ante una infracci?n grave y la ausencia de procedimientos para revocar el consentimiento.

b) Infracciones y sanciones relativas a la informaci?n.

- El incumplimiento del deber de informaci?n cuando los datos son entregados por el propio afectado, supone una infracci?n leve de la ley. Sanci?n igualmente leve de 600 a 30.000 ?.

- El incumplimiento del deber de informaci?n cuando los datos no son entregados por su titular, supone una infracci?n grave. Sanci?n grave de 30.001 a 300.000 ?.

3. Derechos de los afectados: acceso, rectificaci?n, cancelaci?n y oposici?n.

Nos adentramos en este ?ltimo punto del Cap?tulo, en los derechos que asisten a los titulares de los datos una vez estos ya han sido entregados y ya son tratados por responsables de ficheros y tratamiento; estos derechos, podemos decir, son posteriores a los estudiados hasta el momento ya que, como decimos, son ejercidos cuando el titular de los datos ha otorgado su consentimiento para que estos sean tratados. Los derechos que a continuaci?n veremos, deben ser observados ante cualquier tipo de tratamiento y tambi?n, por tanto, en aquellos con finalidades publicitarias y promocionales; el apartado del RLOPD que regula el tratamiento de datos con estas finalidades se remite, de forma expresa, a la regulaci?n general de los derechos de acceso, rectificaci?n y cancelaci?n, tambi?n incluida en el citado Reglamento. Por ?ltimo el derecho de oposici?n, si que goza de ciertas especialidades en el marco del tratamiento de datos con finalidades publicitarias.

3.1 Caracter?sticas comunes a todos los derechos.

En primer lugar es necesario destacar que los derechos de acceso, rectificaci?n, cancelaci?n y oposici?n son personal?simos, de forma que ?nicamente podr?n ser ejercidos, con car?cter general, por el titular de los datos. El RLOPD tambi?n prev? la posibilidad de ejercer el derecho por un representante en caso de personas incapaces o menores de edad (se entiende de 14 a?os), as? como la representaci?n voluntaria acreditando debidamente dicha representaci?n.

En relaci?n a la forma de conceder el ejercicio cabe destacar que el legislador se ha decantado por garantizar al m?ximo el derecho de los afectados mediante la libertad de forma, d?ndole las mayores facilidades para que su petici?n sea atendida, as? el responsable del fichero o del tratamiento deber? ofrecer medios sencillos y gratuitos, garantizando el ejercicio del derecho aunque el afectado no haya utilizado los medios facilitados por el responsable del fichero o del tratamiento, siempre que el medio escogido por el afectado pueda acreditar el env?o y la recepci?n de la solicitud. En cualquier caso y siempre que la petici?n re?na unas caracter?sticas m?nimas, esta deber? ser atendida y en caso de que no se cumplan dichos requisitos m?nimos el responsable del fichero o el tratamiento as? deber?a comunicarlo al afectado para que subsane su error. El art?culo 25 RLOPD recoge las caracter?sticas b?sicas sobre el procedimiento para ejercer dichos derechos.

3.2 Derecho a acceso (art. 15 LOPD y 27 a 30 RLOPD).

Ver modelo del derecho de acceso

Este derecho concede al afectado la posibilidad de conocer si sus datos est?n siendo tratados, la finalidad de dicho tratamiento, el origen de los datos, as? como las comunicaciones a terceros de dichos datos. La ?nica limitaci?n a este derecho es que ?nicamente puede ser ejercido por el titular de los datos (salvo representaci?n acreditada) y en intervalos no inferiores a 12 meses (salvo acreditar un inter?s leg?timo).

Como todo derecho, este implica la asunci?n de una nueva carga para quien recaba los datos, que tendr? las siguientes obligaciones:

  • Deber? contestar la solicitud en el plazo m?ximo de un mes desde su recepci?n, dentro de este mismo plazo deber? comunicar al interesado en el caso que no disponga de datos sobre el mismo. Transcurrido este per?odo sin respuesta, el interesado o afectado podr? interponer ante la AEPD el inicio de un procedimiento de tutela de derechos al que haremos referencia m?s adelante.

  • La informaci?n se facilitar? de modo legible e inteligible, sin utilizar claves o c?digos que impliquen el uso de dispositivos mec?nicos espec?ficos.

  • La respuesta a la solicitud no depender? del procedimiento en que esta se haya realizado, siempre que, como se ha dicho anteriormente, se pueda acreditar el env?o y recepci?n de la misma y la solicitud goce de las caracter?sticas del art?culo 25.1 RLOPD.

3.3 Derechos de rectificaci?n y cancelaci?n (art. 16 LOPD y 31 a 33 RLOPD).

Ver modelo derecho rectificaci?n.

Ver modelo derecho cancelaci?n.

La rectificaci?n y la cancelaci?n de los datos son derechos ?ntimamente relacionados con el principio de calidad de los datos, puesto que ambos est?n dirigidos a que los responsables de ficheros y tratamientos utilicen datos actualizados y que respondan a la realidad de cada momento del afectado. Ambos derechos, como en el caso del de acceso, implican una serie de obligaciones para quien trata los datos:

  • Debe garantizarse el ejercicio del derecho de cancelaci?n sobre cualquier tipo de datos, no ?nicamente sobre los inexactos o desactualizados. En otras palabras el titular de los datos, de la misma forma que tiene reconocido el derecho a revocar el consentimiento, podr? cancelar sus datos sin que medie necesidad de justificar su solicitud.

  • El responsable del fichero o el tratamiento deber? dar respuesta al ejercicio de ambos derechos en el plazo de diez d?as h?biles a contar des del d?a siguiente a la recepci?n de la solicitud; en este mismo plazo deber? informar sobre la rectificaci?n o cancelaci?n a los eventuales cesionarios del dato del afectado.

  • La cancelaci?n del dato dar? lugar a su bloqueo, de forma que dicho dato ser? mantenido en los ficheros del responsable pero de forma que sea t?cnicamente imposible su tratamiento, el dato en cuesti?n ser? congelado o aislado. Este estado se mantendr? durante el per?odo de prescripci?n m?ximo de las eventuales responsabilidades de quien trata los datos (tres a?os), una vez transcurrido este tiempo el dato ser? definitivamente suprimido, salvo que no exista una ley que obligue a un tiempo superior de retenci?n de dicho dato.

3.4. Derecho de oposici?n (art. 6.4 LOPD y 34 a 36 RLOPD)

El de oposici?n es el derecho de que dispone cualquier persona cuyos datos son tratados sin su consentimiento, por mediar alguna de las excepciones legales, a negarse o a oponerse a dicho tratamiento. El procedimiento mantiene las caracter?sticas definitorias del previsto para los derechos de rectificaci?n o cancelaci?n, otorgando al responsable del fichero o tratamiento un plazo de diez d?as para otorgarle o denegarle motivadamente su solicitud, primando la libertad de forma en el ejercicio del derecho.

Este es un derecho que, como hemos dicho, tiene implicaciones pr?cticas en el ?mbito del tratamiento de datos con fines publicitarios o promocionales. As? tanto el art?culo 30.4 de la LOPD como el 51 del RLOPD reconocen de forma expl?cita este derecho en ?ste sector. Esto es as? ya que una fuente habitual para el tratamiento de datos con fines publicitarios, son las fuentes accesibles al p?blico, que luego definiremos, hecho que implica que esos datos puedan ser tratados sin el consentimiento de su titular (art. 6.2 LOPD), es por ello que era necesario prever este derecho para este supuesto concreto. En el Cap?tulo 4? volveremos a abordar este tema.

3.5 Tutela de derechos (art. 18 LOPD y 117 a 119 RLOPD)

La importancia que el legislador otorga a los derechos del titular del dato, queda plasmada en la existencia de un procedimiento espec?fico ante la AEPD para reclamar la obstrucci?n o denegaci?n, total o parcial de los mismos por parte del responsable del fichero o el tratamiento. Estamos hablando del procedimiento de tutela de derechos que goza de las siguientes caracter?sticas:

  • Debe ser incoado por el afectado en el caso que le sea denegado de forma total o parcial, alguno de los derechos de que dispone. Es importante se?alar que la falta de respuesta en plazo a la solicitud del interesado, es suficiente para incoar el procedimiento.

  • Este procedimiento no debe confundirse con el procedimiento sancionador. De hecho el inicio de este procedimiento no significa un impedimento para incoar un procedimiento sancionador.

  • El plazo m?ximo para que la AEPD resuelva es de seis meses a contar desde la fecha de entrada de la reclamaci?n.

  • Ante la resoluci?n de la AEPD los afectados pueden interponer, en el plazo de un mes, recurso de reposici?n ante la propia AEPD, que deber? ser resuelto por su Director en el plazo de un mes o dentro de los siguientes dos meses, reclamar en v?a judicial a trav?s del recurso contencioso administrativo.

3.6 Infracciones y sanciones

  • Es considerada una infracci?n leve (art. 44.2 a) LOPD), no atender por motivos formales la solicitud de rectificaci?n o cancelaci?n (multa de 600 a 30.000 ?).

  • Se considera una infracci?n grave (art. 44.3 e) LOPD) el impedimento u obstaculizaci?n de los derechos de acceso, rectificaci?n, cancelaci?n u oposici?n, as? como la negativa a facilitar la informaci?n solicitada (multa de 30.001 a 300.000 ?).

  • Por ?ltimo es considerada como una infracci?n muy grave (art. 44.4 h) LOPD) el hecho de no atender u obstaculizar de forma sistem?tica el ejercicio de los derechos (sanci?n de 300.001 a 600.000 ?).

V?ctor Rosell? Mallol.
Abogado. Especialista en Protecci?n de Datos.

Te recomendamos