Economía del Comercio Electrónico (G9)
Legislación de protección de datos y comercio electrónico
0. Introducción: Brazil (o qué es y para qué sirve el derecho de protección de datos)
Casi todas las cosas que has hecho hoy han sido registradas y almacenadas de algún modo. Si paseas por el centro de cualquier ciudada, tu imagen será grabada por cámaras de seguridad. Si empleas el teléfono móvil, tu operadora guardará –entre otros datos– el número al que llamas, la duración de la llamada e incluso, si tu móvil soporta la localización por satélite, el lugar desde el que la has hecho. Algo parecido ocurre si has visitado una página web, has encargado una pizza a domicilio o has ido al dentista. Pasarán más días, meses y años, y la cantidad de información sobre ti que ha quedado en manos de otras personas, lejos de tu control, será enorme. Pero claro, si quisieras mantener bajo tu control directo toda tu información personal tendrías que echarte al monte: no podrías votar, alquilar una película en el video-club, pagar la compra con tarjeta de crédito, apuntarte al paro, comprarte un coche o una casa y, por supuesto, tampoco podrías seguir esta asignatura. Siempre que realizas estas actividades, estás comunicando ‘tus datos personales’. Y no quiero decir que comuniques sólo tus datos estables o fijos, que casi nunca cambian (nombre, DNI, IP, ADN...), sino que todo lo que haces a lo largo de tu vida constituye ‘información’ que puede ser registrada. Hay quien se preocupa por ello. Y no poco.
Mucha gente piensa que el derecho de protección de datos trata de evitar que alguien sepa cosas sobre uno, pero no es así exactamente. El derecho de protección de datos no sólo trata de evitar que otras personas puedan saber cosas (de hecho, esa no es su función principal), sino sobre todo de regular quién, cómo y bajo qué condiciones puede procesar (recopilar, reelaborar y usar) aquella información que puede vincularse contigo, así como conceder a los ciudadanos ciertas facultades de control sobre sus datos. Una persona es siempre el único dueño o titular de sus datos personales, y es lógico que, si la sociedad moderna nos obliga a comunicar nuestros datos constantemente, esta misma sociedad articule algunas condiciones o garantías para evitar que el uso indebido de nuestros datos pueda afectarnos negativamente.
Habrás oído a menudo que la coalición de las nuevas tecnologías con los mecanismos de identificación y vigilancia puede configurar una sociedad en la que quien tenga la posibilidad legal o fáctica de acceder a los datos personales puede conocer lo esencial de lo que cada persona hace o deja de hacer. Bien, esto es casi una perogrullada. Pero ¿para qué se utiliza esta información, este conocimiento de lo que hacen las personas? Piensa que el conocimiento es poder, y el poder ya no se ejerce por la amenaza de la fuerza física, sino de un modo más sutil: mediante la apariencia de normalidad que ofrece el control de información (cuanto más conozco de ti más poder tengo sobre ti, y mejor aún si tú no lo sabes).
La razón última de la existencia del derecho de protección de datos es que nadie (ni el Estado ni la empresas privadas) debería poder tomar decisiones sobre ti, o que te afecten significativamente, a partir de tus datos personales. Desde luego, esta razón tiene que conciliarse con otras y, como veremos, a veces no está tan claro a quién beneficia o perjudica la legislación de protección de datos. A las decisiones que afectan a una persona y que se toman a partir de sus datos personales contenidos en una base de datos las llamamos decisiones individuales automatizadas. Estas decisiones son el mayor problema ‘práctico’ de la protección de datos personales (hay muchos otros problemas teóricos, éticos y políticos involucrados, pero no nos ocuparemos de ellos). Por si no has visto películas como Brazil o Minority Report, te pondré un ejemplo.
Imagina que vas a negociar una hipoteca a un banco. Lo primero que hará el empleado del banco será comprobar tu historial financiero accediendo a una base de datos sobre solvencia patrimonial y crédito, que a veces incluye también un fichero de morosos (los juristas lo llamamos fichero de incumplimiento de las obligaciones dinerarias). Esto seguramente ya lo sabías. Ahora bien, ¿sabes por qué están tus datos en ese fichero, o quién y con qué legitimidad los ha introducido? Probablemente tampoco sepas que cuando el empleado del banco consulta tus datos en ese fichero, al lado de tu nombre le aparece el número de veces y que ha sido comprobado tu historial crediticio (y qué bancos lo han hecho). Esto quiere decir que no te las puedes dar de listo, porque ya saben cuándo y con qué otros bancos has intentado negociar tu hipoteca. Después de repasar tu ‘expediente’, el banco le pondrá una ‘nota’. La mayoría de las veces no será el empleado quien lo haga, sino un programa de puntuación para el crédito (credit scoring). Es decir, el propio ordenador te dirá si te conceden el préstamo o no. Siempre que esta decisión se toma exclusivamente a partir del resultado del programa, te han sometido a una decisión individual automatizada. Vamos, que una máquina acaba de decidir que no te puedes comprar una casa. De por sí, esto ya es un poco insultante, pero ¿y si el fichero de morosos contenía datos inexactos? ¿y si después de pagar todas tus deudas nadie canceló tus datos?
Esto era sólo un ejemplo (bastante real). Pero te propongo algunos otros especialmente preocupantes. Un día intentarás conectarte a un buscador de Internet, pero no podrás hacerlo porque sus dueños lo han programado para que omita las conexiones que provienen de aquellos navegantes que, como tú, no visitan los banners publicitarios que financian el buscador. ¿Y cómo saben que no prestas atención a los anuncios o que no compras nada? Sencillamente, han acumulado y cruzado tus datos de tráfico y navegación. Bueno, dirás, esto no es tan grave. Pero un día no te darán un trabajo porque de tus datos personales se deriva que eres de izquierdas; que eres testigo de Jehová, o de origen árabe; que fumas; que eres homosexual o porque estas en una lista negra (blacklist) de trabajadores polémicos... En fin, te puedes consolar pensando que algunos de tus conciudadanos lo tienen aún peor. Los datos personales y sobre la conducta de los reclusos están también almacenados en un fichero informático. Y en la práctica (aunque por suerte el Reglamento penitenciario dice que deben tenerse en cuenta otros criterios) los permisos de salida de los presos podrían terminar decidiéndolos un ordenador si los encargados de la vigilancia penitenciaria no cumplieran escrupulosamente con la legislación. Y sucesivamente así, como decía el poema de Benedetti, tú mismo puedes imaginarte un sinnúmero de escenarios similares. Todos ellos me recuerdan demasiado a Brazil o Minority Report, aunque mucho antes que Gillian y Spielberg ya nos habían avisado Orwell (1984), Bradbury (Fahrenheit 451), Zamiatin (Nosotros) o Huxley (Un mundo feliz).
A pesar de su nombre, nuestra legislación de protección de datos protege, por lo tanto, a las personas (y sólo indirectamente a ‘los datos’). Desde luego, el concepto de dato personal es uno de los más importantes. El artículo 3 de la Ley Orgánica de Protección de Datos define un dato personal como cualquier información concerniente a una persona física identificada o identificable. La amplitud del concepto básico de la protección de datos se debe justamente a que, con las técnicas de proceso y cotejo de información, no existe ningún dato irrelevante, por inocuo que sea su contenido informativo intrínseco. Informaciones existentes acerca de una persona en lugares distantes y que pueden resultar, por sí mismas, irrelevantes, pueden ofrecer, sin embargo, reunidas en un momento y en un lugar, un perfil completo de la misma y sin que ella siquiera pueda sospecharlo. Es decir, datos personales pueden ser tu fotografía, imágenes de tu casa, un conjunto de letras o de números, los sonidos de tu voz, tus datos de conexión y facturación telefónica, tus huellas, tu números de teléfono, tu información genética o física, tus historia clínica, tus gustos culinarios y, desde luego, tu dirección de correo electrónico y el número IP de tu conexión ADSL o de tu móvil. Para que algo entre en la categoría jurídica de dato personal, basta con que sea ‘alguna’ información que pueda relacionarse contigo.
Ya sabemos lo que es un dato personal, pero ¿quiénes son los personajes del drama de la protección de datos? Esencialmente me voy a referir a tres: el titular de los datos, a quien la ley llama interesado o afectado (ciudadano, cliente, paciente, trabajador...), es aquella persona a la que se refiere la información o el dato personal. El responsable del fichero es quien procesa datos personales del titular (administración, empresario, hospital, empleador...). El derecho de protección de datos sólo se aplica a aquellos que procesan datos personales en el ámbito profesional o institucional (no se aplica, por ejemplo, a quien crea para fines meramente particulares una base de datos en la que figura información sobre sus antiguos novios, o sobre los amigos que no le han devuelto libros o discos y por tanto son casi ex-amigos). A veces, el responsable del fichero no lo gestiona directamente, sino que encarga a otros para que lo hagan por su cuenta (por ejemplo, la gestoría que lleva las cuestiones laborales de una empresa, o la compañía de transportes que hace los repartos de una tienda virtual). A estas otras personas se las denomina encargados del tratamiento. Veremos en seguida el entramado de obligaciones y derechos que entrelazan a estos personajes, pero me gustaría hacer un breve comentario antes de seguir avanzando.
función de la protección de datos
decisión individual automatizada
pedir una hipoteca
más ejemplos
concepto de dato personal
interesado
responsable
encargado
1. Ambivalencia de la protección de datos en el comercio electrónico
Sobre una empresa electrónica gravitan múltiples obligaciones y requisitos legales, que afectan a aspectos tributarios, contables, laborales, o a la publicidad y a las relaciones con el consumidor... ¡Y ahora, para colmo, protección de datos! Estas lecciones tratan de explicarte con más detalle la importancia del derecho de protección de datos para el comercio electrónico. Es probable que, como futuro empresario, tengas ya una idea formada respecto del derecho de protección de datos. Por eso, ya desde ahora quiero advertirte contra dos prejuicios. En general, puede decirse que pululan dos ideas elementales, compatibles entre sí, acerca de la relación entre protección de datos y comercio electrónico. De una parte, suele considerarse que la legislación de protección de datos supone un obstáculo para el desarrollo tecnológico y comercial. De otra, se piensa que el derecho a la protección de datos es un simple derecho de los consumidores, y que por tanto pueden establecerse negociaciones sobre él. Creo que ambas ideas son muy conflictivas. Personalmente, hace algún tiempo que intento difundir las razones por las que deberíamos sustituir una concepción de la protección de datos como obstáculo comercial y como un simple asunto del consumidor, por una concepción de la protección de datos como ventaja competitiva en el mercado y como derecho fundamental del ciudadano. En otras palabras, me gustaría ofrecer una visión de la protección de datos como algo que puede ayudar a mejorar las expectativas de éxito del negocio electrónico y que, al mismo tiempo, constituye un elemento indispensable para que podamos vivir en la sociedad de la información sin que la tecnología afecte negativamente a nuestra dignidad como personas. Para que yo pueda explicarte esta visión, lo primero que debes conocer es una síntesis de cómo está estructurado el sistema de protección de datos en España (y en, general, en toda la Unión Europea).
2. El modelo europeo de protección de datos
Nos guste o no (que sí nos gusta), pertenecemos a una cultura que considera que la dignidad humana es superior a otros valores, también importantes, pero de rango inferior, como la eficiencia económica y la eficacia administrativa. En Europa y en España, para evitar que la imparable informatización de la sociedad afecte a nuestra dignidad, el derecho a la protección de datos se ha construido como un derecho fundamental de la persona. Esto es lo que dice el el artículo 8 de la Carta de Derechos Fundamentales de la Unión Europea:
Toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan. Estos datos se tratarán de modo leal, para fines determinados y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación. El respeto de estas normas quedará sujeto al control de una autoridad independiente.
Esta categorización no es irrelevante: piensa que los derechos a la vida, la huelga, la libertad de expresión o la igualdad tienen tamben ese mismo rango. De ahí que la ley de protección de datos sea ‘orgánica’, y no ordinaria. En otros lugares del mundo (por ejemplo, en EE.UU. o en muchos países asiáticos), la protección de datos no tiene este rango fundamental y, por eso, lo que ellos llaman el derecho a la privacidad se subordina muchas veces a la libertad de transmitir información, a la libre empresa o a las facultades de vigilancia de la administración. Desde luego, que un derecho sea considerado fundamental no quiere decir que sea un derecho absoluto (no hay ningún derecho absoluto), pero tiene consecuencias muy importantes. Por ejemplo, cualquier ley sobre la materia debe respetar lo que los juristas llamamos el contenido esencial del derecho (así lo explica el Tribunal Constitucional); y, en caso de que surjan dudas en la interpretación de las normas que regulan la materia, se debe optar siempre por la interpretación menos restrictiva. Esto tiene su gracia, porque nuestra legislación, como veremos, deja abiertos muchos casos dudosos.
En mayor o menos grado, el derecho de protección de datos afecta a todos los ámbitos de la vida en que se manipule información personal, o sea, a prácticamente todos. Tiene pues un enfoque comprehensivo (porque el concepto de dato personal comprende cualquier información concerniente a la persona) y dinámico, porque regula cualquier operación de tratamiento de datos personales (recopilación, utilización, transmisión, revelación, conservación, cancelación). Las normas básicas de protección de datos están en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante, LOPD), que se aplica en principio a todos los tratamientos de datos personales (tanto en el sector público como en el privado). Además de esto, se han diseñado normas específicas de protección de datos que regulan determinados sectores (por ejemplo, los datos médicos y las telecomunicaciones).
Al igual que la Directiva europea en la que se inspira, la LOPD establece ciertos principios (o condiciones de licitud) que deben guiar el tratamiento de los datos, atribuye derechos concretos a los ciudadanos sobre sus datos personales, y regula los procedimientos para hacerlos valer (procedimientos de tutela) y las sanciones que pueden imponerse en caso de infracción. Cuidado: ¿sanciones?
Sí, sanciones. En el centro del sistema de protección de datos existe un órgano administrativo independiente, la Agencia de Protección de Datos (te recomiendo que visites su sitio web), encargada de velar por el cumplimiento de la legislación de protección de datos (y de imponer las sanciones). Una de las tareas destacadas de esta autoridad de control es la de mantener un registro público actualizado que permita acceder a los nombres de todos los responsables del tratamiento, y las características del mismo (por eso, todos los responsables del tratamiento han de notificar a las autoridades de control si están tratando datos personales). En esta lección volveremos sobre este tema en la parte 2, § 7. Durante sus casi diez años de vida, la Agencia de Protección de Datos (para abreviar, APD) ha impuesto sanciones por valor de mas de diez millones de euros. En 2003 se tramitaron casi 200 procedimientos sancionadores contra responsables de ficheros que supusieron sanciones por valor de más de un cuatro millones de euros. A lo mejor no te parece mucho dinero, pero el día en que la Agencia pueda pagar a 50 inspectores (ahora tiene 12), o se financie por un porcentaje de las sanciones impuestas (hoy todavía se financia con cargo a presupuestos del Estado), la caja será sin duda más cuantiosa.
Aunque nuestro sistema está basado en la regulación legal, existe también la posibilidad de que las instituciones públicas y, sobre todo, las privadas, se provean de normas propias (es decir, se autorregulen) sobre el tratamiento de los datos personales. Esta autorregulación social no es libre, sino que sólo puede servir para mejorar o especificar los contenidos generales de la ley a un sector concreto de actividad (a diferencia de lo que pasa en Estados Unidos, donde la autorregulación apenas tiene limitaciones). Por así decir, en nuestro sistema, la legislación define un marco de derecho obligatorio y mínimo dentro del cual, por ejemplo, una asociación de empresas dedicadas al comercio electrónico establece un conjunto de normas propias de protección de datos, esto es, crea un código de conducta o código tipo. Si quieres, puedes echar un vistazo al de la Asociación española de comercio electrónico: @ece (nota: se refiere a la LORTAD, que era la anterior ley de protección de datos).
El juego de todos estos elementos (derecho fundamental, autoridad de control, legislación y autorregulación) permite que la información sobre las personas pueda ser registrada y utilizada de forma que las nuevas tecnologías no amenacen su dignidad. Es decir, no se trata de impedir el tratamiento de datos personales, sino de fijar legalmente ciertas condiciones para ese tratamiento. La principal de estas condiciones se refiere a la posibilidad misma de recabar datos personales sobre alguien. Los datos sobre una persona sólo pueden tratarse en dos casos: cuando ésta ha consentido en ello o cuando exista una autorización legal para tratar la información personal sin el consentimiento de su titular. Por ahora, dejaremos de lado el caso de la autorización legal y nos centraremos en el consentimiento.
Derecho fundamental
Abarca casi todo
Principios, derechos, procedimientos
Agencia de protección de datos
Sanciones
Autorregulación
3.
El consentimiento (informado) y sus excepciones
El llamado principio del consentimiento es el elemento nuclear
del sistema de protección de datos español (y
europeo). Sin embargo, este principio tiene sus debilidades. El consentimiento
se puede ‘obtener’ de muchas formas, y muchas son también
las excepciones que ha previsto la ley. La mayoría de las excepciones
al consentimiento tienen que ver con el sector público, pero
los particulares pueden aprovecharse también de unas cuantas.
La asociaciones de marketing se encargaron durante el proceso de gestación
de la ley de asegurarse unos cuantos ‘privilegios’. Pero
no quiero ponerme polémico: dejemos la polémica para el
foro.
El principio de consentimiento implica que el ciudadano es el único que decide si sus datos personales se dan a conocer a una empresa o institución, o se hacen públicos. Él decide qué datos desea comunicar, y también cuándo, cómo y bajo qué condiciones los proporciona a otras personas. Esta es, al menos, la regla general: el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa (art. 6.1. LOPD). En términos negativos, se puede decir que el sistema de protección se basa en la prohibición del tratamiento salvo que el interesado lo haya consentido o salvo que la ley, pese a la oposición del interesado, autorice el tratamiento (me dirás que la prensa rosa no respeta esto, pero piensa que el derecho a la información también es un derecho fundamental que en ciertos casos puede tener ‘más peso’ que la intimidad o la protección de datos).
Uno puede ‘dar’ su consentimiento para el tratamiento de los datos personales de varias formas. Puede ser un consentimiento expreso (oral o escrito), presunto o tácito. Por ejemplo, para tratar algunos datos especialmente importantes, como las ideas religiosas o políticas, es necesario que el interesado dé su consentimiento expreso, es decir, que manifieste que consiente en el tratamiento de sus datos y, además, que lo haga por escrito. Esta es una manera de ofrecer una protección máxima a esos datos, o mejor dicho, a las personas a las que se refieren. A veces, basta con que el interesado consienta de manera expresa, aunque sólo sea verbalmente (por ejemplo, para tratar datos médicos o relativos al origen racial o la vida sexual). En otras ocasiones, el consentimiento puede presumirse (consentimiento presunto), esto es, deducirse del contexto y de la propia acción que realiza el interesado: por ejemplo, quien rellena el impreso para conseguir el carné de la biblioteca, ya sabe que sus datos van a ser almacenados en el ordenador para que pueda tomar libros en préstamo. Se presume que ‘consiente’ en que sus datos sean registrados, y no hace falta que diga expresamente que autoriza el tratamiento. En estos casos el consentimiento está implícito en la acción de rellenar el impreso y llevarlo a la ventanilla. Por último, existen supuestos en los que es suficiente lo que en derecho llamamos un consentimiento tácito: el titular no actúa en contra del tratamiento de sus datos y de este silencio se ‘presume’ que ha consentido en ello. Ahora el contenido de la voluntad no se deduce de un actuar positivo sino negativo (omisión o silencio), como cuando no te niegas expresamente al tratamiento de tus datos de facturación telefónica para fines de publicidad comercial (¿no le has dado la vuelta a la factura de Telefónica?).
Más vale tener de una u otra forma el consentimiento del interesado, porque 15 segundos de tratamiento de sus datos sin consentimiento cuestan 6000 euros.
Una delegada sindical denunció el pasado año la presencia de cámaras en la redacción del periódico Marca, alegando que recogen imágenes de la actividad de los trabajadores y que, posteriormente, se vuelcan en Internet, renovándose cada quince segundos automáticamente, sin que ningún trabajador haya sido consultado al respecto. Los representantes de la dirección del citado grupo señalaron que la finalidad de la instalación de la cámara era reflejar el movimiento y actividad de la redacción enriqueciendo la información ofrecida a través de Internet. También señalaron que el propio director de ‘Marca’ informó al Comité de Empresa del proyecto de instalar una cámara y que este informó a los empleados en una Asamblea General, dentro del apartado de ‘ruegos y preguntas’. Marca alegó que la instalación no puede considerarse como un tratamiento de carácter personal pues no concurre el requisito de ‘identificabilidad’ al no captar imágenes individualizadas. Asimismo, la empresa alegó que las imágenes se destruyen cada quince segundos sin almacenamiento posterior, por lo que no existe fichero. La Agencia de Protección de Datos impuso una multa de un 6000 € por infracción del artículo 6 de la LOPD. No obstante, la Agencia consideró que aunque este hecho supone un tratamiento de datos, no había intención de crear un fichero con los datos personales de los trabajadores, dado el escaso período de tiempo en que se conservan las imágenes, por lo que apreció una circunstancia atenuante (de otro modo, la infracción del artículo 6 de la citada ley está tipificada como grave y conlleva multas de entre 60000 y 300000 €).
Información
Más del 90% de los datos provienen directamente del propio interesado, y casi siempre se cuenta con su consentimiento. Lo que importa entonces es que ese consentimiento se forme válidamente. La LOPD ha previsto una serie de condiciones para la prestación válida del consentimiento (art. 3.h): el consentimiento se entiende como manifestación de voluntad libre, inequívoca, específica e informada. El requisito ‘informada’ da lugar al llamado derecho de información en la recogida de los datos que consagra el art. 5 LOPD. El derecho de información tiene especial importancia porque condiciona la validez del consentimiento (que debe ser informado), establece los límites al tratamiento (finalidad, necesidad) y permite el ejercicio de los derechos del interesado. Para que el consentimiento sea válido se requiere que los datos no se recaben por medios fraudulentos, desleales o ilícitos (principio de lealtad). Quien consienta en que sus datos sean tratados debe saber qué y para qué consiente. Todo consentimiento debe basarse en la información, si bien, en cuanto a ésta, la ley diferencia entre dos supuestos:
Si los datos son recabados del propio interesado, debe proporcionarse información previa e inequívoca sobre (1) la existencia y la finalidad del fichero de datos, así como de posibles cesiones de datos a terceros (2) si las respuestas (los datos) son obligatorias u optativas, (3) las consecuencias de que el interesado no proporciones los datos, (4) la posibilidad de ejercitar ciertos derechos, (5) la identidad y dirección del responsable del fichero. Se permite excluir la información (2), (3) y (4), si ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban (art. 5.3 LOPD). Toda esta información debe figurar en los cuestionarios e impresos de recogida de datos (¿Un ejemplo?).
Como te imaginarás, el mayor problema es resumir adecuadamente los extremos exigidos por la ley. Y hay que tener cuidado, porque si el responsable del tratamiento no emplea un formulario que contenga una cláusula de información adecuada, la prueba de que ha facilitado esta información le incumbe a él (recuerda que, en caso de duda, siempre prima el interés del titular de los datos): y si no prueba que facilitó la información, será sancionado. Como veremos en más adelante, en el caso de las páginas web basta con que se acredite que para ‘enviar’ sus datos el usuario ha tenido que leer esta información. Un buen ejemplo de tratamiento de datos sin información (y por tanto sin consentimiento) es el llamado tratamiento invisible de los datos personales, sobre el que también volveremos luego en la parte 3, § 12.
Si los datos no se recaban directamente del interesado, el responsable del tratamiento debe informar del contenido del tratamiento, la procedencia de los datos, y los extremos (1), (4) y (5), dentro de los tres meses siguientes al momento de registro de los datos. Cuando los datos se han obtenido de fuentes accesibles al público [en el § siguiente explico este concepto], y siempre que se destinan a la publicidad o promoción comercial, no es preciso comunicarlo al interesado en esos tres meses. Ahora bien, en cada comunicación que se dirija al interesado deberá informarse del origen de los datos (de qué fuente pública se obtuvieron) y de la identidad del responsable del tratamiento, así como de los derechos que le asisten (art. 5.5.2º LOPD). Si el responsable del fichero incumple algunas de estas obligaciones, el afectado podrá denunciar al responsable ante la Agencia de Protección de Datos.
Excepciones al consentimiento
Mientras la ley no diga otra cosa, sólo es posible tratar los datos sin el consentimiento del interesado en cuatro supuestos: 1) cuando se recojan para el ejercicio de las funciones propias de las administraciones públicas en el ámbito de sus competencias; 2) cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento [Esta excepción se aplica siempre, porque es difícil imaginar una relación de este tipo que no implique necesariamente el tratamiento de datos personales]; 3) cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del afectado; y, por último, 4) cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado. Me gustaría detenerme un poco en esta última excepción.
¿Qué es una fuente accesible al público? Fuentes accesibles al público son aquellos ficheros cuya consulta puede ser realizada por cualquier persona (sea gratis o previo pago). Pero no cualquier fuente de datos de acceso libre es una fuente accesible al público en sentido jurídico (que es lo que importa aquí). Tienen esta consideración, exclusivamente, el censo promocional, las guías telefónicas en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales (en cuanto a los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo). Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y Boletines oficiales y los medios de comunicación.
Hay muchos datos personales en las guías y directorios telefónicos, en páginas web personales, foros, cabeceras de mensajes electrónicos, publicaciones y prensa digitales, páginas institucionales... ¿Es Internet una fuente de acceso público? La respuesta es afirmativa: Internet es una fuente de acceso público en tanto que medio de comunicación (ex art. 3 LOPD). Lo cual no quiere decir que los datos de acceso público, ya estén en Internet o en alguna de esas otras fuentes, sean de libre e irrestricta utilización por cualquiera.
¿Se pueden recopilar y usar los datos ‘públicos’ para cualquier fin? Ni hablar. En principio, sólo se pueden usar para los fines para los que se publicaron. Ahora, bajo ciertas condiciones, sí se pueden utilizar para fines distintos. ¿Y cuáles son las ‘ciertas condiciones’? Básicamente, que no pueda considerarse que esos usos distintos son desproporcionados o lesionan los derechos del interesado (regla del equilibrio de intereses). Así, emplear los datos de las guías telefónicas para enviar publicidad lo consideramos lícito, pero recopilar direcciones de e-mail en un chat o en un foro para luego enviar correos comerciales ya no lo sería. ¿He dicho ‘fines’ distintos? En la ‘finalidad’ encontramos otra clave para entender el derecho de protección de datos.
Consentimiento
Tipos de consentimiento:
1) Expreso y escrito
2) Expreso
3) Presunto
4) Tácito
El caso 'Marca'
Derecho de información
Epígrafes relacionados: Parte III § 12 y, en especial, Parte III § 13
Datos obtenidos del propio interesado
Datos obtenidos de cesiones o fuentes públicas
Excepciones
Fuentes accesibles al público
¿Internet?
4. Finalidad, necesidad, exactitud
Los llamados principios del tratamiento de datos definen las pautas a las que debe atenerse el tratamiento de datos personales. Además del principio del consentimiento y del principio de lealtad, en estas lecciones trabajaremos esencialmente con estos tres:
Principio de finalidad o adecuación al fin
Los datos deben recogerse con fines explícitos y legítimos y emplearse de la misma forma. Junto al del consentimiento, el de finalidad es el principio más importante del sistema de protección de datos. Los datos de carácter personal no podrán usarse para finalidades incompatibles con aquellas para la que los datos hubieran sido recogidos (art. 4.2. LOPD). El principio de «finalidad» o «propósito» exige el uso de los datos personales únicamente cuando sea necesario para una finalidad específica. Es decir, sin un motivo legítimo, los datos personales no podrán utilizarse y el interesado conservará el anonimato. Este principio se denomina a veces «principio de minimización de los datos».
El adjetivo ‘incompatibles’ plantea, por su indeterminación, muchos problemas interpretativos. Es fácil saber cuándo una finalidad es distinta a aquella para la que se recogen los datos, pero ya no lo es tanto determinar su compatibilidad o incompatibilidad. Una interpretación sistemática de la Ley permite sustentar que el principio de finalidad ha de aplicarse en su forma estricta (por pertenecer al núcleo esencial del derecho a la protección de datos): no se pueden usar los datos personales para finalidades distintas de aquellas para las que fueron recogidos. Sin embargo, la consecuencia práctica de la aplicación estricta del principio (regla) de finalidad ha sido que la mayoría de los responsables de tratamiento y, en especial, los proveedores de servicios de Internet, elaboren abigarradas listas de ‘finalidades’ del tratamiento, lo que les permite cubrir cualesquiera usos. Lo puedes comprobar en esta política de privacidad.
Principio de necesidad
Los datos deberán ser necesarios, pertinentes y no excesivos con relación a los fines para los que se traten y, además, no pueden conservar durante un periodo superior al necesario para el cumplimiento de estos fines (a esto último se le llama también derecho al olvido). Por ejemplo si la finalidad de tu negocio es vender pizzas a domicilio sólo deberías recabar los datos que sean necesarios para cumplirla: los datos debe ser adecuados (nombre-dirección) y pertinentes (teléfono), pero no debes pedir otros datos irrelevantes para la finalidad y tampoco más datos de los necesarios (nivel de estudios, color de ojos, DNI). Además una vez que hayas entregado la pizza y te hayan pagado, deberías borrar los datos del cliente. Los datos solamente se pueden conservar durante el periodo justificado por la finalidad del tratamiento especificado y realizado (y normalmente, un poco más, porque la ley obliga a los responsables a conservar datos por motivos tributarios, laborales, de seguridad).
Principios de exactitud y actualización
Los datos almacenados en un fichero deben ser exactos y estar actualizados. Que se almacenen datos inexactos sobre uno puede causarnos problemas. A uno de los protagonistas de la película Brazil lo persiguen porque el ministerio de información ha registrado por error su nombre en vez del de un delincuente muy buscado. Y que no se actualicen puede ser igualmente desagradable: Si te inscriben en un registro de morosos, pero no cancelan tus datos cuando ya has pagado la deuda, estás listo. Para evitar estos perjuicios, la ley ‘obliga’ al responsable del fichero a velar por la exactitud, veracidad y actualidad de los datos. Pero además otorga al titular de los datos una serie de facultades o derechos para que él mismo pueda velar por el cumplimiento de estos principios.
Finalidad
Necesidad y derecho al olvido
Exactitud y actualización
Como he dicho, la función de la protección de datos es que todo ciudadano pueda saber quién dispone de sus datos personales, así como controlar su utilización. Para que esto sea posible nuestro sistema confiere a los ciudadanos ciertas facultades de control sobre sus datos, que se concretan en los siguientes derechos:
Derecho de acceso
Consiste en la facultad de recabar información de sus datos de carácter personal sometidos a tratamiento, el origen de los mismos y las cesiones o comunicaciones realizadas o que se prevean realizar. Este derecho tiene la función de que puedas conocer qué información sobre ti tiene una empresa o institución (mejor dicho, conocer toda la información que sobre ti tengan, incluidos los perfiles o reelaboraciones de la misma, y si no tienen ningún dato tuyo, han de contestarte también diciéndotelo).
¿Cómo ejercitar este derecho? Basta con que envíes una carta firmada (mejor si es certificada) al responsable del fichero, junto con una fotocopia del DNI y tus datos para que puedan contestarte. Si todo va bien, el responsable del fichero resolverá la petición de acceso en el plazo máximo de un mes a contar desde la recepción de la solicitud. El responsable del fichero deberá contestar la solicitud que se le dirija, con independencia de que figuren o no datos personales del afectado en sus ficheros. En el caso de que tu solicitud no reúna los requisitos necesarios (falta la fotocopia del DNI), el responsable del fichero te pedirá que subsanes el defecto. Si la contestación al derecho de acceso fuera estimatoria (tienen tus datos), el acceso se hará efectivo en el plazo de diez días (es decir, te informarán de qué datos tienen sobre ti). La información comprenderá los datos de base del afectado (los que rellenaste en el impreso) y los resultantes de cualquier elaboración o proceso de los mismos (un perfil, por ejemplo), así como el origen de los datos, las comunicaciones realizadas o que se prevean realizar y la especificación de los concretos usos y finalidades para los que se almacenaron los datos. En el caso de que los datos provengan de fuentes diversas, deberán especificarse las mismas e identificar la información que proviene de cada una de ellas.
¿Se puede alguien negar a este derecho? En el caso de los ficheros del sector privado sólo podrá denegarse el acceso cuando la solicitud sea llevada a cabo por persona distinta del afectado. En el caso de los ficheros de titularidad pública se podrá denegar en ciertos supuestos relacionados con la defensa del Estado, la seguridad pública, la protección de derechos y libertades de terceros, las necesidades de las investigaciones que se estén realizando por parte de los Cuerpos y Fuerzas de Seguridad o la hacienda pública (cuando se obstaculicen actuaciones administrativas para asegurar el cumplimiento de las obligaciones tributarias, o cuando el afectado esté siendo objeto de actuaciones inspectoras)
Derechos de rectificación y cancelación
Como hemos visto, el responsable del fichero tiene la obligación de mantener la exactitud de los datos. ¿Y si no lo hace? Para este caso, los derechos de rectificación y cancelación aseguran la facultad o capacidad del afectado por la que puede instar al responsable del fichero a cumplir con la obligación de mantener la exactitud de los datos, rectificando o cancelando los datos de carácter personal cuando resulten incompletos o inexactos, o bien sean inadecuados o excesivos, en su caso, o cuyo tratamiento no se ajuste a la Ley. Cuando los datos rectificados o cancelados hubieran sido cedidos previamente, el responsable del fichero deberá notificar la rectificación y cancelación efectuada al cesionario. No obstante, los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado.
Para ejercitar estos derechos, deberás hacer lo mismo que al ejercitar tu derecho de acceso, con una salvedad obvia: en la solicitud deben constar los datos que hay que cancelar o rectificar y el fichero o ficheros en que se encuentran. La solicitud de rectificación deberá indicar el dato que es erróneo y la corrección que debe realizarse. En algún caso, deberás acompañar la documentación que justifica la rectificación solicitada (por ejemplo, si tu nombre está mal escrito, basta con indicar que lo miren en la fotocopia del DNI). En cuanto a la solicitud de cancelación, deberás indicar que revocas el consentimiento otorgado para el tratamiento de tus datos (vaya, que los borren). En general, para que puedas revocar este consentimiento, la ley exige que haya justa causa. Nadie sabe todavía lo que es ‘justa causa’, así que habría que examinar caso por caso. Hay dos excepciones a esto: la revocación de tu consentimiento es libre, o sea, que puedes exigir que se cancelen tus datos, cuando figuren en un fichero usado para la publicidad comercial (en seguida te explico mejor el derecho de oposición); y también puedes revocar siempre el consentimiento que diste para que tus datos fueran cedidos a terceras personas (si lo has dado alguna vez para este fin, te aconsejo que lo revoques).
¿Qué debe hacer el responsable del fichero? La rectificación y/o cancelación se harán efectivas por el responsable del fichero dentro de los diez días siguientes al de la recepción de la solicitud. El responsable del fichero deberá contestar la solicitud que se le dirija y utilizar para ello cualquier medio que permita acreditar el envío y la recepción. Si los datos rectificados o cancelados hubieran sido cedidos previamente, el responsable del fichero deberá notificar la rectificación o cancelación efectuada al cesionario. Si el titular considera que no procede acceder a lo solicitado se lo comunicará motivadamente en el plazo de diez días. La cancelación dará lugar al bloqueo de los datos, que se conservarán únicamente a disposición de las Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento. Cumplido el citado plazo deberá procederse a la supresión. Si el responsable del fichero incumple algunas de estas obligaciones, el afectado podrá interponer la oportuna reclamación o denuncia ante la Agencia de Protección de Datos. No voy a repetir las excepciones (¿cuándo se pueden negar a rectificar o cancelar tus datos?), porque prácticamente son las mismas que las del derecho de acceso.
Derecho de oposición
En los casos en que no sea necesario el consentimiento del afectado para el tratamiento de los datos, por ejemplo, porque se obtienen de fuentes accesibles al público, puedes oponerte a su tratamiento. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos que te conciernen. El mejor ejemplo de este derecho de oposición es el de las llamadas ‘listas Robinson’. Gracias a estas listas puedes oponerte a que tus datos personales sean recopilados de fuentes de acceso publico para remitirte publicidad. Puedes usar el servicio de listas Robinson de la FECEMD. Los interesados tendrán derecho a oponerse, previa petición y sin gastos, al tratamiento de los datos que les conciernan, en cuyo caso serán dados de baja del tratamiento y se cancelarán las informaciones que sobre ellos figuren en aquél, a su simple solicitud. Hay otras posibilidades de ejercitar este derecho: tal vez la más conocida sea decirle a Telefónica que no incluya tus datos en la guía. Si no lo has hecho ya, puedes hacerlo enviándoles esta solicitud (aunque pronto no hará falta)
Derecho de impugnación
¿Y las decisiones individuales automatizadas? ¿No habíamos quedado en que eran la peor pesadilla de la protección de datos? Para oponerte a esas decisiones la ley te otorga el llamado derecho de impugnación: puedes impugnar todos los actos administrativos o decisiones privadas que impliquen una valoración de su comportamiento y cuyo único fundamento sea un tratamiento de datos de carácter personal que ofrezca una definición de sus características o personalidad. Este derecho no lo ejercita casi nadie. No me extraña: como la ley dice que son impugnables las decisiones ‘cuyo único fundamento’ sean los datos contenidos en el sistema informático, para escapar a la impugnación basta con emplear (o decir que se emplea) alguna otra información o criterio.
Tutela de los derechos
Las actuaciones contrarias a la ley pueden ser objeto de reclamación o denuncia ante la Agencia de Protección de Datos. El llamado procedimiento de tutela de derechos (art. 18 LOPD) garantiza el ejercicio efectivo de los derechos de acceso, rectificación, cancelación y oposición. El procedimiento puede iniciarse presentando este escrito de denuncia. Además, recuerda que los responsables de los ficheros están sujetos al régimen sancionador establecido en la LOPD (art. 48). Existe una serie de comportamientos que se califican como infracciones leves, graves y muy graves. El procedimiento sancionador se inicia siempre de oficio mediante acuerdo del Director de la Agencia de Protección de datos, bien por denuncia de un afectado o por propia iniciativa. Si el ciudadano sufre algún perjuicio derivado del incumplimiento de la LOPD, tiene un derecho de indemnización que puede hacer valer ante los tribunales o la administración (art. 19 LOPD)
Atención: relaciona este apartado con la Parte II § 7
Derecho de acceso
¿Cómo se ejercita?
Excepciones
Derechos de rectificación y cancelación
Revocacion del consentimiento
Derecho de oposición
Listas Robinson
Exclusión de la guía telefónica
Derecho de impugnación
Tutela de los derechos
No todos los datos personales son igual de importantes. Bajo la rúbrica ‘datos especialmente protegidos’ se refiere la LOPD a los datos usualmente llamados sensibles. Estos datos tienen un gran valor informativo específico (con independencia del contexto en el que se procesen), es decir, revelan información que consideramos importante, sobre todo porque su mala utilización puede acarrear efectos muy perjudiciales para la persona a la que se refiere.
Que un dato esté especialmente protegido tiene consecuencias, en general, en dos planos: el consentimiento y las medidas de seguridad. Y basta con que aparezca un solo dato especialmente protegido en un fichero para que éste deba tratarse con especial cuidado. Los datos especialmente protegidos se dividen, a su vez, en tres grupos.
Protección máxima
El artículo 16 de la Constitución garantiza el derecho fundamental a no declarar sobre la ideología, religión y creencias. En conexión con este artículo, la protección máxima se refleja en la necesidad de consentimiento expreso y por escrito para el tratamiento de datos que revelen ideología, afiliación sindical, religión y creencias. Se excepciona lógicamente el caso de los ficheros de partidos políticos, sindicatos o iglesias (art. 7.2 LOPD).
Protección especial (media)
Los datos que hagan referencia al origen racial, a la salud o a la vida sexual sólo podrán ser recabados, tratados o cedidos cuando lo disponga una ley (por razón de interés general) o el afectado consienta expresamente (art. 7.3 LOPD). Como te he dicho este consentimiento expreso puede ser oral. Al tratamiento de datos médicos y de salud, además de las normas de la LOPD, se le aplican determinadas reglas adicionales para agregarle un mayor grado de exigencia a la ley.
Como veremos más tarde (Parte 2, § 8) los ficheros que contengan este tipo de datos (de protección media y máxima) necesitan medidas de seguridad de nivel alto. No pienses que sólo en los hospitales o en las compañías de seguros tienen datos especialmente protegidos: si un día se te ocurre poner una sex-shop virtual, o una web con información médica, procesarás necesariamente datos sexuales o de salud.
Datos relativos a la comisión de infracciones penales o administrativas
Hay gente que ha estado en la cárcel, o que le han multado por poseer una pequeña dosis de cannabis. También las condenas de los jueces y las sanciones administrativas se almacenan. Pero sólo las administraciones públicas competentes pueden manejar esta información (art. 7.5. LOPD). Por eso no pueden publicarse en España listas de procesados por malos tratos, de policías acusados de torturas, de médicos negligentes, de pederastas...
Protección máxima
Protección media
Atención: relaciona este apartado con la Parte III § 14
Antecedentes penales