Conócenos

APLICACIONES

La revocación del consentimiento prestado en términos de privacidad con ocasión de la contratación de apps

Por José Ramón Moratalla Escudero

Abogado. Departamento de Desarrollo Editorial del Grupo Francis Lefebvre.

  • Imprimir

¿Dispone realmente el usuario de una app del derecho a revocar su consentimiento prestado en términos de privacidad? ¿Hasta qué punto el responsable de tratamiento de datos está obligado a hacer efectivo ese derecho de revocación? ¿En qué plazo puede el usuario ejercitarlo? ¿No debería establecerse por motivos de seguridad jurídica un plazo limitativo o de caducidad en el consentimiento prestado por el usuario de utilización de sus datos personales? ¿Debería crearse un registro o lista Robinson de consentimientos revocados en términos de privacidad? ¿Qué ocurre con las prácticas de combinación de datos cuando afectan a datos personales? ¿Y cuál es el régimen jurídico para regular su sincronización? Estos y otros muchos posibles interrogantes podríamos formularnos en relación a la revocabilidad del consentimiento prestado en términos de privacidad con ocasión de la contratación online de aplicaciones para soportes de movilidad o apps.

Turandot es sin lugar a dudas una de las más célebres óperas de Puccini, debido en gran medida a su popular aria “Nessum dorma” (http://www.youtube.com/watch?feature=player_detailpage&v=gQTIrebbJVY ). Ópera, compuesta en tres actos con libreto de Giuseppe Adami y Renato Simoni, resultó inconclusa por la muerte de Puccini, siendo completada la parte final del último acto por Franco Alfano.

El argumento versa sobre un cuento de François de la Croix en el que la princesa Turandot, hija del Emperador de China, en venganza por la trágica muerte de su abuela, impone una prueba de tres acertijos a todos aquellos pretendientes extranjeros de sangre real que quieran casarse con ella. Prueba que de no ser superada les conduce irremisiblemente a la muerte. Será Calaf, príncipe de Tartaria quién supere la prueba lo que obliga a Turandot a cumplir su compromiso, no sin antes provocar con su decisión el suicidio de la inocente Liù, enamorada de Calaf.

Obra conocida también por la de los tres acertijos o enigmas, se desenvuelve argumentalmente a través de tres fatales consentimientos y una sola revocación. Son, por este orden, la aceptación del príncipe Calaf de someterse a la prueba de los acertijos de Turandot, la decisión de la fiel sirviente Liù de renunciar a su vida para proteger a Calaf, y, por último, el consentimiento de la propia Turandot de admitir el reto de Calaf de renunciar a su vida si logra conocer su identidad. Reto que finalmente resulta superado pero que la princesa, ya enamorada, revoca su castigo perdonándole la vida al príncipe.

La obra, estrenada el 25 de abril de 1926 en La Scala de Milán, no estuvo exenta de curiosas anécdotas, entre las que destacan –a parte de reseñar la interpretación del tenor español Miguel Fleta como Calaf-, la de que el entonces Primer Ministro Mussolini rechazó estar presente en el estreno al conocer que el director, Arturo Toscanini, había anunciado que no consentiría interpretar en el estreno -a modo de saludo previo- el himno fascista "Giovinezza". Si bien la anécdota más conocida de aquella inaugural representación vino dada cuando al final de la obra se llegó al coro "Liù ...Bontà!", momento en el que Toscanini dejó la batuta y volviéndose al público dijo: "Qui il Maestro finí" ("Aquí terminó el maestro"). Entonces el telón descendió lentamente y ahí terminó la sesión si bien las representaciones posteriores sí incluyeron el final de la obra compuesto por Alfano.

Y hablando de consentimientos y revocaciones no hemos de pasar por alto un tema de plena actualidad y cada día más extendido en el ámbito de la contratación de aplicaciones para dispositivos móviles o apps, que no es otro que el de la necesidad de poner luz y despejar dudas sobre la facultad que asiste al usuario de revocar su consentimiento inicialmente prestado en lo referente a los términos de privacidad y geolocalización.

La situación actual de las apps en materia de privacidad

Empecemos recordando que es una aplicación para dispositivos móviles o app. En este sentido podríamos definir las Apps o aplicaciones como pequeños programas informáticos que pueden descargarse e instalarse en los teléfonos inteligentes (smartphones) y en otros dispositivos de movilidad con conexión a Internet (tabletas, smart televisión y próximamente también desde las gafas o smartglasses, al igual que los relojes o smartwatch y cualesquier otro tipo de dispositivos, que permiten a sus usuarios ejecutar tanto on como offline algunas tareas).

La proliferación de apps es abundante y creciente, estimándose en una media de más de 1.600 aplicaciones nuevas cada día las que se generan. A este importante dato cabe añadir que, también de media, un usuario de un dispositivo móvil suele descargarse en torno a 37 aplicaciones.

La mayoría de ellas se encuentran agrupadas en tiendas virtuales o “marketplaces”, dependiendo generalmente del sistema operativo utilizado (IOS, Android, Windows Phone, Symbian, BlackBerry, etc). Algunas son de pago mientras que otras son gratuitas, si bien, a la hora de crear una aplicación para móviles las exigencias legales no difieren de las propias de otro tipo de software como ocurre con su propiedad intelectual, protección de datos, condición de servicio de la sociedad de la información, comercio electrónico, etc. Si bien lo realmente relevante de este tipo de software que encarnan las aplicaciones, es que potencialmente puede recopilar enormes cantidades de datos personales del usuario almacenados en el dispositivo móvil a través del acceso, por ejemplo, de su álbum de fotos, libreta de direcciones, correo electrónico, datos bancarios o incluso a los datos de localización del propio usuario e incluso de sus contactos.

Las grandes corporaciones tecnológicas en la materia, muchas de ellas propietarias de marketplaces, como ocurre con Apple, Google, Microsoft, Amazon, Black Berry y Hewlett- Packard, entre otras, están aceptando en estos últimos años someterse a los principios recogidos en la norma California Online Privacy Protection Act (2003) (http://oag.ca.gov/privacy/COPPA ). Se trata de la primera norma aprobada –de la que se tiene constancia cierta- en requerir fijar unos mínimos en materia de protección de datos para las aplicaciones en sus plataformas móviles, al exigírseles publicar de forma visible y en su propio sitio web su política de privacidad. Puede que la motivación de estas grandes corporaciones no radique en la preocupación por nuestra privacidad, sino –más bien- en presentarse como garantes de la confidencialidad para fomentar la confianza de los usuarios.

De lo que sí estamos seguros es que no todas las aplicaciones informan adecuadamente sobre el tipo de datos que la aplicación puede procesar y con qué fines. Máxime cuando en el sector de las aplicaciones para dispositivos móviles interviene un amplio elenco de agentes, sea tanto los desarrolladores de las aplicaciones, sea el resto de actores que intervienen en el desarrollo y la distribución de las mismas. Efectivamente, se trata de un frondoso ecosistema en el que cohabitan, además de los creadores de las apps, las tiendas de aplicaciones, los fabricantes de sistemas operativos y dispositivos, y los proveedores de servicios publicitarios, entre otros y a los que afecta las obligaciones de definir, publicar y cumplir las políticas de privacidad con las que deben contar las apps.

En este sentido, un reciente estudio desarrollado por la Asociación GSM (abreviadamente GSMA) -organización de operadores móviles y compañías relacionadas, dedicada al apoyo de la normalización, la implementación y promoción del sistema de telefonía móvil GSM-, estudio -que en materia de privacidad y aplicaciones- sucede a otros ya realizados en Estados Unidos, en varios países europeos (también España), en otros del sudeste asiático y Oceanía, y más recientemente en América Latina (http://www.gsma.com/publicpolicy/wp-content/uploads/2013/04/privacy-attitudes-columbia-spanish.pdf ), refleja que sólo el 61% de las 150 aplicaciones más descargadas a nivel mundial cuenta con política de privacidad.

Y en lo que respecta al consentimiento, no olvidemos que constituye la base jurídica para permitir que una empresa trate los datos personales del usuario, las autoridades subrayan que a menudo este se reduce a una casilla de verificación que indica que el usuario acepta los términos y condiciones aplicables, sin ofrecer una opción que permita rechazarlas.

Según vienen recogiendo los estudios de la GSMA, al 92% de los usuarios de apps les gustaría que se les ofreciese la opción de elegir a qué funciones de su terminal puede acceder una aplicación y a cuáles no. Es decir, el usuario prefiere no enfrentarse a una pantalla cuya única opción sea la de "Sí, acepto". Además, el 53% de los usuarios aceptan los acuerdos de privacidad sin leerlos debido a que son demasiados largos y de lectura prolija (podríamos decir que se practica en este sentido un cierto “filibusterismo redaccional”).

A todo ello hay que sumar que los usuarios de terminales móviles se enfrentan al problema adicional de utilizar las apps en pantallas de tamaño reducido, en las que las interacciones son limitadas y que en muchas ocasiones los avisos de privacidad contenidos en los propios programas resultan difíciles de leer, manejar e incluso encontrar.

Entre otras preferencias y denuncias que exponen los usuarios, está la de que también debería mostrarse un botón que permitiera cancelar la instalación. Además, el usuario debería poder conocer a qué información va a acceder el desarrollador de la app antes de aportar su consentimiento para instalarla por lo que en este sentido, los fines del tratamiento de esos datos deberían estar bien definidos y –sobretodo- deberían resultar comprensibles para un perfil de “usuario medio”, prohibiéndose los cambios repentinos unilaterales en las condiciones del servicio por parte de los desarrolladores y/o distribuidores.

También en España, el Instituto Nacional de Tecnologías de la Comunicación (INTECO) en su último estudio realizado sobre la percepción de los usuarios acerca de su privacidad en Internet, aporta unos resultados que marchan por esos mismos derroteros. Se trata del estudio destinado a profundizar en cómo percibe el internauta su intimidad en el contexto de Internet, redes sociales y buscadores, y a examinar la estrecha relación que existe entre la privacidad y la identidad digital y la protección de datos.

Así, se recoge que el 84,4% de los usuarios de Internet reconoce que cada persona debe ser capaz de decidir sobre sus datos personales y disponer de la facultad de poder eliminar su rastro de Internet. Tan solamente el 6,7% de los entrevistados piensa que ejercer este llamado derecho al olvido es una forma de censurar información, y que el derecho a la información prima sobre el derecho a la protección de datos.

A todo ello habría que añadir el agravante de que está creciendo exponencialmente el número de aplicaciones destinadas a menores, un colectivo particularmente sensible que tiene poca conciencia sobre los datos que facilita. Por lo que los responsables del tratamiento de datos de las apps deben prestar especial atención a los límites de edad vigentes en las legislaciones nacionales. Así en el caso de España, la legislación no permite el tratamiento de datos de menores de 14 años sin mediar el obligado y previo consentimiento de padres o tutores.

Debido a la vulnerabilidad de este público, y teniendo en cuenta que los datos personales deben ser tratados de manera leal y lícita, los responsables deben respetar aún más estrictamente los principios de minimización de los datos y limitación de la finalidad. Esto mismo también cabe aplicarse al incipiente mercado de aplicaciones de salud y bienestar que según el estudio de la consultora Juniper Research el número de usuarios se multiplicará por seis en los próximos cinco años, y pasará de los actuales 15 millones que ya las utilizan a los 96 millones previstos para el 2018.

Ese mismo informe (Mobile Health & Fitness: Monitoring, App-enabled Devices & Cost Savings 2013-2018) vincula este crecimiento a la demanda creciente de aplicaciones de estilo de vida y de salud, así como a un interés cada vez mayor por los servicios remotos de control de pacientes.

Del consentimiento al “clic-consentimiento”.

Etimológicamente consentir significa estar de acuerdo con otros, y según el Diccionario de la RAE consentir, en su primera acepción, significa permitir algo o condescender en que se haga.

Atendiendo al literal del Artículo 1262 de nuestro Código Civil (RD de 24 julio 1889, EDL 1889/1) -con redacción aportada por el número uno de la disposición adicional cuarta de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI), EDL 2002/24122-, “el consentimiento se manifiesta por el concurso de la oferta y de la aceptación sobre la cosa y la causa que han de constituir el contrato. Hallándose en lugares distintos el que hizo la oferta y el que la aceptó, hay consentimiento desde que el oferente conoce la aceptación o desde que, habiéndosela remitido el aceptante, no pueda ignorarla sin faltar a la buena fe. El contrato, en tal caso, se presume celebrado en el lugar en que se hizo la oferta.”

En definitiva, en lo que nos concierne, en los contratos celebrados mediante dispositivos de movilidad hay consentimiento desde que se manifiesta la aceptación.

Así, atendiendo la teoría general de obligaciones y contratos, en todo contrato debe concurrir consentimiento, objeto y causa para que estén válidamente constituidos conforme a Derecho y produzcan sus efectos. Teniendo además en consideración que la cuestión de la forma de los contratos en nuestro ordenamiento es libre, a excepción de cierto número de ellos, para los que se establece la forma ad solemnitatem. Esto es: el consentimiento en su aspecto formal prima la libertad.

En cualquier caso, el consentimiento que se presta en los contratos celebrados por medio de Internet no difiere del que se debe proporcionar en otro tipo de ámbitos ajenos a la contratación electrónica. Por tanto, lo que compete analizar son los procedimientos, formas o mecanismos técnicos a través de los cuales cabe prestar el consentimiento a través de Internet.

En este sentido, se ha hecho habitual realizar transacciones o trámites a través de Internet en las que se solicita la aceptación de determinadas condiciones o cláusulas, a menudo pulsando con el ratón sobre un botón, o simplemente tocando sobre la pantalla táctil de nuestro smartphone o tableta, el texto "Aceptar", “Doy mi conformidad”, "Estoy de acuerdo" o cualquier otra expresión similar y equivalente.

A parte de la modalidad de prestación del consentimiento offline denominada “Shrink-wrap”. Modalidad propia del tipo de contratos en los que las condiciones generales de los programas o sus licencias de uso objeto del contrato aparecen habitualmente detalladas de forma impresa y recogidas con el resto de documentación y material que se proporciona en el momento de la compra. En general, siguiendo la terminología jurídica anglosajona, la prestación del consentimiento por medios electrónicos puede revestir alguna de estas dos formas:

-“Click-wrap” ocurre cuando dichas condiciones generales del contrato aparecen en la pantalla del ordenador o del dispositivo móvil al acceder a la web o a la aplicación con el fin de instalar el programa en dicho terminal (ordenador o dispositivo móvil).

En este tipo de acuerdos click-wrap, el consentimiento se entiende igualmente prestado en la medida en que el usuario ha adquirido el producto (descargado el programa o app) y pagado el precio, si bien el acceso a las a dichas condiciones generales no se realiza en soporte impreso si no que aparecen en el momento de la descarga.

En cambio, en los acuerdos shrink-wrap, el consentimiento se entiende prestado en la medida en que el usuario adquiere el producto y paga el precio, siempre que, en ese momento, se garantice que éste tenga la posibilidad de acceder a dichas condiciones generales.

-“Browse-wrap” es la modalidad más problemática en tanto en cuanto el comprador no se ve obligado a aceptar ni incluso a conocer o visualizar los términos del contrato para realizar la operación, pues sólo se le facilita un enlace a otra página del sitio web en el que constan éstos términos.

De acuerdo con la normativa española, el consentimiento únicamente resultaría vinculante si el enlace a las condiciones generales y/o términos de uso se expusiera de forma claramente visible, se indicara expresamente que constituyen las condiciones de la contratación, se señalara su lectura y, una vez finalizada la contratación, se cumpliera con el deber del envío de la confirmación documental a que hace referencia el artículo 3 del Real Decreto 1906/1999 de 17 diciembre 1999 por el que se regula la contratación telefónica o electrónica con condiciones generales en desarrollo del artículo 5.3 de la Ley 7/1998, de 13 de abril, de condiciones generales de la contratación (EDL 1999/63997). Esto es, no podría ser un consentimiento o acuerdo del tipo browse-wrap.

En definitiva el hecho de hacer clic en el botón "Instalar" no implica necesariamente un consentimiento válido para el tratamiento de datos personales si no va acompañado de suficiente información, tanto sobre las condiciones de ese tratamiento como sobre el hecho de que al pulsar "Instalar" se presta el consentimiento para tratar los datos en esas condiciones.

Y todo ello sin obviar que igualmente se ha de informar sobre quién es el responsable del tratamiento de los datos, qué datos se van a recopilar, para qué usos o finalidades, si esa información será cedida a terceros, y la forma que tiene el usuario para revocar su consentimiento y cancelar sus datos. Todo ello pudiendo así mismo ejercer llegado el caso sus derechos de acceso, rectificación, cancelación y oposición previstos en la normativa de Protección de Datos Personales).

Marco regulatorio de la revocación del consentimiento

Como veníamos indicando el concepto de consentimiento es utilizado también en otros ámbitos del Derecho, especialmente en el Derecho contractual, contratación electrónica y protección de datos.

En este sentido es preciso citar sin ánimo exhaustivo la regulación que marca –a parte de la prevista en el propio Código Civil, en el ya aludido artículo 1262- las siguientes disposiciones como son: -la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter Personal (LOPD), EDL 1999/63731, en sus artículos: 3.h), 6, 7, 11, 21, 22, 28, 29, 30 y 34, -el Reglamento de desarrollo de la LOPD, aprobado por Real Decreto 1720/2007, de 21 de diciembre, EDL 2007/241465, en sus artículos: 5.d), 10.1, 10.2, 10.3, 12.1, 13, 14, 15, 17, 31.2, 34, 45, 47 y 51, -y la LSSI en sus artículos: 21, 22.1, 23 y 38.

Y en cuanto a la regulación de la revocación del consentimiento en términos de privacidad es preciso detenerse en los artículos 6.3, 11.4 y 28 de la LOPD, en el 17 de su Reglamento de desarrollo y además en el 21 y 22 de la LSSI.

En cuanto a la regulación que la LOPD, destacar que se permite la revocación del consentimiento cuando exista causa justificada  para ello y no se le atribuyan efectos retroactivos.

El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter revocable; véase el contraste, por ejemplo, con el artículo 28 que dice que el consentimiento del interesado para incluir datos adicionales en determinadas fuentes accesibles al público “puede ser revocado en cualquier momento”.

Esto mismo viene apoyado por la interpretación que de ello hace la Agencia Española de Protección de Datos, derivada de la consideración del derecho a la protección de datos como un derecho fundamental cuyo contenido esencial es la capacidad de cada persona de controlar los datos personales que le conciernen por lo que el afectado puede revocar el consentimiento en cualquier momento y a su exclusivo arbitrio. Este sentido viene apoyado por el fallo del Constitucional en su sentencia del Pleno de 30 de noviembre de 2000, nº 292/2000, EDJ 2000/40918.

En este sentido se coincide plenamente con los artículos 21 y 22.1 de la LSSI cuando alude a que el destinatario puede revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales con la simple notificación de su voluntad al remitente. Si bien añade que para hacer efectivo este derecho, los prestadores de servicios deben habilitar procedimientos sencillos y gratuitos y facilitar información accesible por medios electrónicos sobre los mismos.

Por su parte el marco legal aplicable a cualquier app dirigida a los usuarios europeos viene dado por la Directiva de Protección de Datos 95/46/CE del Parlamento Europeo y del Consejo, de 24 octubre 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, EDL 1995/16021, en sus artículos 2.h), 7.a), 8.2 y 26, en combinación con la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, de Privacidad y Comunicaciones Electrónicas, EDL 2002/29506. Directivas –éstas- aplicables con independencia de dónde estén ubicados el desarrollador de la aplicación o la tienda que la comercialice, debido a que estos programas (apps) recurren a medios ubicados en la Unión Europea, como son los propios terminales de los usuarios.

En este marco normativo se abordan cuestiones fundamentales para la protección de la privacidad, tales como el consentimiento informado y previo del usuario, el principio de limitación de la finalidad para la que se recoge la información, la minimización de la misma, la necesidad de tomar las medidas adecuadas de seguridad, la obligación de informar correctamente a los usuarios finales sobre sus derechos, los períodos de retención de datos y, específicamente, el correcto tratamiento de los datos recogidos en el caso de menores.

Además, las autoridades europeas de protección de datos (Grupo de Trabajo del Artículo 29) han aprobado recientemente, con fecha de 27 de febrero 2013, el primer dictamen conjunto sobre la privacidad en las aplicaciones móviles, en el que se analiza las incidencias y riesgos que plantean para la protección de datos. En el Dictamen se detallan las obligaciones específicas tanto de los desarrolladores de aplicaciones como del resto de actores que intervienen en el desarrollo y la distribución de las mismas. En ese ecosistema se incluyen, además de los creadores de apps, las tiendas de aplicaciones, los fabricantes de sistemas operativos y dispositivos y los proveedores de servicios publicitarios. El Dictamen también presta una atención especial al uso de estas aplicaciones por parte de menores (http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp202_en.pdf ).

Dictamen que sigue el camino iniciado en su día por el Consejo de la Unión Europea con ocasión de la publicación de la Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones, bajo el título de Un enfoque global de la protección de los datos personales en la Unión Europea, Comunicación COM/2010/0609 de 4 noviembre 2010, EDL 2010/269286, donde ya se instaba a reforzar el control sobre los propios datos y a garantizar un consentimiento informado y libre, e instando a la Comisión a estudiar los medios de clarificar y reforzar las normas en materia de consentimiento.

A la Comunicación COM/2010/0609 hay que sumar también la labor desempeñada por el Grupo de Protección de Datos del Artículo 29. Grupo creado en virtud del artículo 29 de la Directiva 95/46/CE (de ahí su nombre). Se trata de un órgano consultivo europeo independiente en materia de protección de datos y derecho a la intimidad. Sus cometidos se describen en el artículo 30 de la Directiva 95/46/CE y en el artículo 15 de la Directiva 2002/58/CE.

Del citado Grupo del Artículo 29 hay que destacar además la redacción del Dictamen 15/2011, de 13 de julio de 2011, sobre la definición del consentimiento adoptado. Dictamen que analiza exhaustivamente el concepto de consentimiento tal como figura actualmente en la Directiva de Protección de Datos y en la Directiva sobre Privacidad.

A partir de la experiencia de los miembros del Grupo del artículo 29, el Dictamen recoge numerosos ejemplos de consentimiento válido e inválido, centrándose en elementos clave como el significado de los términos “manifestación”, “libre”, “específica”, “inequívoca”, “explícita”, “informada”, etc. Además, el Dictamen también aclara algunos aspectos relacionados con el concepto de consentimiento. Nos referimos a conceptos como por ejemplo: los plazos en que se debe obtener el consentimiento, cómo distinguir entre derecho de oposición y consentimiento, etc.

De lo especialmente relevante es que el Dictamen determina que el consentimiento es uno de los fundamentos jurídicos del tratamiento de datos personales. Y de entre sus principales aportaciones también cabe destacar:

-La aclaración del significado del “consentimiento inequívoco” y la explicación de que sólo el consentimiento basado en manifestaciones o acciones que expresen conformidad constituye un consentimiento válido.

-La exigencia a los responsables del tratamiento de que apliquen mecanismos para comprobar el consentimiento (en el marco de la obligación general de responsabilidad).

-La introducción de un requisito específico relativo a la calidad y accesibilidad de la información, que constituyen la base del consentimiento.

-La necesidad de contemplar procedimientos que permitan al interesado la revocación del consentimiento como manifestación inequívoca que exprese su pérdida de conformidad en el consentimiento válido previamente prestado.

- Y una serie de sugerencias sobre los menores y otras personas que carecen de capacidad jurídica.

Las diez cualidades que definen la revocabilidad del consentimiento

La importancia del consentimiento para afirmar la autonomía y autodeterminación de la persona depende de que se use en un contexto adecuado y reúna los elementos necesarios. En este sentido apuntamos las que considero diez cualidades que han de estar presentes en el consentimiento prestado en términos de privacidad (con ocasión de la contratación de apps) para que éste pueda ser revocado. Estos son:

1. La cualidad del consentimiento libre. Para ser válido, el consentimiento debe ser una manifestación de voluntad manifestada en libertad. Esta libertad debe ser entendida también como veraz, es decir, no debe haber ningún riesgo de engaño, intimidación o consecuencias negativas significativas para el interesado en caso de que no consienta.

El interesado debe realizar alguna acción positiva que indique su consentimiento y debe tener la libertad de no consentir. El concepto de control también está relacionado con el hecho de que el interesado puede retirar su consentimiento en cualquier momento (revocabilidad).

2. La cualidad del consentimiento informado. El consentimiento debe ser informado. Los artículos 10 y 11 de la Directiva de Protección de Datos 95/46/CE enumeran el tipo de información que debe suministrarse necesariamente a las personas para que puedan emitir un consentimiento informado. En cualquier caso, la información suministrada debe ser suficiente para garantizar que los individuos puedan adoptar decisiones válidas sobre el tratamiento de sus datos personales. La necesidad de que el consentimiento esté informado se traduce en dos requisitos adicionales.

-En primer lugar, la manera de suministrar información debe garantizar el uso de un lenguaje adecuado que permita al interesado entender lo que está consintiendo y sus finalidades. Hay que tener en cuenta también el contexto. No se admite la utilización de una jerga técnica o jurídica demasiado complicada.

-En segundo lugar, la información a los usuarios debería ser clara y suficientemente llamativa para que los usuarios no la puedan pasar por alto. La información debe suministrarse directamente a las personas. No basta con el mero hecho de ponerla a disposición del usuario en cualquier sitio, de ahí la importancia del medio y su usuabilidad.

3. La cualidad de consentimiento inequívoco. Así viene recogido en los artículos 7.a) “el consentimiento como manifestación de voluntad inequívoca del interesado constituye la base jurídica del tratamiento de datos personales”, y 2.h) de la misma Directiva antes aludida.

4. La cualidad del consentimiento explícito, esto es expreso o manifiesto. En cuanto a cómo debe darse el consentimiento, el artículo 8, apartado 2, letra a) de la Directiva exige un consentimiento “explícito” para tratar datos sensibles, lo que significa una respuesta activa, verbal o escrita, por la que la persona manifiesta su deseo de que sus datos se traten para determinados fines. Por tanto, el consentimiento expreso no debería obtenerse por medio de una casilla preseleccionada.

5. La cualidad del consentimiento equitativo. Este conocimiento debería basarse en las expectativas razonables y previamente consensuadas de las partes. Esto pone en relación el consentimiento con la idea o desideratum del consentimiento justo.

6. La cualidad del consentimiento transparente. Para ser válido, el consentimiento debe estar informado en todo momento. Esto implica que toda la información necesaria debe suministrarse en el momento en que se solicita el consentimiento, y que éste debe abordar los aspectos sustantivos del tratamiento que el consentimiento se propone legitimar. La idea de transparencia no debe ser considerada como un elemento de validación a posteriori. Más bien al contrario, debe incardinarse a la idea de simultaneidad o vigencia del contrato en tanto que el consentimiento debe estar vigente, vivo, es decir, actual.

7. La cualidad de consentimiento actual y vigente. Aunque el plazo para solicitar el consentimiento no está especificado en la Directiva, del literal de diversas disposiciones de su articulado se deduce claramente que, por regla general, el consentimiento debe otorgarse antes del comienzo del tratamiento. La obtención del consentimiento antes del comienzo del tratamiento de datos constituye una condición fundamental para legitimar el tratamiento de los mismos.

Pero también hemos de tener presente que el consentimiento se aplica en un contexto limitado lo que lo aparta del carácter de pretendida ultraeficacia contractual o de los pactos, y por tanto se debe a una interpretación restrictiva de la eficacia temporal de los mismos.

8. La cualidad de relación de tracto sucesivo, esto es adaptable, modificable. Como apuntábamos, el consentimiento debe darse antes del comienzo del tratamiento de datos personales, pero también puede requerirse su tratamiento, cuando surja una finalidad nueva. Así se subraya en diversas disposiciones de la Directiva 2002/58/CE, mediante el requisito “antes de” como se apunta en sus artículos 6.3 y 5.3.

Ahora bien, el consentimiento puede también ser solicitado en la “fase posterior”, cuando cambia la finalidad del tratamiento. En este caso, la información que debe facilitarse tendrá que centrarse en las necesidades del contexto específico en relación con la finalidad ahora perseguida.

9. El consentimiento revocado no puede tener eficacia retroactiva. Siempre el consentimiento se fundamenta en –y al mismo tiempo afecta a- la seguridad jurídica.

10. La cualidad ad beneficium, goza de la presunción de que su uso no debería dañar los propios intereses.

Conclusiones.

Las exigencias del derecho a la protección de los datos personales o “Habeas data”  también está presentes en el ámbito de la contratación de las apps y la revocabilidad del consentimiento prestado en dichos términos.

Para hacer ello posible se requiere definir una arquitectura de avisos de privacidad que ofrezca información sencilla y completa sobre las operaciones del tratamiento de datos. Es preciso que los usuarios puedan ver esta arquitectura claramente y navegar de forma que se cumplan sus expectativas.

Por lo general, el consentimiento basado en la inacción o el silencio de la persona no constituye un consentimiento válido, especialmente en el contexto de Internet. En tal sentido deberían poder considerarse los siguientes puntos:

A) Inclusión de una cláusula expresa que establezca el derecho de la persona a retirar su consentimiento.

B) Reforzar la noción de que el consentimiento debe darse antes del comienzo del tratamiento, o antes de cualquier nuevo uso de los datos para fines no incluidos en el consentimiento inicial, cuando no exista ningún otro fundamento jurídico que rustique el tratamiento.

C) Incluir los requisitos explícitos relativos a la calidad a la hora de suministrar información sobre el tratamiento de datos de forma comprensible, fácil de entender, en un lenguaje claro, sencillo y sin ambigüedades. Así como facilitar la accesibilidad de la información, esto es ofrecer su acceso sin barreras, no emboscada sino más bien expuesta de forma llamativa, destacada y en todo caso siempre directamente accesible.

D) Establecimiento de garantías específicas que identifiquen aquellas posibles actividades de tratamiento como “la publicidad comportamental”, en las que el consentimiento no debería ser la base para legitimar el tratamiento de datos personales.

E) Establecer la obligación de utilizar mecanismos de comprobación para aquellos casos de usuarios cuyas características personales puedan variar según circunstancias como la edad (caso de los niños), la capacidad civil (caso de enfermos mentales) e incluso la capacidad física (discapacitados de alto grado como los tetrapléjicos).

F) Posibilitarse la oponibilidad. Así, en caso de mediar la revocación de consentimiento no debería permitirse al responsable de tratamiento de los datos que con la excusa de la existencia de un contexto basado en una relación preexistente con el cliente, se posibilitase ofrecer a éste productos o servicios similares al que en su momento fue objeto de la contratación y provocó la emisión del consentimiento.

G) Establecer un período de conservación máximo para los datos personales objeto del tratamiento. La situación actual de ausencia de respuesta cuestiona la eficacia de los mecanismos de exclusión y las acciones de eliminación que solicitan los usuarios.

Esta postura limitativa es habitualmente compartida en materia de conservación de datos obtenidos con fines de georeferenciación, geoubicación o geolocalización, pero debería ser aplicable al resto de tipo de datos e información personal. Ello,  sin lugar a dudas, redundaría en aportar seguridad jurídica pues no puede entenderse conforme a la normativa de la LSSI y la LOPD que el consentimiento tácito, entendido como aquel que se presupone por el mero transcurso del tiempo sin respuesta o manifestación sea admisible. Máxime si los productos que se publicitan son distintos a los inicialmente contratados (en este sentido resultan interesantes las sentencias emitidas por la Sala de lo Contencioso de la Audiencia Nacional: Sentencia de 13 febrero 2013, EDJ 2013/20305, Sentencia de 25 octubre 2012, EDJ 2012/322065, Sentencia de 20 junio 2012, EDJ 2012/206791 y Sentencia de 25 mayo 2012, EDJ 2012/106894).

H) Detallar en la Política de privacidad, de forma suficiente y clara, toda la información precisa sobre los fines para los que se tratan los datos personales. Es preciso respetar el principio de limitación de los fines.

I) Informar del alcance exacto que supone la práctica de la combinación de los datos que suelen realizar los responsables del tratamiento de datos. En este sentido es preciso señalar que no existe un consentimiento válido del usuario ad nuttum a favor del responsable si no conoce los fines, alcance y repercusiones que ocasiona la combinación de datos. Y este desconocimiento no valida en modo alguno el interés legítimo que en ello pueda tener el responsable del tratamiento de datos.

Recordar que entre los posibles fines distintos que se suelen utilizar para la combinación de datos destacan los de:

- La provisión de servicios en los que el usuario solicita la combinación de datos (por ejemplo poner en relación su agenda de contactos con su cuenta de correo electrónico).

- La provisión de servicios solicitados por el usuario pero en los que la combinación de datos se aplica sin el conocimiento directo del usuario (por ejemplo las actualizaciones y mejoras de la app y el desarrollo o mantenimiento del propio producto).

- Fines publicitarios.

- Fines analíticos.

- Fines de investigación académica.

- Fines de seguridad o exigidos por las autoridades.

J) Aunque parezca obvio, que la gratuidad de la app no suponga una renuncia o “cheque en blanco”. Es preciso remarcar que esta situación no faculta al responsable de tratamiento de datos a disponer con total e indiscriminada libertad de los mismos.

Aunque muchas veces resulta cierta la frase de “si al adquirir un producto no pagas por ello, es que el producto eres tú.”

I) Propugnar estándares de Privacy by Design o incorporación de la privacidad por defecto en el diseño de las apps. Ello es factible instaurando por defecto una configuración restrictiva en cuanto a con quien se comparten los datos de sus usuarios. Lo cierto es que en la práctica, la mayoría de servicios establecen una configuración por defecto lo más abierta posible para compartir cuantos más datos sea posible con cuanta más gente posible.

Este sistema hoy extendido se denomina de “opt-out” y obliga a rechazar lo que el usuario no desea en vez de tratarse del sistema  acorde a la Privacy by Design que obliga al usuario a tener que aceptar lo que desea (“opt-in”).

K) Por último, tal vez debería crearse un registro o modalidad de “Listas Robinson” donde dejar constancia de la revocación del consentimiento con el fin de garantizar y preservar los derechos del usuario revocante. Algo similar a lo que viene haciendo la Asociación Española de Economía Digital (ADIGITAL) en virtud de la norma habilitante  que supone el artículo 49.4 Reglamento de la LOPD, que establece que “quienes pretendan efectuar un tratamiento relacionado con actividades de publicidad o prospección comercial deberán previamente consultar los ficheros comunes que pudieran afectar a su actuación“.

En definitiva, se trata de respetar los principios de proporcionalidad, limitación de los fines y minimización de los datos, así como el derecho de oposición y revocación del consentimiento que asisten al usuario.

Por tanto, se persigue preservar en toda su extensión el derecho de elección, o lo que es lo mismo, el derecho a estar informado y a poder manifestarse para hacer valer sus intereses. Es decir, garantizar y dar efectividad a la libertad que asiste al usuario a decidir en cuanto a su privacidad.

En caso contrario, nos veremos abocados a un triste sino, como le ocurriera a Turandot: “Un giuramento atroce mi costringe a tener fede al fosco patto” (un atroz juramento me obliga a ser fiel a un triste pacto).

Lefebvre - EL Derecho no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación

Widgets Magazine

Comentarios jurisprudenciales

CASE STUDY & MASTER CLASS

LOPD EN DESPACHOS DE ABOGADOS

  • Caso práctico: absorción o adquisición del despacho por otra entidad

    Tanto el despacho como persona jurídica, como los integrantes del mismo, los terceros a los que se ceden esos datos, y aquellos que prestan servicios al despacho y tienen acceso a datos de carácter personal, están obligados al secreto y al deber de guardar esos datos, 

  • Caso práctico: Lexnet

    El consentimiento para la comunicación de los datos de carácter personal a un tercero será nulo cuando la información que se facilite al interesado no le permita conocer la finalidad a que se destinarán los datos cuya comunicación se autoriza, o el tipo de actividad de aquel a quien se pretenden comunicar.

  • Caso práctico: almacenamiento de información

    Como decimoctava entrega de la serie de artículos sobre protección de datos personales en los bufetes de abogados, hoy les mostraré un caso práctico sobre almacenamiento de información personal y las ventajas del despacho digital.

ebook gratuito

ENTREVISTAS

GESTIÓN DE DESPACHOS

  • ¿Por qué es importante implementar el marketing en una empresa de servicios jurídicos?

    Hoy en día, el mercado legal está inmerso en una etapa de dinamismo que se está llevando a cabo a través de numerosas integraciones y/o fusiones entre despachos de diferente perfil que lo que buscan es crear una marca más sólida con la que poder prestar un servicio más completo a sus clientes.

  • La web y el blog, primeras piedras del camino hacia el posicionamiento SEO

    ¿Recuerdas cuando captar clientes se reducía al ‘boca a oreja’ y al prestigio del despacho? ¿Todo iba mucho más rodado, ¿verdad? ¿Cuál es el motivo por el que ahora ya no es tan fácil? Muy sencillo: se ha constituido un nuevo canal de captación que aún tiene mucho potencial: internet, la web y Google, el mayor canal de información y búsqueda de contenidos de España.

REDES SOCIALES & ABOGADOS

  • Internet y Redes Sociales para despachos de abogados: una exigencia necesaria

    ¿Por qué es importante que los despachos de abogados entren en la dinámica de las redes sociales e Internet? ¿Cómo puede afectar a un bufete el estar o no en el mundo digital? ¿Qué es lo que quieren tus futuros clientes de su abogado? El mundo se ha digitalizado y los abogados no pueden quedarse atrás.

COLABORA CON NOSOTROS

Colabora

Envianos un artículo sobre nuevas tecnologías aplicadas al ámbito jurídico

Colaborar

Enviar Artículo

He leído y acepto las condiciones de la Política de Privacidad y el Aviso Legal

(*) Campos obligatorios

Pablo García Mexía

Abogado, Cofundador de Syntagma, Centro de estudios estratégicos.

1

Carlos Pérez Sanz

Socio del área de Information Technology y Compliance de ECIJA.

1

Raúl Rubio

Partner, Information Technology & Communications Baker & McKenzie

1

Conclusiones del II Foro de la Movilidad e IoT

El II Foro fue el escenario para la presentación del “Estudio del arte e implicaciones de seguridad y privacidad en el Internet de las Cosas”.

Nace Alastria, la primera red nacional de blockchain del mundo con presencia del sector jurídico

Cerca de 70 instituciones y empresas de sectores como la banca, la energía y las telecomunicaciones, entre otros, han constituido el consorcio sin ánimo de lucro Alastria, la primera red nacional regulada basada en blockchain del mundo, que tiene como objetivo el desarrollo del ecosistema de esta tecnología en España.

feedburner

Reciba LAW & TIC de forma gratuita.

Atención al cliente: De lunes a viernes de 8:30 a 20:00 horas ininterrumpidamente. Tel 91 210 80 00 - 902 44 33 55 Fax. 915 78 16 17