A unos meses de la aplicación efectiva del REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 (en adelante Reglamento Europeo), no queda otra opción que adaptarse a todos y cada uno de los requisitos legales que impone esta nueva regulación y que suponen un giro de tuerca a la privacidad.
Una de las principales novedades que representa el Reglamento Europeo es la nueva acepción de consentimiento que establece la norma en su artículo 4.11, en el que se indica, que este debe consistir en una manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.
La clave se encuentra en la “clara acción afirmativa”, es decir, exigiendo expresamente una acción positiva y sin dejar lugar a la posibilidad de estatismo. Este precepto es replicado y ampliado en el considerando 32 de la referida norma, concluyendo además con dos afirmaciones recalcables: “Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento.” Y “Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos”.
El consentimiento explícito implica novedad en tanto en cuanto el mismo no se exigía en la regulación existente hasta el momento. Recordemos que el artículo 14.2 del Real Decreto 1720/2007 de 21 de diciembre (en adelante RLOPD) recoge la posibilidad de utilizar la vía del consentimiento tácito para el tratamiento de los datos de carácter personal que no tengan la consideración de especialmente protegidos. Este hecho, por otra parte, ya se encontraba consagrado en la jurisprudencia del Tribunal Supremo, y tal es así que en la sentencia del Tribunal Supremo de 26 de mayo de 1986, se entiende que "el consentimiento puede ser tácito cuando del comportamiento de las partes resulta implícita su aquiescencia" a una determinada situación …”.
Con esta nueva regulación, esa línea jurisprudencial desaparece, restando como única posibilidad de aquiescencia el consentimiento explícito del interesado, el cual se encuentra regulado en el artículo 6 del texto, que establece que, para que el tratamiento de datos sea lícito, es necesario que se cumpla cualquiera de los siguientes requisitos:
- Que exista el consentimiento del interesado para el fin específico. Es decir, que un fin adicional de tratamiento, como ocurre por ejemplo en la elaboración de perfiles a efectos de elaborar ofertas personalizadas para el afectado, requerirían un consentimiento adicional como una marcación de casilla extra.
- Que el tratamiento sea necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales. Como por ejemplo: “La base legal para el tratamiento de sus datos es la ejecución del contrato de suscripción a las revistas que figuran en su cartera de pedidos (…según los términos y condiciones que constan en…)”, según establece la Agencia Española de Protección de Datos (en adelante la AEPD) en la guía del deber de información.
- Que el tratamiento sea necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento.
- Que el tratamiento sea necesario para proteger intereses vitales del interesado o de otra persona física.
- Que el tratamiento sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
- Que el tratamiento sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
De la información anterior se desprende que, al contrario de lo estipulado en la Ley Orgánica 15/1999 de 13 de diciembre (en adelante LOPD), en la que algunos de los requisitos establecidos anteriormente se consideraban excepciones al consentimiento (Art. 6.2 LOPD), en el Reglamento Europeo no son ya una excepción al consentimiento, sino que tanto el consentimiento como las restantes bases jurídicas son requisitos equivalentes e independientes para que el tratamiento no resulte ilícito, es decir, ya no existen excepciones, sino únicamente requisitos, siendo el consentimiento un requisito más.
La problemática principal que plantea esta novedad jurídica es precisamente que aquellos consentimientos obtenidos de forma irregular deberán recabarse nuevamente, esto es, en palabras del Reglamento Europeo: “el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento”.
Un caso típico que se debe incluir en la referida problemática es la famosa excepción establecida en el artículo 2.2 RLOPD; que permitía no aplicar el reglamento de protección de datos a los tratamientos de datos referidos a personas jurídicas, o a personas físicas cuando los datos fuesen únicamente su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales.
Es común que dicha excepción se utilice en algunos contratos con prestadores de servicios externos, como por ejemplo en aquellos casos en los que se ha querido evitar volver a pedir un consentimiento adicional a los empleados de la propia compañía cuando se contrate un proveedor que vaya a realizar un mantenimiento de los sistemas (teniendo el proveedor solo acceso a esos datos “de contacto” y considerando que el tratamiento de esos datos se va ha realizar de forma meramente incidental en una relación business to business como la que regula el Informe de 18 de Febrero de 2008 de la AEPD, siendo el dato del sujeto únicamente el medio para lograr esa finalidad).
Recabar de nuevo todos aquellos consentimientos que no se obtuvieron adecuadamente en el pasado con respecto a la nueva regulación, además de tedioso, puede suponer una pérdida económica, traducida en una pérdida de clientes, ya que si volvemos a contactar con todos nuestros clientes para volver a pedirles todos aquellos consentimientos que no obtuvimos “como un acción afirmativa”, es probable que no obtengamos respuesta o que nos respondan con una negativa. Es por ello que debemos plantearnos cuáles son los consentimientos imprescindibles de obtener y de cuales se puede prescindir por considerarse amparados por otro precepto legal.
Es claro, evidente y meridiano que si queremos tratar datos relativos a salud o datos relativos a sujetos menores de edad va a ser imprescindible recabar expresamente el consentimiento explícito excepto en casos puntualísimos en los cuales una norma amparase el tratamiento o prevalezca el interés vital del interesado, pero hay numerosos casos que pueden ampararse en una base jurídica y que suponen que el tratamiento es lícito sin necesidad de que medie ese consentimiento afirmativo.
Algunos de los casos más reseñables son los siguientes:
Videovigilancia
El Tribunal Constitucional ya en 2016 se pronunció sobre un caso que hasta el momento requería el consentimiento expreso y que supuso en ese momento un cambio en la línea jurisprudencial. Hablamos del famoso caso Bershka, en el que una empleada de la reconocida tienda de ropa intentó apropiarse de una cantidad de dinero de la caja. En este caso, el Tribunal Constitucional admitió como prueba válida y lícita, las grabaciones que se habían realizado de tal suceso en el establecimiento, las cuales se hicieron sin informar directamente a la trabajadora ni obtener el consentimiento de la misma para tal fin. Y es que el propio tribunal entendió que la medida fue proporcionada, necesaria e idónea para confirmar las sospechas sobre los posibles actos ilícitos de la trabajadora. Asimismo, entendió que al existir un cartel visible de “Zona Videovigilada” la empresa cumplió con el deber de información que establece la LOPD, con lo cual, es posible decir que aunque evadir el deber de informar es un tema arduo y complejo, lo que sí es cierto es que en éste caso el consentimiento no fue necesario. Cuestión que parece que la AEPD ha debido de tener en cuenta, ya en la última versión de la que disponemos del ANTEPROYECTO DE LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL (en adelante el Anteproyecto), establece el artículo 15.5 en el Capítulo II Disposiciones aplicables a tratamientos concretos que:
5. “Los empleadores podrán tratar los datos obtenidos a través de sistemas de cámaras o videocámaras para el ejercicio de las funciones de control de los trabajadores previstas en el artículo 20.3 del Estatuto de los Trabajadores siempre que les hubieran informado acerca de esta medida”.
Con lo cual, siguiendo esta línea, queda definida una base jurídica que perfectamente puede suplir el consentimiento cuando cumpla con los requisitos establecidos anteriormente.
Datos de contacto
Como señalábamos anteriormente, es cierto que con la nueva regulación desaparece la excepción que se establecía en el artículo 2.2 RLOPD; hecho que fue constatado en la última sesión anual que realizó la AEPD (9ª Sesión Anual Abierta de la AEPD. Centro de Conferencias Fundación Pablo VI. 25 de mayo de 2017). En la misma, se indicó claramente que éste artículo quedaría sin efecto, en relación a lo dispuesto en el Reglamento Europeo, aunque también se indicó que sí sería posible y recomendable, buscar otro tipo de fundamento en otra causa de legitimación. Hecho que, por otra parte, parece tener bastante sentido, puesto que sería absurdo recabar el consentimiento de meros datos de contacto que son necesarios para desarrollar la actividad o el servicio, pero que son accesorios a la finalidad que se pretende conseguir. Es por ello, que el Anteproyecto, dedica exclusivamente un artículo que servirá como base jurídica para el tratamiento. El artículo 12 viene a decir que se considerará dentro de la base jurídica del interés legítimo (Art. 6.1.f del Reglamento Europeo) el tratamiento los datos profesionales mínimos para la localización de la persona, siempre que tenga como única finalidad la de mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.
Asimismo, añade que el mismo amparo legal tendrá el tratamiento de los datos relativos a los empresarios individuales cuando se refieran a ellos en dicha condición y no se traten para entablar una relación con los mismos como personas físicas.
Tratamiento de datos manifiestamente públicos
Otro supuesto que llama especialmente la atención, es el que recoge el artículo 13 del Anteproyecto; es el caso de aquellos datos que el interesado hubiese hecho manifiestamente públicos anteriormente al tratamiento de los mismos. Tratamiento que el referido texto legal advierte lícito, siempre que no se trate de personas discapacitadas para las que se hubiesen establecido medidas de apoyo y aquellos referidos a menores de edad.
En este sentido, es posible que el legislador haya querido hacer referencia a la Sentencia del Tribunal Supremo 91/2017, de 15 de febrero, en la cual se plantea un conflicto entre la libertad de información y el derecho a la intimidad personal y familiar, y a la propia imagen.
Un medio de comunicación de Zamora, utilizó para un reportaje, la fotografía del demandante, herido por un disparo de su hermano, quien después acabó suicidándose. Para obtener la fotografía, el medio de comunicación no optó por recabar el consentimiento del demandante, sino que simplemente utilizó una de las fotos que pudo extraer de su perfil en una conocida red social.
En relación a este asunto, el TS determinó que una fotografía publicada en una red social y que es accesible a un público general, no autoriza a terceros a reproducirla en los medios de comunicación, y por tanto, entiende que las redes sociales no son fuentes accesibles al público. Asimismo, se entendió que no se trataba de una persona de relevancia pública y que además no se trataba de una fotografía meramente accesoria (esto es, que la persona aparezca de forma accidental en la foto sin ser el objeto principal de la misma), considerando por ello el tribunal que nos encontrábamos antes un supuesto de vulneración del derecho fundamental a la propia imagen, consagrado en el artículo 8.1 de la Ley Orgánica 1/1982.
Por tanto, puede que este sea uno de los grandes giros a la línea legal ya establecida, siendo un supuesto absolutamente novedoso y que aún está por definir.
Tratamiento de datos con fines de defensa judicial
Tampoco será necesario pedir el consentimiento explícito del interesado cuando vayan a tratarse los datos exclusivamente para la defensa ante un procedimiento judicial o administrativo.
Así el Considerando 52 del Reglamento Europeo establece:
“Debe autorizarse asimismo a título excepcional el tratamiento de dichos datos personales cuando sea necesario para la formulación, el ejercicio o la defensa de reclamaciones, ya sea por un procedimiento judicial o un procedimiento administrativo o extrajudicial”.
Otros tratamientos
Adicionalmente, el Reglamento Europeo en su Considerando 47 hace algunas otras menciones al interés legítimo en el tratamiento de datos, cuando dicho tratamiento se realiza con fines de Marketing Directo, Prevención del Fraude, transmisiones de datos dentro del Grupo Empresarial, transmisiones de datos para garantizar la seguridad de las redes, etc.
Esta relación de tratamientos, amparados por el interés legítimo, se encuentra en el dictamen sobre el concepto de interés legítimo del responsable de tratamiento de los datos en virtud del artículo 7 de la Directiva 95/46/CE/ que ya realizó el Grupo del Artículo 29 (Dictamen 06/2014 sobre el concepto de interés legítimo)
Asimismo, algunos de estos tratamientos también se encontraban exceptuados de la obligación de recabar el consentimiento según el criterio de la AEPD, por ejemplo la Prevención del Fraude, la cual se encuentra amparada por un precepto legal, el artículo 49.2 de la Ley 16/2009, de 13 de noviembre, de servicios de medios de pago, que establece:
“No será necesario el consentimiento del interesado para el tratamiento por parte de los sistemas de pago y los proveedores de servicios de pago de los datos de carácter personal que resulten necesarios para garantizar la prevención, investigación y descubrimiento del fraude en los pagos.
Asimismo, los sujetos a los que se refiere el párrafo anterior podrán intercambiar entre sí, sin precisar el consentimiento del interesado, la información que resulte necesaria para el cumplimiento de los citados fines.”
Por lo que el consentimiento no es requerido si los datos personales van a ser tratados por parte de proveedores de medios de pago, siempre y cuando el tratamiento tenga como finalidad principal o accesoria la prevención del fraude. Hecho que confirma además la AEPD en su Informe 0468/2010.
Otros tratamientos, como los referidos a la Mercadotecnia Directa, suponen moverse en aguas más turbulentas, puesto que en palabras de la propia AEPD aunque el considerando 47 reconoce que el tratamiento con fines de mercadotecnia directa puede considerarse realizado por interés legítimo, deberá ponderarse ese interés con la posible intrusión en el derecho fundamental. En este caso, habrá que realizar una evaluación de cada uno de los supuestos y finalidades del tratamiento, teniendo en cuenta que como indica el propio Reglamento Europeo, Tal interés legítimo podría darse, por ejemplo, cuando existe una relación pertinente y apropiada entre el interesado y el responsable, como en situaciones en las que el interesado es cliente o está al servicio del responsable. Por tanto, el supuesto de hecho habilitante para el tratamiento podría ser el envío de ofertas sobre el producto previamente contratado por el cliente, por ejemplo una compañía de telecomunicaciones que oferte al usuario por el paquete de telefonía y televisión contratado, una ampliación de canales, o cuando se refiera a productos o servicios semejantes a los ya contratados, así lo expresa el Considerando 32 del futuro Reglamento E-Privacy que regula la privacidad en el marco de las comunicaciones electrónicas:
It is therefore justified to require that consent of the end-user is obtained before commercial electronic communications for direct marketing purposes (…) However, it is reasonable to allow the use of e-mail contact details within the context of an existing customer relationship for the offering of similar products or services. Such possibility should only apply to the same company that has obtained the electronic contact details in accordance with Regulation (EU) 2016/679.
Sin embargo, no olvidemos que también el propio Reglamento Europeo expresa que cuando el tratamiento tenga fines adicionales, se necesitará un consentimiento adicional, haciendo hincapié especialmente en lo que se refiere a la elaboración de perfiles, por ello, deberán observarse cada uno de los supuestos con lupa, para determinar en cuáles de ellos es posible alegar éste interés legítimo como base para habilitar el tratamiento y en cuales es innegable la necesidad de recabar el consentimiento afirmativo de los afectados.
Adicionalmente, existen otro tipo de excepciones, como la establecida en el Considerando 112 del Reglamento Europeo, es decir, transferencias de datos requeridas por razones de interés público “en caso de intercambios internacionales de datos entre autoridades en el ámbito de la competencia, administraciones fiscales o aduaneras, entre autoridades de supervisión financiera, entre servicios competentes en materia de seguridad social o de sanidad pública (…)”.
Por todo ello, será imprescindible revisar caso por caso, atendiendo en todo caso al juicio de proporcionalidad (Tribunal Constitucional Sentencia 207/1996) en relación a determinar la base más adecuada para un tratamiento de datos lícito.
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación