Principios jurídicos en la protección de datos: consentimiento del afectado

El primer paso en el tratamiento del dato de carácter personal es el consentimiento del interesado o afectado. Como hemos explicado anteriormente, este consentimiento va intrínsecamente unido al derecho de información. Sin información no podremos hablar de un consentimiento libremente manifestado. Según el TC, ambos elementos, consentimiento e información, forman parte del contenido esencial del derecho a la protección de datos de carácter personal.

El consentimiento es el principio jurídico en la protección de datos que más infracciones sufre y más procedimientos sancionadores provoca.

▪ Art. 6.1: El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.

▪ Art. 6.2: No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.

▪ Art. 6.3: El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos.

▪ Art. 6.4: En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado.

El artículo 6 de la LOPD regula por un lado el principio general del consentimiento y por otro sus excepciones. Éstas raramente pueden infringirse por lo que nos centraremos en el consentimiento en sí.

–       Procedimiento Nº PS/00479/2008. Se trata de un procedimiento que en su día tuvo gran repercusión social, al aparecer en numerosos medios de comunicación del país. El procedimiento resuelve sobre un vídeo colgado en el conocido portal YouTube, con imágenes vejatorias y sin el consentimiento (lógicamente) del afectado.

 El tratamiento de datos sin consentimiento de los afectados constituye un límite al derecho fundamental a la protección de datos. Este derecho, en palabras del Tribunal Constitucional en su Sentencia de 30 de noviembre de 2000, consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el estado o un particular (…) (F.J. 7 primer párrafo).

Son pues elementos característicos del derecho fundamental a la protección de datos personales los derechos del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los mismos.

Resulta importante apuntar que, en un principio, éste procedimiento se seguía contra dos personas. Una de ellas quedó fuera del procedimiento al alegar que su router wifi se encontraba desprotegido (sin contraseña) en el momento de los hechos y que, por tanto, cualquiera pudo hacer uso de su conexión a Internet para llevar a cabo la conducta que se enjuicia.

El uso de las conexiones wifi, desprotegidas o no, esta generando un amplio debate ya que actualmente resulta prácticamente imposible demostrar que quien hizo uso de la conexión fue el propio titular de la misma. Es por ello que podemos encontrar tanto resoluciones administrativas de la AEPD como sentencias judiciales siguiendo criterios dispares. En estos casos, la pericia de los abogados unido al general desconocimiento del estado actual de la tecnología por jueces y fiscales pueden llegar a desembocar en un cajón de impunidad sin fondo en el que se archiven multitud de procesos por falta de pruebas. En otras ocasiones, el juzgador hace oídos sordos (empujado por su ignorancia), llegando a prescindir de la presunción de inocencia de una manera descarada.

–       Procedimiento Nº PS/00565/2008. En este procedimiento se examina un supuesto muy frecuente en relación con la falta de consentimiento, como es el de la inclusión de datos personales en repertorios telefónicos sin el consentimiento del afectado.

El tratamiento de datos sin consentimiento de los afectados o sin otra habilitación amparada por la Ley constituye una vulneración del derecho fundamental a la protección de datos. Este derecho, en palabras del Tribunal Constitucional en su Sentencia 292/2000, de 30 de noviembre (F.J. 7, primer párrafo), “consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el estado o un particular (…)”.

Por tanto, corresponde a GUÍA COMERCIAL 2000 acreditar que cuenta con el consentimiento de la afectada para el tratamiento de sus datos personales, máxime cuando ésta niega haberlo otorgado. Sin embargo, en el supuesto examinado, GUÍA COMERCIAL 2000 no acredita disponer del consentimiento de la afectada para el tratamiento de sus datos, resultando, por tanto, evidente la existencia de, al menos, una falta de la diligencia debida en los hechos imputados plenamente imputable a dicha entidad, que trató los datos de la denunciante sin su consentimiento.

Como podemos observar, la AEPD vuele a remitirse a la misma jurisprudencia del TS. Pero también hace una mención importante a la carga de la prueba, y es que la parte que está siendo objeto del procedimiento sancionador, siguiendo el criterio general en materia probatoria, es la que debe probar los hechos impeditivos, extintivos o excluyentes. Es crucial tener esto en cuenta, puesto que los responsables de ficheros deber tener el máximo cuidado en guardar el documento (u otro sistema) en el que se recabó el consentimiento. Esto, a su vez, nos plantea el interrogante del consentimiento verbal, ya que la ley no exige que este conste por escrito.

–       Procedimiento Nº PS/00507/2008. Otro supuesto que se repite con mucha frecuencia es la inclusión de datos personales en páginas web sin el consentimiento del interesado.

 Para que el tratamiento de los datos del denunciante realizado por CNT resultara conforme con los preceptos de la LOPD, hubiera debido concurrir alguno de los supuestos contemplados en el artículo 6 de la LOPD. Sin embargo, CNT no ha acreditado que el denunciante hubiera prestado el consentimiento para el tratamiento de sus datos, y tampoco se ajusta el presente caso a ninguno de los supuestos exentos de tal consentimiento que recoge el apartado 2 del artículo 6 citado.

El artículo 3 de la LOPD define en su apartado h) como “Consentimiento del interesado” a “Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.”

La LOPD no requiere que el consentimiento se preste por escrito o con formalidades determinadas, pero sí exige que el consentimiento de los afectados sea “inequívoco”.

En primer lugar, apuntar que ésta resolución vuelve a hacer referencia a la misma doctrina del TC que en las anteriores; además, se refiere también a la regla general de la carga de la prueba.

Finalmente, constata lo que apuntábamos en la resolución anterior, que la LOPD no requiere que el consentimiento se preste por escrito, con las dificultades que esto puede plantear en la práctica, a la hora de probar que éste fue otorgado.

En el año 2008 la Agencia resolvió 51 procedimientos sancionadores por infracción del artículo 6 LOPD.

Principios jurídicos en la protección de datos: derecho de información en la recogida de los datos

El primer momento de la recogida de los datos requiere el consentimiento del afectado. Para que ese consentimiento sea válido, se hace necesaria una previa información que garantice la libertad, voluntariedad y lo inequívoco del consentimiento prestado.

Se trata de un principio jurídico en la protección de datos de gran importancia, cuya infracción ha propiciado no pocos procedimientos sancionadores.

▪ Art. 5.1: Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:

a. De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

b. Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

c. De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

d. De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

e. De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de trámite, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.

▪ Art. 5.2: Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.

▪ Art. 5.3: No será necesaria la información a que se refieren las letras b, c y d del apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban.

Se trata de preceptos íntimamente unidos, dirigido el segundo de ellos a especificar las formalidades a seguir en el proceso informativo.

–       Procedimiento Nº PS/00201/2008. La resolución recaída en este procedimiento incide en la necesaria conexión entre la obligación de informar y la prestación del consentimiento.La obligación que impone este artículo 5 de la LOPD es, por tanto, la de informar al afectado en la recogida de datos, pues sólo así queda garantizado el derecho del afectado a tener una apropiada información y a consentir o no el tratamiento, en función de aquélla.

La Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, que delimita el contenido esencial del derecho fundamental a la protección de los datos personales, ha destacado la importancia del derecho de información en la recogida de datos, como un elemento indispensable de este derecho, en los siguientes términos: “De suerte que, sin la garantía que supone el derecho a una información apropiada mediante el cumplimiento de determinados requisitos legales (art. 5 LOPD) quedaría sin duda frustrado el derecho del interesado a controlar y disponer de sus datos personales, pues es claro que le impedirían ejercer otras facultades que se integran en el contenido del derecho fundamental al que estamos haciendo referencia”.

Actualmente es difícil encontrar un contrato que vaya a suponer tratamiento de datos personales sin la correspondiente cláusula o coletilla informativa de los derechos del afectado. En este sentido, los procedimientos sancionadores se dirigen principalmente contra la carencia de esta información en páginas web y, sobre todo, en el ámbito de la videovigilancia, campo en el que la información se sustituye por un cartel informativo que debe colocarse en lugar visible y cuyo modelo estándar ha sido publicado por la propia AEPD.

Finalmente, apuntar que la Agencia suele suavizar bastante las sanciones por la infracción de los artículos 5.1 y 5.2, imponiendo multas de 601,01 Euros en la mayoría de los casos, y que han sido muy escasos los procedimientos sancionadores por infracción de estos artículos.

▪ Art. 5.4: Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, así como de lo previsto en las letras a, d y e del apartado 1 del presente artículo.

▪ Art. 5.5: No será de aplicación lo dispuesto en el apartado anterior, cuando expresamente una ley lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia Española de Protección de Datos o del organismo autonómico equivalente, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias”.

Asimismo, tampoco regirá lo dispuesto en el apartado anterior cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial, en cuyo caso, en cada comunicación que se dirija al interesado se le informará del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten.

Se trata de supuestos en los que, dentro de las excepciones al consentimiento que establece la ley, los datos se recaban por otros medios distintos del propio interesado, por ejemplo, de fuentes accesibles al público (las guías telefónicas, aunque también es cierto que antes de la inclusión de los datos en estas guías, el interesado ha tenido que prestar su consentimiento o su no negativa a dicha inclusión).

–       Procedimiento Nº PS/00002/2008. La AEPD, en esta resolución, arroja claridad sobre los supuestos en que deben aplicarse los apartados 4 y 5 del artículo 5 LOPD, remitiéndose incluso a jurisprudencia del TC.

La obligación que impone este artículo 5 es, por tanto, la de informar al afectado en la recogida y tratamiento de los datos, pues sólo así queda garantizado el derecho del afectado a tener una apropiada información y a consentir o no dicho tratamiento, en función de aquella información.

…de otro lado, es evidente que el interesado debe ser informado tanto de la posibilidad de cesión de sus datos personales y sus circunstancias como del destino de estos, pues solo así será eficaz su derecho a consentir, en cuanto facultad esencial de su derecho a controlar y disponer de sus datos personales. Para lo que no basta que conozca que tal cesión es posible según la disposición que ha creado o modificado el fichero, sino también las circunstancias de cada cesión concreta. Pues en otro caso seria fácil al responsable del fichero soslayar el consentimiento del interesado mediante la genérica información de que sus datos pueden ser cedidos. De suerte que, sin la garantía que supone el derecho a una información apropiada mediante el cumplimiento de determinados requisitos legales (Art. 5 LOPD) quedaría sin duda frustrado el derecho del interesado a controlar y disponer de sus datos personales, pues es claro que le impedirían ejercer otras facultades que se integran en el contenido del derecho fundamental al que estamos haciendo referencia.

…quiere ello decir que cuando el tratamiento se realice exclusivamente con fines de publicidad y de prospección comercial, y los datos se hayan obtenido de fuentes accesibles al público, bastará con que en cumplimiento de lo dispuesto en el artículo 5.5 de la LOPD, en cada comunicación que se dirija al interesado, se le informe del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten.

Durante el año 2008 la Agencia tan sólo resolvió sobre dos procedimientos sancionadores por infracción del artículo 5.4 y uno sobre el 5.5, en la línea del resto de procedimientos por infracción del derecho a la información. Esto es así porque estamos ante una obligación por parte del responsable del fichero que no plantea ningún problema en su cumplimiento, basta con incorporar en contratos o cualquier tipo de comunicación con el interesado unas cláusulas genéricas al alcance de todo el mundo.