Principios jurídicos en la protección de datos: comunicación de datos

Del estudio de los principios anteriores, concretamente el consentimiento del afectado, el deber de secreto y la seguridad, se deduce que el conocimiento o comunicación de los datos de carácter personal a terceras personas no está permitido, a menos que medie la aprobación del propio interesado.

Por tanto, la comunicación de los datos a terceros exige el consentimiento, que deberá prestarse en los mismos términos exigidos por el artículo 6 LOPD, es decir, debe ser primeramente informado y prestarse de forma inequívoca. Debido a esta íntima conexión del consentimiento con la comunicación de datos, en la inmensa mayoría de procedimientos sancionadores iniciados como consecuencia de la comunicación ilegítima de datos, se infringen tanto el artículo 11 como el 6 LOPD.

▪ Art. 11.1: Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

▪ Art. 11.2: El consentimiento exigido en el apartado anterior no será preciso:

a. Cuando la cesión está autorizada en una ley.

b. Cuando se trate de datos recogidos de fuentes accesibles al público.

c. Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.

d. Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.

e. Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.

f. Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.

▪ Art. 11.3: Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero, cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquel a quien se pretenden comunicar.

▪ Art. 11.4: El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable.

▪ Art. 11.5: Aquel a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la presente Ley.

▪ Art. 11.6: Si la comunicación se efectúa previo procedimiento de disociación, no será aplicable lo establecido en los apartados anteriores.

–       Procedimiento Nº PS/00318/2008. Lo usual en la comunicación de datos a terceros sin el consentimiento del interesado es que haya con fin comercial. Normalmente se trata de pactos o contratos entre cedente y cesionario a cambio de un precio.

En el presente caso, ha quedado acreditado que Toledo y Asociados Gestores Administrativos SL cedió a La Caixa los datos personales de la denunciante, junto con los de otros empleados de la empresa, para una finalidad diferente para la que fueron recabados no habiendo podido justificar que contara con el consentimiento de la denunciante para tal cesión. Las manifestaciones del delegado de personal en la empresa se contradicen con las de la denunciante, no son suficientes para acreditar que la denunciante fue informada y dió su consentimiento de forma inequívoca a la cesión de datos.

La conducta descrita – cesión de datos a terceros-, debería contar con el consentimiento o, en su defecto, con que los datos proviniesen de fuentes accesibles al público o que existiera una Ley que amparara esa cesión. Sin embargo, en el presente caso, no han quedado acreditados tales extremos.

Los fundamentos de la presente resolución vienen a concretar el supuesto que produce la cesión ilegítima: finalidad distinta para la que fueron recabados los datos y falta de consentimiento del afectado.

En relación al consentimiento, reitera lo que ya habíamos apuntado en anteriores resoluciones: la carga de la prueba. La empresa cedente alega que recabó el consentimiento de forma verbal, hecho que desmiente la denunciante. Al no haber prueba material, la AEPD sanciona a la empresa cedente, que no actuó con la debida diligencia en el momento de recabar el consentimiento. También nos hemos referido en anteriores supuestos a que la LOPD no exige que el consentimiento medie por escrito, pero vista la inflexibilidad con la que la Agencia sanciona, la forma escrita del consentimiento se convierte en prácticamente una obligación.

–       Procedimiento Nº PS/00112/2008. En este supuesto, la entidad contra la que se dirigen las actuaciones sí cumplía los requisitos que habilitan para la comunicación de datos.

En el presente caso, ha quedado acreditado que VENTA DIRECTA obtuvo los datos del denunciante mediante un cupón de pedido cumplimentado por él mismo para la compra de productos comercializados por dicha entidad, y que tales datos fueron cedidos a BANKINTER, con la intermediación de la entidad Mediaprisme España, S.L., en virtud de los contratos suscrito por dichas entidades. Para que dicha cesión se adapte a lo previsto en la normativa de protección de datos es preciso que VENTA DIRECTA contara con el consentimiento del afectado, siendo necesario, además, que dicha entidad acredite la existencia de ese consentimiento. En su defecto, debe acreditarse que concurría alguno de los supuestos contemplados en el artículo 11.2, que eximen al responsable del fichero del citado requisito del consentimiento.

En cuanto a la carga de la prueba, la Sentencia de la Audiencia Nacional de fecha 11/05/2001 afirma que “quien gestiona la base, debe estar en condiciones de acreditar el consentimiento del afectado … siendo carga de la prueba del mismo su justificación, y la entidad recurrente en ningún momento ha realizado esfuerzo probatorio tendente a la acreditación del consentimiento de las personas en las que se basa la sanción”. Así, compete a la entidad que efectúa el tratamiento de datos probar que posee el consentimiento del afectado para la utilización de los datos realizada, en definitiva acreditar que el tratamiento y cesión de datos que realiza resulta acorde con los dictados de la LOPD.

En el presente caso, ha quedado acreditado que VENTA DIRECTA disponía del consentimiento del denunciante para ceder sus datos a terceras empresas del sector financiero, como la entidad BANKINTER, con fines promocionales, por lo que no cabe imputarle la comisión de una infracción del citado artículo 11.1 de la LOPD, que admite estas comunicaciones de datos con el consentimiento del afectado.

Se cumple por tanto el requisito del consentimiento así como la prueba del mismo. Es importante señalar que éste caso el consentimiento fue otorgado de forma tácita, cuestión que no impide su aplicabilidad, siempre que no esté afectando a datos de los calificados como sensibles.

Finalmente, decir que la falta de consentimiento del artículo 11 LOPD se sanciona con multa de 300.000 a 600.000 euros, es decir, una infracción muy grave, frente a la grave que supondría recabar los datos sin el consentimiento del afectado.

En el año 2008, se resolvieron 15 procedimientos sancionadores por infracción el artículo 11 LOPD.

Principios jurídicos en la protección de datos: deber de secreto

El artículo 10 de la LOPD, que regula el deber de secreto en el tratamiento de los datos de carácter personal, es otro de los pilares básicos de la protección de datos. Como ya habíamos apuntado, la protección implica seguridad. Pues bien, en la gran mayoría de los casos, la seguridad implica además secreto.

Durante el tratamiento de ficheros y datos, el deber de secreto tiene que ser una constante cuyo cumplimiento es más una obligación de “quienes intervengan en cualquier fase del tratamiento”, es decir, del personal que trabaja día a día con esos datos, que de los propios responsables o titulares del fichero.

▪ Art. 10: El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal esten obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

–       Procedimiento Nº PS/00374/2008. Los hechos enjuiciados en este procedimiento se desarrollan en el ámbito laboral/sindical, extremadamente propicio a la vulneración del derecho a la protección de datos debido principalmente a las reticencias e intereses contrapuestos que hay en juego (en muchas ocasiones se publican datos sensibles, bien por sindicatos, bien por parte del empresario, como represalia a conductas contrarias a los intereses de cada uno).

El deber de secreto profesional que incumbe a los responsables de los ficheros y a todos aquellos que intervengan en cualquier fase del tratamiento de los datos de carácter personal, recogido en el artículo 10 de la LOPD, comporta su obligación de no revelar ni dar a conocer su contenido, así como “deber de guardarlos”. Continúa dicho artículo añadiendo:“obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”. Este deber es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática, a que se refiere la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, y por lo que ahora interesa, comporta que los datos tratados no pueden ser conocidos por ninguna persona o entidad ajena fuera de los casos autorizados por la Ley, pues en eso consiste, precisamente, el secreto.

Este deber de sigilo resulta esencial en la sociedad contemporánea, cada vez más compleja, en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de los derechos fundamentales, como el derecho a la protección de los datos personales, que recoge el artículo 18.4 de la Constitución Española. En efecto, este precepto contiene un “instituto de garantía de los derechos de los ciudadanos que, además, es en sí mismo un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos” (Sentencia del Tribunal Constitucional 292/2000). Este derecho fundamental a la protección de datos persigue garantizar a la persona un poder de control sobre sus datos personales, sobre su uso y destino que impida que se produzcan situaciones atentatorias de la dignidad de la persona.

–       Procedimiento Nº PS/00336/2008. Otro supuesto muy común de vulneración del deber de secreto se produce en las comunicaciones de deudas. En estos casos los acreedores no tienen inconveniente en hacer sabedores de esas deudas, con nombres y apellidos, a personas ajenas a la relación contractual.

Se imputa en el presente expediente a la entidad Urbanística Colaboradora de conservación de la Urbanización “San Miguel”, de Náquera, y subsidiariamente, a la Comunidad de Propietarios Urbanización “San Miguel “de Náquera, el hecho de haber vulnerado el artículo 10 de la LOPD, al publicar en espacio de acceso público no solo con posibilidad de acceso de los propietarios sino de terceros, una relación con 33 deudores…

El deber de secreto tiene como finalidad evitar que, por parte de quienes están en contacto con los datos personales almacenados en ficheros, se realicen filtraciones de los datos no consentidas por los titulares de los mismos. Así el Tribunal Superior de Justicia de Madrid ha declarado en su Sentencia nº 361, de 19/07/2001: “El deber de guardar secreto del artículo 10 queda definido por el carácter personal del dato integrado en el fichero, de cuyo secreto sólo tiene facultad de disposición el sujeto afectado, pues no en vano el derecho a la intimidad es un derecho individual y no colectivo. Por ello es igualmente ilícita la comunicación a cualquier tercero, con independencia de la relación que mantenga con él la persona a que se refiera la información (…)”.

Estas dos resoluciones nos dan las notas básicas sobre las que hay que interpretar el artículo 10 LOPD. Por un lado se trata de un deber, un deber que como hemos dicho incumbe tanto al responsable del fichero como a cualquier persona que intervenga en el proceso de tratamiento. Este deber se configura como una obligación de no hacer, de no revelar el contenido del dato de carácter personal. Por otro lado, estamos ante un derecho del propio interesado o afectado, que dimana del artículo 18 de la CE, derecho que persigue garantizar a la persona un poder de disposición y control sobre sus datos, sobre su uso y destino que impida cualquier atentado contra la dignidad de la persona (su honor, intimidad y propia imagen).

Principios jurídicos en la protección de datos: seguridad de los datos

La seguridad es un elemento fundamental en la protección de datos; sin seguridad no hay protección. En muchos casos, a la hora del tratamiento de datos, la seguridad pasa a un segundo plano debido al común error de pensar que la mera notificación de ficheros a la AEPD y la inclusión de un par de cláusulas informativas en contratos y formularios son suficientes para cumplir la ley. Esto no garantiza ni la seguridad ni la protección, fin último de la LOPD.

▪ Art. 9.1: El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que esten expuestos, ya provengan de la acción humana o del medio físico o natural.

▪ Art. 9.2: No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

▪ Art. 9.3: Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley.

La regulación destinada a preservar la seguridad de los datos establece que las medidas a adoptar por el responsable del fichero o encargado del tratamiento han de ser de índole técnica y organizativa, y la finalidad de las mismas es evitar su alteración, pérdida y acceso no autorizado. El artículo 9.2 viene a establecer las mismas prescripciones pero por vía negativa. En cuanto al 9.3, remite la concreción de esas medidas técnicas y organizativas para datos sensibles a la vía reglamentaria (actualmente el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD). En los procedimientos sancionadores de la AEPD sólo se ha observado infracción el artículo 9.1.

–       Procedimiento Nº PS/00594/2008. Estamos ante un supuesto muy común de infracción del artículo 9.1 LOPD. Se trata del negligente uso de programas P2P (peer to peer, que permiten compartir archivos) que produce la “fuga” de ficheros con datos de carácter personal a través de Internet.

Sintetizando las previsiones legales puede afirmarse que:

a) Las operaciones y procedimientos técnicos automatizados o no, que permitan el acceso –la conservación o consulta- de datos personales, es un tratamiento sometido a las exigencias de la LOPD.

b) Los ficheros que contengan un conjunto organizado de datos de carácter personal así como el acceso a los mismos, cualquiera que sea la forma o modalidad en que se produzca, están, también, sujetos a la LOPD.

c) La LOPD impone al responsable del fichero la adopción de medidas de seguridad, cuyo detalle se refiere a normas reglamentarias, que eviten accesos no autorizados.

d) El mantenimiento de ficheros carentes de medidas de seguridad que permitan accesos o tratamientos no autorizados, cualquiera que sea la forma o modalidad de éstos, constituye una infracción tipificada como grave.

En este supuesto la Agencia podría haber precisado mejor sus fundamentos y aclarar que la concreta medida técnica infringida es el artículo 5 del derogado reglamento de desarrollo de la LORTAD o el artículo 85 del actual reglamento de desarrollo de la LOPD, que viene a establecer que las medidas de seguridad exigibles a los accesos a datos de carácter personal a través de redes de comunicaciones, sean o no públicas, deberán garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local. Evidentemente, si tenemos acceso al fichero a través de Internet de una forma abierta, sin restricciones, el tipo de acceso no es del modo “local”.

–       Procedimiento Nº PS/00274/2008. Otra situación que suele repetirse es el acceso a datos personales a través de páginas web que no han observado una adecuada política de seguridad. En otras ocasiones, a pesar de contar con medidas de seguridad apropiadas, es la pericia de los “atacantes” (hackers, en el argot informático) la que consigue romper la seguridad. Se trata de supuestos complejos en los que la Agencia ha de valorar las medidas de seguridad de una forma razonable, incluso por debajo del estado actual de la técnica, ya que de lo contrario estaríamos exigiendo a responsables de ficheros y encargados de tratamiento contar con unas medidas costosas y en muchos casos de difícil adopción.

La Agencia Española de Protección de Datos ha resuelto numerosos procedimientos sancionadores por infracciones en las medidas de seguridad al haber permitido diversas entidades, el acceso a través de Internet a la información de los datos personales y bancarios de sus clientes que obra en sus ficheros. Asimismo la Sala de lo Contencioso Administrativo de la Audiencia Nacional ha dictado sentencias en los recursos contenciosos–administrativos interpuestos por las entidades sancionadoras. Entre ellas, en la Sentencia de la Audiencia Nacional, Sala de lo Contencioso- Administrativo, Sección Primera, núm. Recurso: 290/2004, de fecha 28 de junio de 2006, en el Fundamento de Derecho Cuarto señala: “Esta misma Sala, resolviendo supuestos anteriores en los que los hechos se tipificaron a tenor de dicho Artículo 9 de la Ley Orgánica 15/1999, de Protección de Datos, ha establecido la siguiente doctrina (sentencias de 13 de junio de 2002, Reo. 1161/2001, y de 7 de febrero de 2003, Reo. 1182/2003, entre otras):

No basta, entonces, con la adopción de cualquier medida, pues deben ser las necesarias para garantizar aquellos objetivos que marca el precepto. Y, por supuesto, no basta con la aprobación formal de las medidas de seguridad, pues resulta exigible que aquéllas se instauren y pongan en práctica de manera efectiva. Así, de nada sirve que se aprueben unas Instrucciones detalladas sobre el modo de proceder para la recogida y destrucción de documentos que contengan datos personales, si luego no se exige a los empleados del banco la observancia de aquellas instrucciones.

Se impone, en consecuencia, una obligación de resultado, consistente en que se adopten las medidas necesarias para evitar que los datos se pierdan, extravíen o acaben en manos de terceros.

Resulta de gran importancia el razonamiento de esta resolución. En la práctica, las empresas se esfuerzan en crear complejos documentos de seguridad que difícilmente pueden llevarse a la práctica. En este sentido, es conveniente ajustar las medidas de seguridad a los mínimos exigidos, con tal de que puedan hacerse efectivas.