Archivo de la etiqueta: Protección de Datos

Delimitación de las figuras de responsable y encargado

Encargado

En ocasiones, en la práctica, resulta difícil diferenciar si, en nuestras relaciones con terceros que implican tratamiento de datos, se está produciendo una cesión o comunicación de datos personales (lo que supondría que el tercero adquiriría la condición de responsable) o un acceso por parte de un tercero a datos personales de los cuales somos responsables con la finalidad de prestarnos un servicio (encargado del tratamiento).

El artículo 3.d) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (“LOPD”) define al responsable del fichero como la “persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento”.

Por su parte, el artículo 3.g) de la LOPD define al encargado del tratamiento como “la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento”.

Por tanto, la condición de responsable o encargado del tratamiento se delimita en virtud de la capacidad de decisión sobre la finalidad, contenido o uso del tratamiento que ostentará el responsable; mientras que el encargado se limitará a actuar en virtud de las instrucciones conferidas por el responsable del tratamiento.

La Agencia Española de Protección de Datos (“AEPD”), en su Informe de 20 de julio de 2006, a este respecto, señala que “lo importante para delimitar los conceptos de responsable y encargado del tratamiento no resulta ser la causa que motiva el tratamiento de los mismos, sino la esfera de dirección, control u ordenación que el responsable pueda ejercer sobre el tratamiento de los datos de carácter personal que obran en su poder en virtud de aquella causa y que estaría enteramente vedado al encargado del tratamiento.”

La figura del encargado del tratamiento responde a la necesidad de dar respuesta a fenómenos como la externalización de servicios por parte de las empresas siendo, en palabras de Davara Rodríguez, las funciones que con mayor frecuencia son objeto de externalización “[…] las relativas al asesoramiento legal y fiscal, entre las que se incluye la gestión de personal y elaboración de nóminas, las actividades de mantenimiento informático, la formación y, en menor medida, la publicidad y la gestión comercial. Por otro lado, tienen cada vez más importancia las prestaciones de servicios de hosting, de destrucción documental o de sistemas de geolocalización.”

Tal y como señalan abundantes informes de la AEPD (entre otros 0227/2010 y el de 27 de julio de 2006),“Para delimitar si en un supuesto concreto nos encontramos ante una cesión de datos o ante una realización de actividades reguladas por el artículo 12 de la LOPD, será preciso atender a las circunstancias de cada caso, de tal forma que existirá cesión en aquellos supuestos en los que quien reciba los datos pueda aplicar los mismos a sus propias finalidades, decidiendo sobre el objeto y finalidad del tratamiento, lo que la convertirá a su vez en un responsable del fichero o tratamiento, mientras que la figura regulada por el artículo 12 de la LOPD tendrá cabida en aquellos casos en que la entidad receptora de los datos se limite a efectuar determinadas operaciones sobre los mismos sin decidir su finalidad.”

Asimismo, el Grupo del artículo 29 en su Dictamen 1/2010 sobre los conceptos de responsable del tratamiento y encargado del tratamiento, adoptado el 16 de febrero de 2010 señala que: “Este dictamen analiza asimismo el concepto de encargado del tratamiento, cuya existencia depende de una decisión adoptada por el responsable del tratamiento, que puede decidir que los datos se traten dentro de su organización o bien delegar todas o una parte de las actividades de tratamiento a una organización externa. Por lo tanto, para poder actuar como encargado del tratamiento tienen que darse dos condiciones básicas: por una parte, ser una entidad jurídica independiente del responsable del tratamiento y, por otra, realizar el tratamiento de datos personales por cuenta de éste. Esta actividad de tratamiento puede limitarse a una tarea o contexto muy específicos o dejar un cierto grado de discrecionalidad sobre cómo servir los intereses del responsable del tratamiento, permitiendo que el encargado del tratamiento elija los medios técnicos y de organización más adecuados.

Además, la función de encargado del tratamiento no se deriva de la naturaleza de un agente que trata datos personales, sino de sus actividades concretas en un contexto específico y respecto de unos conjuntos muy determinados de datos u operaciones. Hay una serie de criterios que pueden ser de utilidad para determinar la condición de los distintos agentes implicados en el tratamiento: el nivel de instrucciones anteriores dadas por el responsable del tratamiento de datos; el seguimiento por el responsable del tratamiento de datos del nivel del servicio; la visibilidad de cara a los interesados; los conocimientos especializados de las partes; el poder decisorio autónomo que se deja a las distintas partes.”

Por su parte, en el Informe 0290/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos se dice que:

“Asimismo, la doctrina emanada de la Audiencia Nacional ha permitido clarificar el alcance del concepto del encargado del tratamiento. Así, la Sentencia de 28 de septiembre de 2005 recuerda que “La diferencia entre encargado del tratamiento y cesión en algunos casos reviste cierta complejidad, pero como ha señalado esta Sección en la reciente sentencia de 12 de abril de 2005 (recurso 258/2003) lo típico del encargo de tratamiento es que un sujeto externo o ajeno al responsable del fichero va a tratar datos de carácter personal pertenecientes a los tratamientos efectuados por aquél con objeto de prestarle un servicio en un ámbito concreto….. Siendo esencial para no desnaturalizar la figura, que el encargado del tratamiento se limite a realizar el acto material de tratamiento encargado, y no siendo supuestos de encargo de tratamiento aquellos en los que el objeto del contrato fuese el ejercicio de una función o actividad independiente del encargado. En suma, existe encargo de tratamiento cuando la transmisión o cesión de datos está amparada en la prestación de un servicio que el responsable del tratamiento recibe de una empresa externa o ajena a su propia organización, y que ayuda en el cumplimiento de la finalidad del tratamiento de datos consentida por el afectado”.

En consecuencia, para determinar si nos encontramos en presencia de un encargado del tratamiento deberá analizarse si su actividad se encuentra limitada a la mera prestación de un servicio al responsable, sin generarse ningún vínculo entre el afectado y el supuesto encargado.

Además, obviamente, será preciso que corresponda al responsable el poder de decisión sobre la finalidad que justifica el tratamiento, de modo que si el tratamiento procede precisamente de la voluntad del encargado, aquél tendrá en todo caso la condición de responsable.

Ello sucederá si la empresa externa no puede en modo alguno decidir sobre el contenido, finalidad y uso del tratamiento y siempre que su actividad no le reporte otro beneficio que el derivado de la prestación de servicios propiamente dicha, sin utilizar los ficheros generados en modo alguno en su provecho, puesto que en ese caso pasaría a ser responsable del fichero.”

En su Informe 0574/20009, la Agencia dice, refiriéndose a la figura del encargado del tratamiento, que:

Ello sucederá siempre que la empresa que presta el servicio de alojamiento no pueda en modo alguno decidir sobre el contenido, finalidad y uso del tratamiento y siempre que su actividad no le reporte otro beneficio que el derivado de albergar las bases de datos, sin utilizarlas en modo alguno en su provecho, puesto que en ese caso pasaría a ser responsable del fichero, existiendo una cesión de datos de carácter personal que, tal y como exige el artículo 11.1 de la LOPD, requerirá el consentimiento de los afectados.

En el Informe 0127/2009 se concreta que:

“La existencia de un encargado del tratamiento viene delimitada por la concurrencia de dos características: la imposibilidad de decisión sobre la finalidad, contenido y uso del tratamiento y la inexistencia de una relación directa entre el afectado por el tratamiento y el encargado, que deberá en todo caso obrar en nombre y por cuenta del responsable como si la relación fuese entre éste y el afectado. En este sentido dispone el artículo 20.1 del Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado por Real Decreto 1720/2007, que “se considerará que existe comunicación de datos cuando el acceso tenga por objeto el establecimiento de un nuevo vínculo entre quien accede a los datos y el afectado”.”

También en el Informe 0177/2010 se dice que:

“Primero, delimitaremos si nos encontramos ante una cesión de datos o ante una realización de actividades reguladas por el artículo 12 de la Ley Orgánica, y para ello será preciso atender a las circunstancias de cada caso, de tal forma que existirá cesión en aquellos supuestos en los que quien reciba los datos pueda aplicar los mismos a sus propias finalidades, decidiendo sobre el objeto y finalidad del tratamiento, lo que la convertirá a su vez en un responsable del fichero o tratamiento, mientras que la figura regulada por el artículo 12 de la Ley Orgánica tendrá cabida en aquellos otros casos en que la entidad receptora de los datos se limite a efectuar determinadas operaciones sobre los mismos, sin decidir sobre su finalidad, restituyendo los datos al responsable una vez concluida la prestación contratada con aquél.

A nuestro juicio, en el supuesto planteado, entendemos que cuando la entidad consultante facilite a la empresa los datos de los interlocutores, con la única finalidad de llevar a cabo la prestación de servicios, no pudiendo utilizarlo para ninguna otra y debiendo devolverlos a la entidad consultante, una vez concluida ésta, dicha actividad encaja en la figura del encargado del tratamiento, la cual se regula en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal (LOPD), aunque es el artículo 3.g) de la misma el que la define como “la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento”.”

En conclusión, para ser encargado del tratamiento es necesario:

  • No tener capacidad de decisión sobre la finalidad, contenido o uso del tratamiento;
  • Limitarse a actuar en virtud de las instrucciones conferidas por el responsable.
  • No poder aplicar los datos personales a sus propias finalidades.
  • Que no se genere un vínculo entre el afectado y el supuesto encargado.
  • Que el tratamiento no proceda de la voluntad del encargado.
  • Que la actividad no le reporte otro beneficio que el derivado de la prestación del servicio al responsable.
  • No utilizar los datos personales en su provecho.
  • No comunicarlos, ni siquiera para su conservación, a otras personas.
  • Restituir o destruir los datos a la finalización de la prestación contratada.
  • Sería posible que el encargado subcontratara, pero únicamente cuando el responsable apodere al encargado para la celebración del segundo contrato en nombre de aquél o que se den los requisitos recogidos en el artículo 21.2 del Reglamento (que se especifiquen en el contrato los servicios que puedan ser objeto de subcontratación y, si ello fuera posible, la empresa con la que se vaya a subcontratar y, si no comunicar al responsable los datos que identifiquen a dicha empresa antes de proceder a la subcontratación; que el tratamiento por el subcontratista se ajuste a las instrucciones del responsable; que el encargado y el subcontratista formalicen el contrato previsto en el artículo 12 LOPD).

Por otro lado, procede recordar que, con vistas a la aplicación del Reglamento General de Protección de Datos, a partir del 25 de mayo de 2018, la AEPD ha publicado el documento denominado Directrices para la elaboración de contratos entre responsables y encargados del tratamiento, que se puede consultar y descargar en el siguiente enlace. Tal y como advierte la propia AEPD, Estas directrices están pensadas para ayudar a responsables y encargados durante el periodo transitorio hasta la entrada en aplicación del RGPD. Posteriormente, y de acuerdo con lo previsto en el Reglamento, la AEPD podrá elaborar clausulados modelo que deberán ser aprobados por el futuro Comité Europeo de Protección de Datos. La Comisión Europea también podrá preparar cláusulas contractuales modelo.”

Delimitación de las figuras de responsable y encargado
644.2 KiB
815 Downloads
Details
J&I ZURDO, ABOGADOS

Tratamiento de datos de contacto y de empresarios individuales en el borrador del anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal

Desde hace unos días, está disponible en la página web del Ministerio de Justicia el texto del borrador del anteproyecto de la Ley Orgánica de Protección de Datos.

En concreto, en su artículo 12, se refiere a una cuestión que en la actualidad se regula en el artículo 2 del Reglamento de desarrollo de la Ley Orgánica 15/1999: datos de contacto y de empresarios individuales.

El artículo 12 del borrador del anteproyecto dice lo siguiente:

Artículo 12. Tratamiento de datos de contacto y de empresarios individuales.

1. Se entenderá amparado en lo dispuesto en el artículo 6.1.f) del Reglamento (UE) 2016/679 el tratamiento de los datos de contacto de las personas físicas que presten servicios en una persona jurídica siempre que se cumplan los siguientes requisitos:

a) Que el tratamiento se refiera únicamente a los mínimos datos imprescindibles para su localización profesional.

b) Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.

2. El mismo amparo legal tendrá el tratamiento de los datos relativos a los empresarios individuales cuando se refieran a ellos en dicha condición y no se traten para entablar una relación con los mismos como personas físicas.”

En consecuencia, el borrador del anteproyecto considera que este tipo de tratamientos quedan amparados por el interés legítimo, siempre que se cumplan los requisitos expresados.

Además, esta redacción supone que ese tipo de datos no quedarían excluidos del régimen de aplicación de la protección de datos de carácter personal, como sí que venía ocurriendo con el artículo 2 del Reglamento de desarrollo de la Ley Orgánica 15/1999.

Tratamiento De Datos De Contacto Y De Empresarios Individuales Anteproyecto LOPD
Tratamiento De Datos De Contacto Y De Empresarios Individuales Anteproyecto LOPD
Tratamiento-de-datos-de-contacto-y-de-empresarios-individuales-Anteproyecto-LOPD.pdf
548.2 KiB
1352 Downloads
Details
J&I ZURDO, ABOGADOS

El consentimiento en el nuevo Reglamento Europeo de Protección de Datos

consentimiento

El nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) define el <<consentimiento del interesado>> en su artículo 4, apartado 11) como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.

El Reglamento europeo incluye en su artículo 6.1. a), entre los supuestos lícitos de tratamiento, que el interesado haya dado “su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos”.

El artículo 7 del Reglamento europeo, relativo a las condiciones para el consentimiento, dispone lo siguiente:

“Artículo 7 Condiciones para el consentimiento

  1. Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.
  2. Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte de la declaración que constituya infracción del presente Reglamento.
  3. El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo.
  4. Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.”

Por tanto, las ideas fundamentales respecto a estas condiciones son:

  1. El responsable deberá ser capaz de demostrar el consentimiento.
  2. En caso de que el consentimiento se dé mediante una declaración escrita que también se refiera a otros asuntos, la solicitud del consentimiento tendrá que presentarse de manera que se distinga claramente de los demás asuntos.
  3. El interesado podrá retirar su consentimiento en cualquier momento, debiendo ser informado de esta posibilidad antes de prestar el mismo.
  4. El consentimiento debe prestarse libremente y, para evaluar esa libertad, se tendrá en cuenta si la ejecución de un contrato se supedita al consentimiento al tratamiento de datos que no son necesarios para su ejecución.

Por otro lado, en el caso del consentimiento prestado por menores (a los que el Reglamento europeo llama “niños”), el artículo 8 establece lo siguiente:

“Artículo 8 Condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la información

  1. Cuando se aplique el artículo 6, apartado 1, letra a), en relación con la oferta directa a niños de servicios de la sociedad de la información, el tratamiento de los datos personales de un niño se considerará lícito cuando tenga como mínimo 16 años. Si el niño es menor de 16 años, tal tratamiento únicamente se considerará lícito si el consentimiento lo dio o autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se dio o autorizó.

Los Estados miembros podrán establecer por ley una edad inferior a tales fines, siempre que esta no sea inferior a 13 años.

  1. El responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible.
  2. El apartado 1 no afectará a las disposiciones generales del Derecho contractual de los Estados miembros, como las normas relativas a la validez, formación o efectos de los contratos en relación con un niño.”

Esto supone también un cambio respecto a la legislación española actual, puesto que el artículo 13 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, establece que el menor de edad, mayor de 14 años podrá, por regla general, prestar el consentimiento para el tratamiento de sus datos personales. En cualquier caso, como el artículo 8.1 último párrafo del Reglamento europeo señala que los Estados miembros podrán establecer por ley una edad inferior, siempre que no sea inferior a 13 años, es previsible que en España se mantenga la edad de 14 años.

Por su parte, el Considerando 32 del Reglamento europeo dispone que:

“(32) El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.”

Por tanto:

  1. Se precisa un acto afirmativo claro.
  2. Se considera válido insertar una casilla para marcar en un sitio web en internet, elegir parámetros técnicos para el uso de servicios de la sociedad de la información (por ejemplo, para el consentimiento a las cookies) o cualquier otra declaración o conducta que muestre claramente en este contexto que el afectado consiente la propuesta de tratamiento de sus datos personales.
  3. El silencio, las casillas ya marcadas o la inacción no se consideran consentimiento.
  4. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines.
  5. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Por tanto, cuando se trate de “finalidades distintas” a la ejecución de un contrato, resulta claro que tendrá que prestarse el consentimiento para las mismas. Además, al precisarse un “acto afirmativo claro” y excluir la “inacción”, resulta dudoso que el consentimiento se pueda entender prestado cuando las casillas se redacten en sentido negativo, pretendiendo considerar otorgado el consentimiento si no se marca la casilla correspondiente (como, sin embargo, viene aceptándose en la actualidad).

En definitiva, el Reglamento europeo no admite formas del consentimiento tácito o por omisión.

Este tipo de consentimiento sí que se recogía en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, en concreto en su artículo 14, que dispone lo siguiente:

“Artículo 14 Forma de recabar el consentimiento

  1. El responsable del tratamiento podrá solicitar el consentimiento del interesado a través del procedimiento establecido en este artículo, salvo cuando la Ley exija al mismo la obtención del consentimiento expreso para el tratamiento de los datos.
  2. El responsable podrá dirigirse al afectado, informándole en los términos previstos en los artículos 5 de la Ley Orgánica 15/1999, de 13 de diciembrey 12.2 de este reglamento y deberá concederle un plazo de treinta días para manifestar su negativa al tratamiento, advirtiéndole de que en caso de no pronunciarse a tal efecto se entenderá que consiente el tratamiento de sus datos de carácter personal.

En particular, cuando se trate de responsables que presten al afectado un servicio que genere información periódica o reiterada, o facturación periódica, la comunicación podrá llevarse a cabo de forma conjunta a esta información o a la facturación del servicio prestado, siempre que se realice de forma claramente visible.

  1. En todo caso, será necesario que el responsable del tratamiento pueda conocer si la comunicación ha sido objeto de devolución por cualquier causa, en cuyo caso no podrá proceder al tratamiento de los datos referidos a ese interesado.
  2. Deberá facilitarse al interesado un medio sencillo y gratuito para manifestar su negativa al tratamiento de los datos. En particular, se considerará ajustado al presente reglamento los procedimientos en el que tal negativa pueda efectuarse, entre otros, mediante un envío prefranqueado al responsable del tratamiento, la llamada a un número telefónico gratuito o a los servicios de atención al público que el mismo hubiera establecido.
  3. Cuando se solicite el consentimiento del interesado a través del procedimiento establecido en este artículo, no será posible solicitarlo nuevamente respecto de los mismos tratamientos y para las mismas finalidades en el plazo de un año a contar de la fecha de la anterior solicitud.”

Según la regulación vigente, el consentimiento podrá ser tácito en el tratamiento de datos, si bien tendrá que tratarse de datos que no sean especialmente protegidos (excluidos, por tanto, a tenor de los artículos 7.2 y 7.3 de la Ley Orgánica 15/1999 los datos de ideología, religión, creencias y afiliación sindical, para los que es necesario el consentimiento expreso y escrito y los datos relacionados con la salud, el origen racial y la vida sexual, para los que es necesario el consentimiento expreso aunque no necesariamente escrito). Además, y tal y como advierte la Agencia, para que ese consentimiento tácito pueda ser considerado inequívoco será preciso otorgar al afectado un plazo prudencial para que pueda claramente tener conocimiento de que su omisión de oponerse al tratamiento implica un consentimiento al mismo, no existiendo al propio tiempo duda alguna de que el interesado ha tenido conocimiento de la existencia del tratamiento y de la existencia de ese plazo para evitar que se proceda al mismo.

Sin embargo, como adelantábamos, el Reglamento europeo no admite formas del consentimiento tácito o por omisión, por lo que los responsables deberán asegurarse de no seguir obteniendo consentimientos por omisión y revisar estos tratamientos para que, a partir de mayo de 2018, se hayan adecuado a lo dispuesto en el Reglamento europeo.

Esta adaptación podrá hacerse obteniendo un consentimiento de los interesados acorde con las disposiciones del Reglamento europeo o valorando si los tratamientos afectados pueden apoyarse en otra base legal (de las que prevé el artículo 6 del Reglamento europeo).

El Consentimiento En El Nuevo Reglamento
El Consentimiento En El Nuevo Reglamento
El-consentimiento-en-el-nuevo-Reglamento.pdf
645.7 KiB
1025 Downloads
Details
J&I ZURDO, ABOGADOS

Solicitud de consentimiento para finalidades distintas

portátil

El artículo 15 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal dispone lo siguiente:

Artículo 15 Solicitud del consentimiento en el marco de una relación contractual para fines no relacionados directamente con la misma

Si el responsable del tratamiento solicitase el consentimiento del afectado durante el proceso de formación de un contrato para finalidades que no guarden relación directa con el mantenimiento, desarrollo o control de la relación contractual, deberá permitir al afectado que manifieste expresamente su negativa al tratamiento o comunicación de datos.

En particular, se entenderá cumplido tal deber cuando se permita al afectado la marcación de una casilla claramente visible y que no se encuentre ya marcada en el documento que se le entregue para la celebración del contrato o se establezca un procedimiento equivalente que le permita manifestar su negativa al tratamiento.”

El ejemplo típico es aquel en el que al interesado en la adquisición de un producto o en la contratación de un servicio se le da a firmar un formulario y, en la cláusula de protección de datos, se solicita su consentimiento para tratar sus datos para remitirle información comercial. También es una práctica muy común cuando los usuarios se registran a través de internet.

En consecuencia, y en aplicación del mencionado artículo 15 del Reglamento, en estos casos será necesario que, en el mismo formulario, ya sea en soporte papel o en formato electrónico, se incluya una casilla sin marcar que permita “al afectado que manifieste expresamente su negativa al tratamiento o comunicación de datos.”

En la reciente Resolución R/01624/2016 (Procedimiento Nº PS/00050/2016) la Agencia consideró que la cláusula siguiente no cumplía lo dispuesto en el artículo 5 LOPD, en relación el artículo 15 del Reglamento:

“…Vd. consiente de forma expresa al tratamiento de sus datos a efectos de recibir información sobre los productos y servicios de la Entidad Aseguradora y de entidades pertenecientes al Grupo Asegurador Catalana Occidente. (www.grupocatalanaoccidente.com).

En caso de que Vd. no desee recibir tal información, podrá manifestarlo en cualquier momento, utilizando los mecanismos expresados anteriormente (correo ordinario o correo electrónico)…”

La Agencia razona lo siguiente:

“[…] se ha podido comprobar que el formulario habilitado por el mismo para la recogida de datos personales, denominado “Seguro del Automóvil”, que se incorporarán a los ficheros de dicha entidad, contiene una leyenda informativa en materia de protección de datos de carácter personal que no se ajusta a las previsiones normativas reseñadas.

En relación con la utilización de los datos para fines promocionales, no se ofrece a al denunciante una casilla que pudiera marcar para aponerse al tratamiento de sus datos con esas finalidades y a la cesión de los mismos, u otro procedimiento para que pueda mostrar su negativa en el momento en que se recaban los datos. Se advierte en el citado contrato sobre la posibilidad de manifestar la negativa mediante el envío de un correo ordinario o correo electrónico, que no cabe admitir al no poder llevarse a efecto en el momento indicado.

En este mismo sentido se pronuncia la sentencia de la Audiencia Nacional de fecha 30 de enero de 2013, al señalar la misma lo siguiente: “…no basta con informar en el catálogo de la posibilidad de recibir publicidad, sino que hay que informar y dar la posibilidad de que el afectado pueda mostrar su negativa al tratamiento de sus datos con dicha finalidad, como así lo exige el art. 15 del RD 1720/2007, en relación con el deber de información en la recogida de datos regulado en el citado art. 5.1 LOPD.

Y en el caso de autos no se ha informado y dado la posibilidad al afectado de mostrar su negativa al tratamiento de sus datos personales con esos fines que no guardan relación directa con la relación contractual, ni en el momento de realizar el pedido telefónicamente, ni tampoco cuando se recibe el pedido en el domicilio en el talón de venta que tiene que ser firmado por el destinatario de la mercancía, como así hizo el denunciante…”

La obligación de ofrecer la posibilidad de oponerse a los tratamientos publicitarios antes indicados, se establece para el momento de la recogida de los datos o, en los términos del artículo 15 del Reglamento de desarrollo de la LOPD, “durante el proceso de formación de un contrato”. Por tanto, la indicación sobre la posibilidad de los afectados de remitir un correo electrónico o correo ordinario exponiendo su negativa a facilitar sus datos con fines comerciales o publicitarios no resulta suficiente para entender cumplidas las exigencias normativas reseñadas.

En consecuencia, resulta claro que la posibilidad de oponerse al tratamiento para fines adicionales debe proporcionarse en el momento en el que se recogen los datos.

En el mismo sentido se pronuncia la también reciente Resolución R/01622/2016 (Procedimiento Nº PS/00045/2016):

Por otra parte, en relación con la utilización de los datos para fines promocionales, no se ofrece a los denunciantes una casilla que pudieran marcar para aponerse al tratamiento de sus datos con esas finalidades y a la cesión de los mismos, u otro procedimiento para que pueda mostrar su negativa en el momento en que se recaban los datos. Se advierte sobre la posibilidad de manifestar la negativa en cualquiera de las oficinas pero no se habilita ningún mecanismo que pueda ser utilizado en el momento de la recogida de datos. En las alegaciones formuladas a la apertura del procedimiento, el denunciado añade la posibilidad de enviar un correo electrónico con este propósito, que no cabe admitir al no poder llevarse a efecto en el momento indicado.

[…]

La obligación de ofrecer la posibilidad de oponerse a los tratamientos publicitarios antes indicados se establece para el momento de la recogida de los datos o, en los términos del artículo 15 del Reglamento de desarrollo de la LOPD, “durante el proceso de formación de un contrato”. Por tanto, la indicación sobre la posibilidad de los afectados de remitir un correo electrónico exponiendo su negativa a facilitar sus datos con fines comerciales o publicitarios y las cesiones de datos no resulta suficiente para entender cumplidas las exigencias normativas reseñadas.”

En la Resolución R/00151/2015 (Procedimiento Nº: A/00361/2014) dictada por el Director de la Agencia Española de Protección de Datos se dice que:

“[…] Del citado precepto se extrae que cuando el origen de los datos está en la contratación de un servicio o producto y se prevé la posibilidad de efectuar un tratamiento para cuestiones ajenas a dicha contratación o que no se estima necesario para la correcta ejecución de la misma, el titular de los datos podrá en ese momento de perfección de la citada relación jurídica, oponerse al tratamiento para finalidades que no guarden relación directa con el mantenimiento, desarrollo o control de la relación contractual. Mandato que no se cumple con una clausula informativa LOPD inserta en el reverso del presupuesto aportado por la entidad denunciada.

Por lo expuesto HEVIAL AUTOMOCION S.L.L. respecto de los datos de la denunciante, debe cesar en el tratamiento, salvo que obtenga el consentimiento informado (a través del bloqueo o de la supresión) y por otro lado, debe articular medios que permitan acreditar que los clientes y potenciales clientes han sido informados en los términos del art. 5 de la LOPD y 15 del RDLOPD. […]”

También en la Resolución R/00710/2014 (Procedimiento Nº PS/00639/2013) entiende la Agencia que:

“En este supuesto, de las actuaciones practicadas se desprende que si bien las personas usuarias del servicio de urgencias del centro hospitalario denunciado son informadas por medio del documento “cláusula urgencias”, entre otras muchas cosas, de la política de protección de datos, en dicho documento se informa de tratamientos o comunicaciones de datos para finalidades que no guardan relación directa con el mantenimiento, desarrollo o control de la relación contractual sin que se permita al afectado que manifieste expresamente su negativa a ellos. Esta circunstancia supone una vulneración del cumplimiento de las exigencias recogidas en el citado artículo 5.1 de la LOPD en relación con lo previsto en el artículo 15 del RLOPD.

El responsable del tratamiento de los datos personales de los clientes que solicitan la asistencia en el servicio de urgencias del hospital, informa del tratamiento de los mismos con finalidades que no guardan relación directa con la asistencia que se proporciona en el servicio de urgencias por lo que es preciso dar cumplimiento a lo previsto en el artículo 15 del RLOPD y permitir a los afectados, manifestar expresamente su negativa a esos tratamientos y comunicaciones de datos.

 […]

A este respecto, se recuerda que los mecanismos de rechazo deben estar incluidos en el propio documento a fin de posibilitar que el afectado pueda ser informado y manifestar, en el momento de facilitar sus datos, su negativa al uso de los mismos para fines no relacionados directamente con el proceso de formación del contrato en cuestión. El procedimiento equivalente citado por la entidad denunciada no permite al afectado manifestar su negativa en el momento en que se recaban los datos para el servicio de admisión de urgencias hospitalarias que se analiza, sino que lo posibilitan una vez ya prestado el consentimiento.

En el citado documento “CLÁUSULA URGENCIAS” se informa de que “Sus datos serán comunicados al Grupo Hospitalario USP (USP HOSPITALES, S.L. Unipersonal) y a los centros sanitarios que lo Integran con el fin de gestionar su historia clínica única y beneficiarse de la posibilidad de acceso a sus datos desde otro Centro del Grupo donde pueda ser tratado, así como para realizar encuestas de satisfacción, recordarle sus citas y revisiones y mantenerle informado sobre la prestación de nuevos servicios o la apertura de nuevos centros.” Para proporcionar un servicio de asistencia en las urgencias hospitalarias del centro denunciado, no resulta necesario un tratamiento o cesión de los datos de los afectados para mantenerles informados de la prestación de nuevos servicios o la apertura de nuevos centros del grupo hospitalario.

[…]

Es decir, en el presente caso, para cumplir con los requisitos establecidos en los señalados preceptos de la normativa de protección de datos, no basta con informar de “que los datos personales que nos facilite, incluida su firma, quedarán recogidos en los ficheros de USP Hospital Costa Adeje con domicilio social en Edf. Garajonay, Urb San Eugenio S/N 38660 Costa Adeja, con el fin de poderle prestar asistencia sanitaria, recordarle sus citas, revisiones, informarle sobre nuestros centros, servicios, tarjeta de fidelización USP y realizar encuestas de satisfacción, a través de cualquier medio, incluido el electrónico.”, tal y como se indica en el documento de “CLAUSULA URGENCIAS”. Para que dichos datos puedan ser utilizados por la entidad denunciada con posterioridad al momento de su recogida con los fines indicados en el citado documento de privacidad se considera necesario que dicha entidad, en su condición de responsable del tratamiento, permita al afectado que manifieste expresamente la negativa al tratamiento de sus datos para finalidades ajenas a la relación contractual, pues sólo así se observa plenamente el requisito de informar sobre la finalidad del tratamiento. En este caso, la entidad USP HOSPITALES DE CANARIAS SL Unipersonal no permite al afectado la marcación de una casilla claramente visible en el documento para que puedan marcarla y manifestar expresamente su negativa al tratamiento de sus datos para finalidades publicitarias.”

Por otro lado, en la Resolución de archivo de actuaciones (Expediente Nº E/03208/2009) respecto a las actuaciones practicadas por la Agencia ante la entidad La Tienda en Casa (El Corte Inglés) la Agencia “recomendó” a la denunciada que incluyera una casilla específica, no marcada por defecto, para que el interesado pueda oponerse al tratamiento de sus datos con finalidades distintas a las del contrato.

“[…] En base a lo establecido reglamentariamente, se sugiere a El Corte Inglés que cuando en la cláusula informativa referida al artículo 5 de la LOPD, se informe de la posibilidad de enviar publicidad, de hacer estudios de mercado, etc…, se incluya una casilla específica, que no esté marcada por defecto, para que el interesado pueda oponerse al tratamiento de sus datos con finalidades distintas a las del contrato que se establezca entre ambas partes. […]”

Sin embargo, aunque en un principio se acordó el archivo de las actuaciones, el denunciante interpuso recurso de reposición que se resolvió mediante Resolución de 8 de julio de 2010 (E/03208/2009 Recurso de Reposición Nº RR/00253/2010) entendiendo que:

“Tras la revisión de la cláusula utilizada por El Corté Inglés para obtener el consentimiento para el tratamiento de datos de los afectados con fines de publicidad, se comprueba que no cumple los requisitos establecidos legal y reglamentariamente. La cláusula informativa que se recoge en la página web y en el catálogo informa al cliente con relación al artículo 5 de la LOPD; en concreto, en el catálogo consta la siguiente leyenda: Los datos que usted nos proporcione serán incorporados a un fichero de Clientes propiedad de EL CORTE INGLÉS, S.A., y podrán ser tratados para hacerle llegar ofertas comerciales de empresas del grupo EL CORTE INGLES. Usted tiene derecho a acceder a la información que le concierne, recopilada en nuestro fichero de Clientes, o cancelarla o rectificarla de ser errónea, dirigiéndose por carta a (C/………….1) Madrid, o llamando al teléfono 902****** (Ley Orgánica 15/1999, de 13 de diciembre).

El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, regula las especificidades de la cláusula informativa que ha de incorporarse cuando se va a enviar publicidad. En este sentido señala:

“Artículo 15. Solicitud del consentimiento en el marco de una relación contractual para fines no relacionados directamente con la misma.

Si el responsable del tratamiento solicitase el consentimiento del afectado durante el proceso de formación de un contrato para finalidades que no guarden relación directa con el mantenimiento, desarrollo o control de la relación contractual, deberá permitir al afectado que manifieste expresamente su negativa al tratamiento o comunicación de datos. En particular, se entenderá cumplido tal deber cuando se permita al afectado la marcación de una casilla claramente visible y que no se encuentre ya marcada en el documento que se le entregue para la celebración del contrato o se establezca un procedimiento equivalente que le permita manifestar su negativa al tratamiento.

Artículo 45. Datos susceptibles de tratamiento e información al interesado.

1. Quienes se dediquen a la recopilación de direcciones, reparto de documentos, publicidad, venta a distancia, prospección comercial y otras actividades análogas, así como quienes realicen estas actividades con el fin de comercializar sus propios productos o servicios o los de terceros, sólo podrán utilizar nombres y direcciones u otros datos de carácter personal cuando los mismos se encuentren en uno de los siguientes casos:

a. Figuren en alguna de las fuentes accesibles al público a las que se refiere la letra j del artículo 3 de la Ley Orgánica 15/1999, de 13 de diciembre y el artículo 7 de este reglamento y el interesado no haya manifestado su negativa u oposición a que sus datos sean objeto de tratamiento para las actividades descritas en este apartado.

b. Hayan sido facilitados por los propios interesados u obtenidos con su consentimiento para finalidades determinadas, explícitas y legítimas relacionadas con la actividad de publicidad o prospección comercial, habiéndose informado a los interesados sobre los sectores específicos y concretos de actividad respecto de los que podrá recibir información o publicidad.

2. Cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial, deberá informarse al interesado en cada comunicación que se le dirija del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten, con indicación de ante quién podrán ejercitarse.

A tal efecto, el interesado deberá ser informado de que sus datos han sido obtenidos de fuentes accesibles al público y de la entidad de la que hubieran sido obtenidos.”

La cláusula informativa no cumple las exigencias legales, que se han aclarado en el Reglamento de desarrollo de la LOPD, y, en concreto no especifica las finalidades determinadas, explícitas y legítimas relacionadas con la actividad de publicidad o prospección comercial, y no se ha informado al recurrente sobre los sectores específicos y concretos de actividad respecto de los que podrá recibir información o publicidad. Asimismo, en cumplimiento de lo dispuesto en el artículo 15 de la LOPD deberá incluir casillas, que no esté marcada, en las que se solicite el consentimiento del comprador para utilizar sus datos con finalidades distintas al mantenimiento, desarrollo o control de la relación contractual, como por ejemplo para el envío de publicidad.

En consecuencia, la Agencia entiende que 1) No se especifican las finalidades determinadas, explícitas y legítimas relacionadas con la actividad publicitaria o prospección comercial, y no se ha informado al recurrente sobre los sectores específicos y concretos de actividad respecto de los que podrá recibir publicidad y 2) no se incluye una casilla, no premarcada, en la que se solicite el consentimiento para utilizar los datos de interesado para otras finalidades.

Tras acordarse en la resolución de dicho recurso de reposición la estimación del mismo y la apertura de actuaciones previas de investigación, se inició un procedimiento sancionador que finalizó con la Resolución R/00263/2011 (Procedimiento Nº PS/00428/2010), de fecha de 4 de marzo de 2011.

La Agencia consideró que: “[…] En este caso, se ha comprobado que EL CORTE INGLES incumple las exigencias del artículo 5.1 de la LOPD y el artículo 15 de su reglamento de desarrollo por cuanto en lo referido al canal de contratación telefónico, no se informa a la persona que facilita sus datos como exige el citado artículo 5, y en lo referido a la web www.latiendaencasa.es, las clausulas informativas “Política de Seguridad y confidencialidad” y “Protección de datos y seguridad” no cumplen con las exigencias legales y reglamentarias por cuanto no especifican las finalidades determinadas, explícitas y legítimas relacionadas con la actividad de publicidad o prospección comercial, no informan sobre los sectores específicos y concretos de actividad respecto de los cuales podrá recibir información o publicidad, y por último no cumplen con la exigencia de posibilitar al afectado manifestar expresamente su negativa al tratamiento de sus datos para finalidades que no guarden relación directa con el mantenimiento, desarrollo o control de la relación contractual.[…]”

La leyenda incluida en el catálogo de La Tienda en Casa decía lo siguiente: “Los datos que usted nos proporcione serán incorporados a un fichero de Clientes propiedad de EL CORTE INGLÉS, S.A., y podrán ser tratados para hacerle llegar ofertas comerciales de empresas del grupo EL CORTE INGLES. Usted tiene derecho a acceder a la información que le concierne, recopilada en nuestro fichero de Clientes, o cancelarla o rectificarla de ser errónea, dirigiéndose por carta a (C/………….1) Madrid, o llamando al teléfono 902*****1(Ley Orgánica 15/1999, de 13 de diciembre).”

El talón de venta, que se entregaba con la mercancía y que debía ser firmado por el cliente, señalaba que: El titular autoriza a El Corte Inglés para que los datos contenidos en este documento puedan ser facilitados con fines comerciales y estudios de mercado con fines propios, única y exclusivamente a las empresas del Grupo El Corte Inglés….. El titular podrá ejercer los derechos de acceso, rectificación, cancelación y oposición, previstos en la legislación vigente en materia de protección de datos.”

También la página web, en concreto el apartado de “Política de Seguridad y confidencialidad” señalaba al respecto que: “[…] 3.- El cliente autoriza expresamente a El Corte Inglés para que los datos de este registro y cuantos se obtengan para el desarrollo de las relaciones contractuales entre ambas partes puedan ser facilitadas a las empresas del grupo El Corte Inglés para que dichas empresas puedan efectuar estudios de mercado y ofrecerle al cliente productos y servicios que puedan resultar de su interés.”

Por su parte, en el apartado de “Protección de datos y seguridad” se indicaba que: “[…] En el momento en que usted se registra en nuestro servidor seguro o realiza un pedido, sus datos personales, domiciliarios, y los relativos a su forma de pago, son incorporados a nuestra base de datos, utilizándose únicamente para tramitar el pedido, así como para enviar información sobre ofertas y servicios que puedan resultar de su interés. En cualquier momento podrá modificar los datos de su registro de cliente (cambio de domicilio, teléfono….) o solicitarnos el recordatorio de su contraseña si la ha olvidado. Si quiere hacerlo ahora, o desea 7/14 registrarse en este momento, pulse aquí.”

Asimismo, en el Informe 0257/2011 se señala al respecto lo siguiente:

“[…] Se plantea a continuación si resulta ajustado a lo dispuesto en la normativa de protección de datos el procedimiento establecido para que el interesado manifieste su negativa al tratamiento de los datos para la remisión de publicidad, consistente en la inclusión de un párrafo en la cláusula en que se señala que “si no desea recibir ofertas y promociones publicitarias, por favor le rogamos que señale con un NO en la casilla”.

El artículo 15 del Reglamento de desarrollo de la Ley Orgánica 15/1999 dispone que “Si el responsable del tratamiento solicitase el consentimiento del afectado durante el proceso de formación de un contrato para finalidades que no guarden relación directa con el mantenimiento, desarrollo o control de la relación contractual, deberá permitir al afectado que manifieste expresamente su negativa al tratamiento o comunicación de datos.”, añadiendo en su segundo párrafo que “En particular, se entenderá cumplido tal deber cuando se permita al afectado la marcación de una casilla claramente visible y que no se encuentre ya marcada en el documento que se le entregue para la celebración del contrato o se establezca un procedimiento equivalente que le permita manifestar su negativa al tratamiento”.

El procedimiento descrito en la consulta daría cumplimiento a lo establecido en el mencionado precepto. No obstante será preciso efectuar dos aclaraciones:

- En primer lugar, la casilla no deberá aparecer premarcada. Especialmente en los supuestos en los que el consentimiento se pretenda obtener desde un determinado sitio web o como consecuencia de una contratación on-line y se otorgue al interesado la posibilidad de manifestar si desea o no recibir publicidad, será preciso que no aparezca señalizada por defecto la casilla correspondiente al SÍ.

- Por otra parte, esta Agencia ha venido aconsejando que cuando la solicitud del consentimiento para la realización de este tipo de tratamientos se lleva a cabo en el seno de un contrato, la casilla a la que se está haciendo referencia aparezca claramente visible en el mismo, a fin de garantizar su conocimiento en todo caso por el interesado, lo que tradicionalmente se logra si se incorpora dicha casilla en el anverso del contrato, donde el interesado ha de incluir expresamente sus datos de carácter personal, produciéndose únicamente una remisión a dicha casilla en la correspondiente cláusula.[…]”

En consecuencia, la Agencia concluye que es posible la redacción de las mencionadas casillas en sentido negativo. En este sentido se pronunció también en su Cuarta Sesión Anual Abierta (página 3) (enero de 2012):

“- En muchos documentos que se están utilizando con las cláusulas de consentimiento, se está dando por hecho de manera afirmativa el consentimiento a no ser que se diga lo contrario. ¿Es esto válido o, por el contrario, deberá existir una casilla que obligue a rellenar o marcar para que se dé por afirmativo dicho consentimiento?

- Como ha señalado la jurisprudencia, el consentimiento puede prestarse de forma tácita salvo cuando la Ley exige que el mismo sea expreso, regulando el artículo 14 del RLOPD un procedimiento específico al efecto. De este modo, salvo que exista una previsión que exija otra cosa, el procedimiento señalado es conforme a las normas de protección de datos.

 En el ámbito de los contratos, la firma del interesado equivaldría a un consentimiento expreso, por lo que lo único exigible sería incluir una cláusula que permita manifestar la voluntad en el documento cuando los fines para los que se pretendan tratar los datos no sean los relacionados directamente con el contrato (art. 15 RLOPD), pudiendo tener el formato que se plantea en la pregunta.”

Por último, es necesario hacer una somera referencia a lo establecido en el artículo 21 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico:

Artículo 21 Prohibición de comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes

  1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.
  1. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.

En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección de correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.”

Es necesario recordar que esta Ley es de aplicación tanto a personas físicas (al igual que la LOPD) como a personas jurídicas (excluidas del ámbito de aplicación de la LOPD). En consecuencia, será necesario, o bien tener el consentimiento previo del destinatario o bien una relación contractual previa en los términos expuestos en el apartado 2 del precepto, tanto para la remisión de este tipo de comunicaciones publicitarias (es decir, por correo electrónico u otro medio de comunicación electrónica equivalente) a personas físicas como a personas jurídicas.

En el caso de que el destinatario de la publicidad sea un cliente “el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.” lo cual resulta coherente con lo previsto en el artículo 15 del Reglamento de protección de datos.

Solicitud Del Consentimiento Para Finalidades Distintas
Solicitud Del Consentimiento Para Finalidades Distintas
Solicitud-del-consentimiento-para-finalidades-distintas.pdf
737.2 KiB
788 Downloads
Details
J&I ZURDO, ABOGADOS

Ficheros de información sobre solvencia patrimonial y crédito

pig

 

El artículo 29 de la Ley Orgánica de Protección de Datos se refiere a los ficheros de información sobre solvencia patrimonial y crédito en los siguientes términos:

Articulo 29 Prestación de servicios de información sobre solvencia patrimonial y crédito

  1. Quienes se dediquen a la prestación de servicios de información sobre la solvencia patrimonial y el crédito sólo podrán tratar datos de carácter personal obtenidos de los registros y las fuentes accesibles al público establecidos al efecto o procedentes de informaciones facilitadas por el interesado o con su consentimiento.
  1. Podrán tratarse también datos de carácter personal, relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés. En estos casos se notificará a los interesados respecto de los que hayan registrado datos de carácter personal en ficheros, en el plazo de treinta días desde dicho registro, una referencia de los que hubiesen sido incluidos y se les informará de su derecho a recabar información de la totalidad de ellos, en los términos establecidos por la presente Ley. 
  1. En los supuestos a que se refieren los dos apartados anteriores, cuando el interesado lo solicite, el responsable del tratamiento le comunicará los datos, así como las evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas durante los últimos seis meses y el nombre y dirección de la persona o entidad a quien se hayan revelado los datos.
  1. Sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados y que no se refieran, cuando sean adversos, a más de seis años, siempre que respondan con veracidad a la situación actual de aquéllos.

Tal y como señala la Agencia de Protección de Datos en su Informe 0237/2009, por razón del origen de los datos incluidos en los ficheros de solvencia patrimonial y crédito se distingue dentro de los mismos entre aquéllos en que 1) los datos proceden de fuentes accesibles al público o han sido facilitador por el propio interesado (artículo 29.1 LOPD), de 2) aquellos en que los datos han sido facilitados por el acreedor o por quien actúa por su cuenta (artículo 29.2 LOPD).

Por tanto, existen dos posibles tipos de ficheros (o de tratamientos dentro de un mismo fichero) diferenciados por el origen de los datos, de los cuales los segundos son los que generalmente se conocen como “ficheros de morosos”, y se distingue de los primeros que se orientan más bien a actividades de información comercial o evaluación de la solvencia económica de personas físicas.

En su informe 0144/2012, la Agencia analiza la cláusula de recogida del consentimiento de los afectados para la inclusión de sus datos en ficheros de solvencia patrimonial y crédito en que se recojan datos que exceden de los señalados en el artículo 29.2 LOPD; es decir, los denominados comúnmente “ficheros positivos”. Como señala el informe, el Tribunal Supremo en su sentencia de 10 de julio de 2010 ya analizó la cuestión concluyendo lo siguiente:

“[…]La lectura de dichos apartados permite concluir, en una interpretación lógico-sistemática de los mismos, que el apartado 1 se está refiriendo a los ficheros positivos o de solvencia patrimonial, exigiéndose para el tratamiento de los datos su obtención de los registros y fuentes accesibles al público o de las informaciones facilitadas por el propio interesado o con su consentimiento y que el apartado 2 hace mención a los ficheros negativos o de incumplimiento, como sin dificultad se infiere, pese a la referencia al «cumplimiento o incumplimiento de las obligaciones», de que se trata de datos facilitados por el acreedor o por quien actúe por su cuenta e interés. Lo que no resulta admisible son los ficheros positivos prescindiendo del consentimiento del afectado.

En consecuencia, la Agencia, siguiendo el criterio del Tribunal Supremo, considera que será preciso obtener el consentimiento del interesado para la inclusión de sus datos en los denominados ficheros positivos de solvencia patrimonial y crédito en los términos establecidos en los artículos 3 h) y 5.1 LOPD. Asimismo, deberán cumplirse los requisitos establecidos en la Ley y el Reglamento relativos a las cesiones de datos (artículo 11.3 LOPD, 12.1 y 12.2 del Reglamento). Además, si se incluye la cláusula de consentimiento en el clausulado del contrato, debe tenerse en cuenta el artículo 15 del Reglamento que se refiere a la solicitud del consentimiento en un contrato para fines no relacionados directamente con dicho contrato y que dice que deberá permitirse al afectado que manifieste expresamente su negativa al tratamiento o comunicación de datos y que se entenderá cumplido tal deber cuando se permita al afectado la marcación de una casilla claramente visible y que no se encuentre ya marcada en el documento o se establezca un procedimiento equivalente que le permita manifestar su negativa al tratamiento.

Por último, debe tenerse en cuenta, advierte la Agencia, el carácter esencialmente revocable del consentimiento.

Para la inclusión de datos del segundo tipo de deudores en tales ficheros será necesario el cumplimiento de una serie de requisitos, contenidos en el artículo 29 LOPD y en los artículos 38 y 39 de su Reglamento de desarrollo.

En este informe también se explica, en relación con el artículo 29.4 LOPD, que la Ley prohíbe la existencia de los denominados “saldos cero”, que ha sido sancionado por la sentencia de la Audiencia Nacional de 10 de mayo de 2002, ratificando una resolución sancionadora de la Agencia de Protección de Datos.

Por otro lado, el Tribunal Supremo, en su sentencia de fecha de 22 de enero de 2014, rec. 2585/2011, señala que en los ficheros a los que se refiere el artículo 29.2 LOPD los datos se incluyen por comunicación del acreedor y sin consentimiento de los afectados. Dice la mencionada sentencia que: “[…] Como regla general, la recogida y el tratamiento de los datos de carácter personal requieren el consentimiento inequívoco del afectado (art. 6.1 LOPD y 7.a de la Directiva). Como excepción, dichas actuaciones pueden realizarse sin el consentimiento del afectado cuando ello sea necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que la ley lo disponga (art. 6.1 LOPD) y no prevalezca el interés o los derechos y libertades fundamentales del 10 interesado (art. 7.f de la Directiva). A esta excepción responde la previsión del art. 29.2 LOPD de que pueden tratarse los datos personales relativos al incumplimiento de obligaciones dinerarias facilitados por el acreedor sin el consentimiento del afectado.”

Los artículos 37 a 44 del Reglamento contienen la regulación de los ficheros de información sobre solvencia patrimonial y crédito.

TÍTULO IV

Disposiciones aplicables a determinados ficheros de titularidad privada

CAPÍTULO I

Ficheros de información sobre solvencia patrimonial y crédito

Sección 1

Disposiciones generales

Artículo 37 Régimen aplicable

  1. El tratamiento de datos de carácter personal sobre solvencia patrimonial y crédito, previsto en el apartado 1 del artículo 29 de la Ley Orgánica 15/1999, de 13 de diciembre, se someterá a lo establecido, con carácter general, en dicha ley orgánica y en el presente reglamento.
  1. El ejercicio de los derechos de acceso, rectificación, cancelación y oposición en el caso de los ficheros a que se refiere el apartado anterior, se rige por lo dispuesto en los capítulos I a IV del título III del presente reglamento, con los siguientes criterios:

a) Cuando la petición de ejercicio de los derechos se dirigiera al responsable del fichero, éste estará obligado a satisfacer, en cualquier caso, dichos derechos.

 b) Si la petición se dirigiera a las personas y entidades a las que se presta el servicio, éstas únicamente deberán comunicar al afectado aquellos datos relativos al mismo que les hayan sido comunicados y a facilitar la identidad del responsable para que, en su caso, puedan ejercitar sus derechos ante el mismo.

  1. De conformidad con el apartado 2 del artículo 29 de la Ley Orgánica 15/1999, de 13 de diciembre, también podrán tratarse los datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés.

Estos datos deberán conservarse en ficheros creados con la exclusiva finalidad de facilitar información crediticia del afectado y su tratamiento se regirá por lo dispuesto en el presente reglamento y, en particular, por las previsiones contenidas en la sección segunda de este capítulo.

Sección 2

Tratamiento de datos relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés

Artículo 38 Requisitos para la inclusión de los datos

  1. Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos:

a) Existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada [y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero.]

(Inciso final del artículo 38.1 a) anulado por Sentencias TS (Sala 3.ª, Sección 6ª) de 15 julio 2010; Recursos 23 y 26/2008 («B.O.E.» 26 octubre).TS, Sala Tercera, de lo Contencioso-administrativo, Sección 6ª, S, 15 Jul. 2010 (Rec. 23/2008) TS, Sala Tercera, de lo Contencioso-administrativo, Sección 6ª, S, 15 Jul. 2010 (Rec. 26/2008) Sentencia TS Sala 3.ª 15 Jul. 2010 (declara nulos arts. 11, 18, 38.2, y 123.2 e inciso final art. 38.1.a) del RD 1720/2007 de 21 Dic., Reglamento de desarrollo de la LO 15/1999 de 13 Dic.) Sentencia TS Sala 3.ª 15 Jul. 2010 (anulación de inciso del art. 38.1. a) del RD 1720/2007 de 21 Dic., Reglamento de desarrollo de la LO 15/1999 de 13 Dic., sobre Protección de Datos de Carácter Personal)

b) Que no hayan transcurrido seis años desde la fecha en que hubo de procederse al pago de la deuda o del vencimiento de la obligación o del plazo concreto si aquélla fuera de vencimiento periódico.

c) Requerimiento previo de pago a quien corresponda el cumplimiento de la obligación.

 [2. No podrán incluirse en los ficheros de esta naturaleza datos personales sobre los que exista un principio de prueba que de forma indiciaria contradiga alguno de los requisitos anteriores.

Tal circunstancia determinará asimismo la cancelación cautelar del dato personal desfavorable en los supuestos en que ya se hubiera efectuado su inclusión en el fichero.]

(Artículo 38.2 anulado por Sentencia TS (Sala 3.ª, Sección 6ª) de 15 julio 2010; Recurso 23/2008 («B.O.E.» 26 octubre). TS, Sala Tercera, de lo Contencioso-administrativo, Sección 6ª, S, 15 Jul. 2010 (Rec. 23/2008) TS, Sala Tercera, de lo Contencioso-administrativo, Sección 6ª, S, 15 Jul. 2010 (Rec. 26/2008) Sentencia TS Sala 3.ª 15 Jul. 2010 (declara nulos arts. 11, 18, 38.2, y 123.2 e inciso final art. 38.1.a) del RD 1720/2007 de 21 Dic., Reglamento de desarrollo de la LO 15/1999 de 13 Dic.) Sentencia TS Sala 3.ª 15 Jul. 2010 (anulación de inciso del art. 38.1. a) del RD 1720/2007 de 21 Dic., Reglamento de desarrollo de la LO 15/1999 de 13 Dic., sobre Protección de Datos de Carácter Personal) 

  1. El acreedor o quien actúe por su cuenta o interés estará obligado a conservar a disposición del responsable del fichero común y de la Agencia Española de Protección de Datos documentación suficiente que acredite el cumplimiento de los requisitos establecidos en este artículo y del requerimiento previo al que se refiere el artículo siguiente.

En el informe 0453/2013, la Agencia de Protección de Datos recuerda los requisitos que ha de tener la deuda para que proceda su inclusión en el fichero, que se contienen en el artículo 38.1 del Reglamento, en la redacción resultante de la sentencia del Tribunal Supremo de 15 de julio de 2010.

Por su parte, el Tribunal Supremo, en su sentencia de fecha de 22 de enero de 2014, rec. 2585/2011 recuerda que

“[…] Esta Sala, en la sentencia núm. 176/2013, de 6 de marzo , declaró: «La inclusión en los registros de morosos no puede ser utilizada por las grandes empresas para buscar obtener el cobro de las cantidades que estiman pertinentes, amparándose en el temor al descrédito personal y menoscabo de su prestigio profesional y a la denegación del acceso al sistema crediticio que supone aparecer en un fichero de morosos […] Por tanto, esta Sala estima que acudir a este método de presión representa en el caso que nos ocupa una intromisión ilegítima en el derecho al honor de la recurrente, por el desvalor social que actualmente comporta estar incluida en un registro de morosos y aparecer ante la multitud de asociados de estos registros como morosa sin serlo, que hace desmerecer el honor al afectar directamente a la capacidad económica y al prestigio personal de cualquier ciudadano entendiendo que tal actuación es abusiva y desproporcionada, apreciándose en consecuencia la infracción denunciada.».

5.- Además de esa falta de proporcionalidad respecto de la finalidad de los ficheros (suministrar datos determinantes para enjuiciar la solvencia de los afectados), la deuda que se comunicó a los «registros de morosos» en marzo de 2007 no era una deuda cierta y exigible, como requiere el principio de calidad de los datos recogido en los arts. 6 de la Directiva y 4 LOPD, y específicamente la norma primera, 1-a, de la Instrucción 1/1995, de 1 de marzo (actualmente, el art. 38 del Reglamento aprobado por el Real Decreto 1720/2007), sino contingente, pues resultaba de una mera «estimación» de CAJA RURAL DE CANARIAS, y a la postre resultó inexistente, hasta el punto de que CAJA RURAL DE CANARIAS fue declarada deudora, que no acreedora, de las costas de primera instancia.

La sentencia de esta Sala núm. 176/2013, de 6 de marzo, declara a estos efectos que «la deuda debe ser además de vencida y exigible, cierta, es decir, inequívoca, indudable, siendo necesario además el previo requerimiento de pago; por tanto no cabe inclusión de deudas inciertas, dudosas, no pacíficas o sometidas a litigio, bastando para ello que aparezca un principio de prueba documental que contradiga su existencia o certeza».”

Artículo 39 Información previa a la inclusión

El acreedor deberá informar al deudor, en el momento en que se celebre el contrato y, en todo caso, al tiempo de efectuar el requerimiento al que se refiere la letra c) del apartado 1 del artículo anterior, que en caso de no producirse el pago en el término previsto para ello y cumplirse los requisitos previstos en el citado artículo, los datos relativos al impago podrán ser comunicados a ficheros relativos al cumplimiento o incumplimiento de obligaciones dinerarias.

En su informe 0348/2013 la Agencia responde a una consulta referida precisamente a las obligaciones de información establecidas en el artículo 39 del Reglamento. La consultante pregunta si el cumplimiento de la obligación de información en el momento del requerimiento de pago eximiría de la necesidad de informar al tiempo de celebrarse el contrato sobre la posibilidad de inclusión de los datos en caso de que se produjera un eventual incumplimiento del mismo.

La Agencia señala que de la sentencia del Tribunal Supremo de 15 de julio de 2010 (por la que se resuelve el recurso interpuesto contra diversos preceptos del Reglamento) se deduce que el Tribunal Supremo asume la existencia efectiva de un doble deber de información que tendrá que llevarse a cabo tanto en el momento de celebrarse el contrato, referido a la posibilidad de que pudiera procederse a la comunicación de los datos a los ficheros de solvencia patrimonial y crédito en caso de incumplimiento, como en caso de que efectivamente se produzca el impago, informando de la concreta inclusión del dato en el fichero en caso de no ser atendido el preceptivo requerimiento de pago que deberá dirigirse al deudor de conformidad con lo exigido en el artículo 38.1 c) del Reglamento.

Por tanto, el artículo 39 impone ambos deberes de información de manera acumulativa. Añade además que la obligación de informar en el momento de la realización del requerimiento es imperativa por mandato de la Ley, de modo que el requerimiento no será ajustado a lo dispuesto en la normativa de protección de datos si no contuviera esa información acerca de la futura inclusión de los datos, tal y como ha puesto de manifiesto la doctrina emanada de la Audiencia Nacional que ha venido considerando ilícita la inclusión de los datos en los ficheros de solvencia en caso de que no se hubiera hecho constar expresamente en el requerimiento que, en caso de no ser atendido, se procederá a la citada inclusión. Así lo ha venido reiterando en múltiples sentencias (por ejemplo, sentencia de 25 de noviembre de 2013, recurso 145/2012.)

También en su informe 0453/2013, la Agencia insiste en que, además del cumplimiento de los requisitos establecidos en el artículo 38 del Reglamento, será preciso que en el momento de celebrar el acreedor el contrato en cuyo desenvolvimiento se produzca el impago de la obligación aquél haya informado al deudor “que en caso de no producirse el pago en el término previsto para ello y cumplirse los requisitos previstos en el citado artículo, los datos relativos al impago podrán ser comunicados a ficheros relativos al cumplimiento o incumplimiento de obligaciones dinerarias”; todo ello con el fin de que el deudor tenga pleno conocimiento desde el momento en que contrae la obligación de su eventual inclusión, en caso de impago, en el sistema. Y, asimismo, dicho requerimiento habrá de efectuarse “en todo caso, al tiempo de efectuar el requerimiento al que se refiere la letra c) del apartado 1 del artículo anterior”, esto es, el requerimiento previo de pago.

El informe continúa diciendo que “[…] en el RD 1720/2007 queda establecido que uno de los requisitos para incluir deudas en ficheros comunes, incluyendo los supuestos de avalistas y garantes, debe ir precedido de un requerimiento de pago. Este requerimiento de pago ha de ir dirigido a la persona a quien corresponda realizar el pago, puesto que se trata de una intimación para el pago de la deuda, una exigencia para que se proceda al cumplimiento. Ya decíamos en el informe de 11 de mayo de 2010 que “Con ello además de permitirse al deudor el pago y al acreedor el cobro de la deuda con anterioridad al momento de inclusión del dato, evitando que el deudor sea calificado de moroso y facilitando al acreedor un posible cobro de la deuda, se establece una garantía reforzada del cumplimiento del deber de información al afectado, en los términos previstos en los artículos 10 y 11 de la Directiva […]

Por tanto, como decíamos en el informe de 2 de abril de 2013, se trata de una verdadera manifestación de voluntad por la cual el acreedor requiere al deudor para que cumpla su obligación, interrumpiendo así la prescripción. Se trata, en definitiva, de un acto que trasciende con creces de un mero cumplimiento formal, puesto que se otorga al deudor, como sostiene tradicionalmente la doctrina civilista, una nueva oportunidad para cumplir su obligación. Así, en principio el requerimiento ha de ser recepticio, debiendo dirigirse a la persona concreta que ha de cumplir la obligación y acreditando con carácter general la recepción de requerimiento. Así parece entenderlo la Sentencia de la Audiencia Nacional de 24 de enero de 2003, rec. 51/2001. Y por eso ya decíamos en informe de 12 de septiembre de 2005: “Además, según se desprende de la doctrina emanada de la Audiencia Nacional, recae sobre el responsable del fichero común la carga de la prueba de la recepción de la notificación por parte del afectado cuyos datos se han incorporado al fichero común de morosidad, no bastando la mera acreditación del envío de la comunicación.”

Por tanto, el requerimiento de pago ha de ir dirigido a la persona concreta a quien corresponda realizar el pago y debe acreditarse la recepción del requerimiento.

La Agencia, en su informe de 22 de diciembre de 2003, refiriéndose al deber de información del artículo 5 LOPD, recomendaba que se hiciera constar, en modo que acredite su recepción por el afectado (por ejemplo mediante correo certificado o burofax), que se ha informado al mismo de los extremos contenidos en el precepto.

Por tanto, con carácter general entiende la Agencia que el requerimiento de pago implica la utilización de un medio que permita acreditar el envío y la recepción del mismo, pero se han venido admitiendo supuestos (informe de 2 de abril de 2013) en los que basta la acreditación del requerimiento de pago remitido, aunque no recibido, por no haber podido consumarse la recepción por motivos ajenos a la voluntad del emisor (por ejemplo, si se acreditara que el emisor ha intentado envíos por burofax , correo certificado o mecanismos similares, a todas las direcciones disponibles del destinatario, y aun así no ha podido localizarle, se podrá interpretar que el requerimiento ha de entenderse como válido.)

La Agencia insiste también en que deberá probarse que se ha requerido de pago al deudor y no a otra persona y que el contenido del requerimiento es suficiente, es decir que en concreto se le ha requerido el pago de una obligación con el fin de evitar la inclusión en un fichero de solvencia patrimonial. De hecho, se ha considerado por la Audiencia Nacional (sentencia de 22 de enero de 2014, rec. 61/2013, citando la anterior de 25 de abril de 2007) que “la mera constancia en los registros informáticos de la empresa del envío de los mensajes SMS no resulta prueba suficiente de su efectivo envío. Y en todo caso aquel envío tampoco acredita ni su efectiva recepción ni menos aún su apertura por la persona del destinatario.” A una conclusión parecida llega la Agencia respecto de la consulta planteada acerca de la posibilidad de llevar a cabo requerimientos por teléfono de manera automatizada sin intervención humana sin grabación de la llamada.

Artículo 40 Notificación de inclusión

  1. El responsable del fichero común deberá notificar a los interesados respecto de los que hayan registrado datos de carácter personal, en el plazo de treinta días desde dicho registro, una referencia de los que hubiesen sido incluidos, informándole asimismo de la posibilidad de ejercitar sus derechos de acceso, rectificación, cancelación y oposición, en los términos establecidos por la Ley Orgánica 15/1999, de 13 de diciembre. 
  1. Se efectuará una notificación por cada deuda concreta y determinada con independencia de que ésta se tenga con el mismo o con distintos acreedores.
  1. La notificación deberá efectuarse a través de un medio fiable, auditable e independiente de la entidad notificante, que la permita acreditar la efectiva realización de los envíos.
  1. En todo caso, será necesario que el responsable del fichero pueda conocer si la notificación ha sido objeto de devolución por cualquier causa, en cuyo caso no podrá proceder al tratamiento de los datos referidos a ese interesado.

No se entenderán suficientes para que no se pueda proceder al tratamiento de los datos referidos a un interesado las devoluciones en las que el destinatario haya rehusado recibir el envío.

  1. Si la notificación de inclusión fuera devuelta, el responsable del fichero común comprobará con la entidad acreedora que la dirección utilizada para efectuar esta notificación se corresponde con la contractualmente pactada con el cliente a efectos de comunicaciones y no procederá al tratamiento de los datos si la mencionada entidad no confirma la exactitud de este dato.

 Artículo 41 Conservación de los datos

  1. Sólo podrán ser objeto de tratamiento los datos que respondan con veracidad a la situación de la deuda en cada momento concreto.

El pago o cumplimiento de la deuda determinará la cancelación inmediata de todo dato relativo a la misma.

  1. En los restantes supuestos, los datos deberán ser cancelados cuando se hubieran cumplido seis años contados a partir del vencimiento de la obligación o del plazo concreto si aquélla fuera de vencimiento periódico.

Artículo 42 Acceso a la información contenida en el fichero

  1. Los datos contenidos en el fichero común sólo podrán ser consultados por terceros cuando precisen enjuiciar la solvencia económica del afectado. En particular, se considerará que concurre dicha circunstancia en los siguientes supuestos:

a) Que el afectado mantenga con el tercero algún tipo de relación contractual que aún no se encuentre vencida.

 b) Que el afectado pretenda celebrar con el tercero un contrato que implique el pago aplazado del precio.

 c) Que el afectado pretenda contratar con el tercero la prestación de un servicio de facturación periódica.

  1. Los terceros deberán informar por escrito a las personas en las que concurran los supuestos contemplados en las letras b) y c) precedentes de su derecho a consultar el fichero.

En los supuestos de contratación telefónica de los productos o servicios a los que se refiere el párrafo anterior, la información podrá realizarse de forma no escrita, correspondiendo al tercero la prueba del cumplimiento del deber de informar.

En su informe 0280/2012, la Agencia de Protección de Datos señala que la Ley otorga expresamente al acreedor el derecho a obtener la información directamente del fichero, bien por sí misma, bien a través de un encargado del tratamiento. “De este modo, la intervención en este proceso del propio afectado, que además parece prestar su consentimiento para que el acreedor acceda a los datos que sobre el mismo se incluyan en los ficheros de solvencia patrimonial y crédito complica el proceso, toda vez que la ley Orgánica 15/1999 no exige ese consentimiento y a su vez permite al acreedor consultar el fichero.”

Pero, de este mismo informe, se deduce que si no se cumplen los requisitos exigidos en el artículo 42.1 del Reglamento, será preciso el consentimiento del afectado: “[…] dado que la entidad consultante recopila información de diversos ficheros de solvencia y otras fuentes sin ostentar ninguna de las condiciones establecidas en el artículo 42.1 del Reglamento de desarrollo de la Ley Orgánica 15/1999, debería encontrarse específicamente legitimado por el afectado para el acceso a esos datos.”

En consecuencia, cabe concluir que si el que pretende consultar los ficheros cumple los requisitos establecidos en el artículo 42 del Reglamento, no requerirá del consentimiento del afectado. Pero, en caso contrario, sí.

El informe 0147/2013 de la Agencia señala que: “[…] En el derecho español, los ficheros de información sobre solvencia patrimonial y crédito encuentran su base legal en la propia Ley Orgánica 15/1999 y se encuentran sometidos a estrictos criterios para limitar sus efectos negativos. Dicha regulación se complementa con lo dispuesto en su Reglamento de desarrollo, aprobado por Real Decreto 1720/2007, de 21 de diciembre, cuyo artículo 42 especifica los supuestos en que resulta posible el acceso a la información contenida en este tipo de ficheros […]

De este modo, los criterios de ponderación para determinar si el derecho a tratar la información obrante en este tipo de ficheros prevalece sobre el derecho a la protección de datos del afectado (para poder aplicar el principio del interés legítimo) se encuentran expresamente recogidos en el artículo 42 del Reglamento de desarrollo de la Ley Orgánica 15/1999, por lo que solamente sería posible dicho acceso en el caso de que el consultante se encontrase en alguno de los supuestos previstos en dicho artículo.

[…]solamente quien se encuentre legalmente habilitado para acceder a un fichero de información sobre solvencia patrimonial y crédito, conforme a los criterios fijados en el artículo 42 del Reglamento de la Ley Orgánica 15/1999, podrá delegar la realización material de la consulta en un tercero.

Ahora bien para que dicho acceso en nombre y por cuenta de quien ostente dicha habilitación sea conforme a lo establecido en la Ley Orgánica 15/1999 sería preciso que quien efectúe el acceso ostente la condición de encargado del tratamiento del propietario, definido en el artículo 3 g) de dicha Ley como “La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento”.”

Artículo 43 Responsabilidad

  1. El acreedor o quien actúe por su cuenta o interés deberá asegurarse que concurren todos los requisitos exigidos en los artículos 38 y 39 en el momento de notificar los datos adversos al responsable del fichero común.
  1. El acreedor o quien actúe por su cuenta o interés será responsable de la inexistencia o inexactitud de los datos que hubiera facilitado para su inclusión en el fichero, en los términos previstos en la Ley Orgánica 15/1999, de 13 de diciembre.

Artículo 44 Ejercicio de los derechos de acceso, rectificación, cancelación y oposición

  1. El ejercicio de los derechos de acceso, rectificación, cancelación y oposición se rige por lo dispuesto en los capítulos I a IV del título III de este reglamento, sin perjuicio de lo señalado en el presente artículo.
  1. Cuando el interesado ejercite su derecho de acceso en relación con la inclusión de sus datos en un fichero regulado por el artículo 29.2 de la Ley Orgánica 15/1999, de 13 de diciembre, se tendrán en cuenta las siguientes reglas:

1.ª Si la solicitud se dirigiera al titular del fichero común, éste deberá comunicar al afectado todos los datos relativos al mismo que obren en el fichero.

En este caso, el titular del fichero común deberá, además de dar cumplimiento a lo establecido en el presente reglamento, facilitar las evaluaciones y apreciaciones que sobre el afectado se hayan comunicado en los últimos seis meses y el nombre y dirección de los cesionarios.

2.ª Si la solicitud se dirigiera a cualquier otra entidad participante en el sistema, deberá comunicar al afectado todos los datos relativos al mismo a los que ella pueda acceder, así como la identidad y dirección del titular del fichero común para que pueda completar el ejercicio de su derecho de acceso.

  1. Cuando el interesado ejercite sus derechos de rectificación o cancelación en relación con la inclusión de sus datos en un fichero regulado por el artículo 29.2 de la Ley Orgánica 15/1999, de 13 de diciembre, se tendrán en cuenta las siguientes reglas:

1.ª Si la solicitud se dirige al titular del fichero común, éste tomará las medidas oportunas para trasladar dicha solicitud a la entidad que haya facilitado los datos, para que ésta la resuelva. En el caso de que el responsable del fichero común no haya recibido contestación por parte de la entidad en el plazo de siete días, procederá a la rectificación o cancelación cautelar de los mismos.

2.ª Si la solicitud se dirige a quien haya facilitado los datos al fichero común procederá a la rectificación o cancelación de los mismos en sus ficheros y a notificarlo al titular del fichero común en el plazo de diez días, dando asimismo respuesta al interesado en los términos previstos en el artículo 33 de este reglamento.

3.ª Si la solicitud se dirige a otra entidad participante en el sistema, que no hubiera facilitado al fichero común los datos, dicha entidad informará al afectado sobre este hecho en el plazo máximo de diez días, proporcionándole, además, la identidad y dirección del titular del fichero común para, que en su caso, puedan ejercitar sus derechos ante el mismo.

Ficheros De Información Solvencia Patrimonial Y Credito
Ficheros De Información Solvencia Patrimonial Y Credito
Ficheros-de-informacion-solvencia-patrimonial-y-credito.pdf
734.4 KiB
990 Downloads
Details
J&I ZURDO, ABOGADOS

Datos de firmantes, personas de contacto y empresarios individuales. Aplicación de la legislación de protección de datos

contacto-firmantes-y-empresarios-individuales

En ocasiones surgen dudas acerca de la aplicación de la legislación de protección de datos a los datos de las personas físicas firmantes de documentos contractuales en su condición de representantes de empresas, a las personas de contacto de empresas y a los empresarios individuales.

En este artículo procuraremos, en la medida de lo posible, solucionarlas.

  • Datos de “personas de contacto”

La Agencia de Protección de Datos, en informes como el 0042/2008, el 0078/2008, el 0322/2010, señala, básicamente, que la legislación protectora de datos de carácter personal no extiende su protección a los tratamientos y ficheros de datos de carácter personal de las personas físicas de contacto de las personas jurídicas, esto es, a los datos de carácter personal identificativos de personas físicas que aparecen exclusivamente vinculados a la actividad y en el marco de una determinada organización empresarial.

Así se desprende del artículo 2.2 del Reglamento, que establece:

“Este Reglamento no será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales.”

La Agencia ha venido señalando que en los supuestos en que el tratamiento del dato de la persona de contacto es meramente incidental en relación con la finalidad del tratamiento, referida realmente a las personas jurídicas en las que el sujeto presta sus servicios, no resulta de aplicación lo dispuesto en la Ley Orgánica 15/1999, viniendo el Reglamento a plasmar este principio.

Para ello, será necesario el cumplimiento de dos requisitos:

  • Uno, que aparece expresamente recogido en el Reglamento, consistente en que los datos tratados se limiten efectivamente a los meramente necesarios para identificar al sujeto en la persona jurídica a la que presta sus servicios. Por ello, el Reglamento impone que el tratamiento se limite a los datos de nombre y apellidos, funciones o puestos desempeñados, dirección postal o electrónica, teléfono y número de fax profesionales.

Por ello, cualquier tratamiento que contenga datos adicionales a los citados se encontrará sometido a la Ley Orgánica por exceder de lo meramente imprescindible para identificar al sujeto en cuanto contacto de quien realiza el tratamiento con otra empresa o persona jurídica.

  • Y que la inclusión de los datos de la persona de contacto sea meramente accidental o incidental respecto de la verdadera finalidad perseguida por el tratamiento, que ha de residenciarse no en el sujeto, sino en la entidad en la que el mismo desarrolla su actividad o a la que aquél representa en sus relaciones con quienes tratan los datos.

Estos datos deberán referirse exclusivamente al entorno profesional del sujeto y a su actividad en el marco de su integración profesional en una persona jurídica. En ese sentido el tratamiento o inclusión en un fichero de los datos identificativos de una persona física debe ser “accesoria” de la finalidad perseguida por quien pudiera tratar el dato, cual es la de que se pueda identificar al interlocutor en las relaciones comerciales o profesionales que mantenga la empresa en la que dicho interlocutor o representante presta sus servicios

Por ello, la finalidad del tratamiento debe perseguir una relación directa entre quienes traten el dato y la entidad y no entre aquéllos y quien ostente una determinada posición en la empresa. De este modo, el uso del dato debería dirigirse a la persona jurídica, siendo el dato del sujeto únicamente el medio para logar esa finalidad.

Así sucedería en el caso de relaciones “business to business”, de modo que las comunicaciones dirigidas a la empresa sólo incorporen el nombre d ela persona como medio de representar gráficamente el destinatario de la misma. No así si la relación fuera “business to consumer”, es decir, siendo relevante el sujeto cuyo dato se trata como destinatario real de la comunicación, no sólo en cuanto a la posición ocupada en la empresa.

  • Datos de firmantes

En su Informe 0322/2010, la Agencia de Protección de Datos responde a una consulta referida específicamente a si es posible el tratamiento del dato personal del documento nacional de identidad DNI de las personas físicas en cuanto actúan y estampan su firma en los documentos contractuales de empresas, ya que aquellas personas físicas representan a estas en las citadas operaciones.

La Agencia considera que el número del DNI no se encuentra incluido (como es obvio) en los datos de carácter personal a que se refiere el artículo 2.2. del Reglamento (datos excluidos) y que tiene el carácter de personal. A la misma conclusión acerca de la naturaleza del dato llega en sus informes 0476/2008 y 0669/2009. Por ello, su tratamiento se ha de sujetar a lo previsto en el artículo 6 de la Ley Orgánica y en el artículo 10 del Reglamento.

Razona entonces la Agencia que de lo anterior se desprende que el tratamiento del dato del DNI, en el seno de la empresa en que presta sus servicios de representación la persona física titular de aquel, requerirá su “consentimiento inequívoco”, salvo que se estuviera en presencia de alguno de los supuestos respecto de los que el artículo 6.2 de la Ley señala que no es precio tal consentimiento.

Y, entre aquellos supuestos se encuentra el relativo a “cuando [los datos] se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa, y sean necesario para su mantenimiento o cumplimiento; […]”

La Agencia estima que tal excepción concurre en este caso, puesto que el tratamiento del número del DNI es necesario para el pleno desenvolvimiento de las relaciones jurídicas entre la persona física y la empresa a la que ha de representar, la cual ha de tener constancia indubitada de quién llevará a cabo su representación; y además es una garantía de identificación para la otra parte contratante respecto de quién efectivamente representará a la empresa con quien vaya a contratar.

En opinión de la Agencia, este dato podrá ser tratado e incorporado a un posible fichero, cuyo responsable sería aquella empresa a la que la persona física titular del DNI preste sus servicios de representación.

Respecto al dato de la firma de los representantes, al que también se refiere la consulta, la Agencia estima que un tratamiento específico de las firmas, como tales, de las personas físicas firmantes-representantes de las empresas, podría admitirse en ciertos casos, en base al principio de calidad y proporcionalidad en el tratamiento de datos de carácter personal. Pero tales casos (que no deben ser la regla general), han de presentar unas características tales que permitan razonablemente concluir que el tratamiento de la firma es necesario, a los fines pretendidos de representar debidamente y con garantías a la persona jurídica. Un tratamiento del dato de la firma, generalizada e incondicionado, se consideraría excesivo e innecesario.

  • Datos de empresarios individuales y profesionales

El artículo 2.3 del Reglamento señala que:

“3. Asimismo, los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros, también se entenderán excluidos del régimen de aplicación de la protección de datos de carácter personal.”

La Agencia considera (Informes 0078/2008, 0042/2008 que en caso de datos de empresarios individuales habrían de diferenciarse (de acuerdo con lo establecido por la misma Agencia en su Resolución de 27 de febrero de 2001) los siguientes supuestos:

  • Profesionales que organizan su actividad bajo la forma de empresa (ostentando, en consecuencia, la condición de comerciante a la que se refieren los artículos primero y siguientes del Código de Comercio) y empresarios individuales que ejercen una actividad comercial y respecto de las cuales sea posible diferenciar su actividad mercantil de su propia actividad privada. Tanto las personas jurídicas como los profesionales y los comerciantes individuales (éstos dos últimos sólo en los estrictos términos señalados anteriormente), quedan fuera de la Ley Orgánica 15/1999.
  • Profesionales o comerciantes individuales que no tengan organizada la actividad profesional bajo la forma de persona jurídica. Tanto los profesionales como los comerciantes individuales quedarían bajo el ámbito de aplicación de la Ley Orgánica 15/1999 y amparados por ella cuando los primeros no tuvieran organizada su actividad profesional bajo la forma de empresa, no ostentando, en consecuencia, la condición de comerciante (es el caso de los profesionales liberales) y los segundos cuando no fuera posible diferenciar su actividad mercantil de la propia actividad privada.

En este sentido, el Informe 0451/2009 dice expresamente que “[…] la recogida de los datos personales de profesionales autónomos, siempre que no ejerzan su actividad en forma de empresa, para la inclusión en el directorio a que hace referencia la consulta, constituye un tratamiento de datos personales, plenamente sometido a la Ley Orgánica 15/1999 […]”

La Agencia señala que en los casos a los que se refiere este segundo punto deberán aplicarse siempre las garantías de la Ley Orgánica 15/1999, dada la naturaleza fundamental del derecho a proteger. “Ello exigirá siempre ir analizando caso por caso para hallar en cada supuesto concreto el límite fronterizo donde resulte afectado el derecho fundamental a la protección de datos de los interesados personas físicas, o, por el contrario, aquél que no resulte amenazado por incidir tan solo en la esfera de la actividad comercial o empresarial, teniendo en todo caso presente que, en caso de duda, la solución deberá siempre adoptarse a favor de la protección de los derechos individuales.”

La Agencia menciona también la sentencia del Tribunal Supremo de fecha de 20 de febrero de 2007, en la que se señaló que “[…] Es claro que los Arquitectos y Promotores a que se refiere el litigio participan de la naturaleza de personas físicas y que no dejan de serlo por su condición de profesionales o agentes que intervienen en el mercado de la construcción, por lo que los datos personales relativos a los mismos, quedan amparados y sujetos en cuanto a su tratamiento informatizado a las previsiones de la LORTAD; y es que desde este punto de vista subjetivo la exclusión del ámbito de aplicación de la LORTAD no viene determinado por el carácter profesional o no del afectado o titular de los datos objeto de tratamiento, sino por la naturaleza de persona física o jurídica titular de los datos, en cuanto sólo las personas físicas se consideran titulares de los derechos a que se refiere el artículo 18.4 de la Constitución.”

Además, la Agencia insiste en que existen supuestos especiales que exigen un análisis concreto.

La Agencia se refiere también a su informe de 14 de febrero de 2006, referido al tratamiento de los datos de facturación de las oficinas de farmacia y en el que razonó que el hecho de que el establecimiento mercantil se denomine con el nombre y apellidos del titular no convertirá dicho establecimiento en una persona física. Añade que la legislación mercantil impone en determinados supuestos la obligación de que la denominación social de una determinada persona jurídica se corresponda precisamente con los datos identificativos de los socios que la componen. Asimismo, la legislación reguladora de las marcas y signos distintivos no establece limitación a la posibilidad de que las marcas o los rótulos de los establecimientos mercantiles puedan identificarse por un nombre y apellidos, siempre que se respeten los restantes requisitos exigidos.

Por tanto, existirán supuestos en los que los datos identificativos de una persona física puedan corresponderse con la denominación de una persona jurídica, el rótulo de un establecimiento mercantil o la marca de un determinado producto o servicio o de una gama de los mismos. Sin embargo, ello no alterará el hecho de que dichas denominaciones identificarán a la persona jurídica, al establecimiento o al producto o gama, sin que puedan ser considerados a efectos de lo dispuesto en la ley Orgánica 15/1999 como datos de carácter personal.

Por tanto, los datos referidos a los empresarios individuales y que aparecen exclusivamente ligados a su actividad comercial o mercantil, o que identifican, aún con su nombre y apellidos un determinado establecimiento o la marca de un producto o servicio, como consecuencia de una libre decisión empresarial adoptada en este sentido, no se encuentran sometidos a la protección conferida por la Ley Orgánica 15/1999. La Agencia entiende que este es el criterio recogido en el artículo 2.3 de su Reglamento de desarrollo.

Pero, además, el tratamiento ha de llevarse a cabo en el ámbito empresarial. Es decir, la finalidad perseguida por quien trata el dato ha de ser la de recabar y mantener información sobre la empresa y no sobre el comerciante que la ha constituido.

Por tanto, no podrá considerarse amparado por el artículo 2.3 del Reglamento el tratamiento de los datos del comerciante llevado a cabo no con la finalidad de mantener una relación empresarial con el establecimiento u organización que el mismo hubiera creado, sino para conocer la información del propio sujeto organizado en forma de empresa, siendo el destinatario del tratamiento no la empresa sino el propio empresario en tanto, por ejemplo, que consumidor individual.

En consecuencia, cabe extraer dos conclusiones determinantes del alcance de lo dispuesto en el artículo 2.3 del Reglamento:

– Cabrá considerar que la legislación de protección de datos no es aplicable en los supuestos en los que los datos del comerciante sometidos a tratamiento hacen referencia únicamente al mismo en su condición de comerciante, industrial o naviero; es decir, a su actividad empresarial.

– Además, el uso de los datos deberá quedar limitado a las actividades empresariales; es decir, el sujeto respecto del que pretende llevarse a cabo el tratamiento es la empresa constituida por el comerciante industrial o naviero y no el empresario mismo que la hubiese constituido.

Datos Firmantes, Empresarios Y Personas De Contacto
Datos Firmantes, Empresarios Y Personas De Contacto
Datos-firmantes-empresarios-y-personas-de-contacto.pdf
703.2 KiB
1088 Downloads
Details
J&I ZURDO, ABOGADOS

Las direcciones IP como datos de carácter personal

Direcciones IP

Las direcciones IP son secuencias de números que se asignan a los ordenadores conectados a Internet para que estos puedan comunicarse entre sí a través de esa red. Cuando se consulta un sitio de Internet, la dirección IP del ordenador que consulta se comunica al servidor en el que se aloja el sitio consultado. Las direcciones IP pueden ser “estáticas” o “dinámicas”. Estas últimas cambian en cada nueva conexión a Internet y, a diferencia de las “estáticas” no permiten relacionar, mediante ficheros accesibles al público, un ordenador concreto y la conexión física a la red utilizada por el proveedor de acceso a Internet.

La Agencia de Protección de Datos, en su Informe 327/2003, ya estableció que las direcciones IP, tanto “fijas” (o “estáticas”) como “dinámicas”, son datos de carácter personal:

“[…] los proveedores de acceso a Internet y los administradores de redes locales pueden identificar por medios razonables a los usuarios de Internet a los que han asignado direcciones IP. Un proveedor de acceso a Internet que tiene un contrato con un abonado a Internet, normalmente mantiene un fichero histórico con la dirección IP (fija o dinámica) asignada, el número de identificación del suscriptor, la fecha la hora y la duración de la asignación de dirección. Es más, si el usuario de Internet está utilizando una red pública de telecomunicaciones, como un teléfono móvil o fijo, la compañía telefónica registrará el número marcado, junto con la fecha, la hora y la duración, para la posterior facturación.

En estos casos ello significa que, con la asistencia de terceras partes responsables de la asignación, se puede identificar a un usuario de Internet, es decir, obtener su identidad civil (nombre, dirección, número de teléfono, etc), por medios razonables, con lo que no cabe duda de que se puede hablar de datos de carácter personal en el sentido de la letra a) del artículo 3 de la Ley 15/1999.

En otros casos, un tercero puede llegar a averiguar la dirección IP dinámica de un usuario pero no ser capaz de relacionarla con otros datos que le permitan identificarlo. Obviamente, resulta más sencillo identificar a los usuarios de Internet que utilizan direcciones estáticas.

Sin embargo, en muchos casos existe la posibilidad de relacionar la dirección IP del usuario con otros datos de carácter personal, de acceso público o no, que permitan identificarlo, especialmente si se utilizan medios invisibles de tratamiento para recoger información adicional sobre el usuario, tales como cookies con un identificador único o sistemas modernos de minería de datos unidos a bases de datos con información sobre usuarios de Internet que permite su identificación.

Así pues, aunque no siempre sea posible para todos los agentes de Internet identificar a un usuario a partir de datos tratados en la Red, desde esta Agencia de Protección de Datos se parte de la idea de que la posibilidad de identificar a un usuario de Internet existe en muchos casos y, por lo tanto, las direcciones IP tanto fijas como dinámicas, con independencia del tipo de acceso, se consideran datos de carácter personal resultando de aplicación la normativa sobre protección de datos. […]”

En el apartado 51 de la sentencia de 24 de noviembre de 2011, Scarlet Extended (C- 70/10, EU:C:2011:771), que se refería a la interpretación de la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, el Tribunal de Justicia también estimó, en esencia, que las direcciones IP de los usuarios de Internet son datos protegidos de carácter personal (ya que permiten identificar concretamente a esos usuarios). Sin embargo, esta afirmación se refería a la hipótesis en la que la recogida y la identificación de las direcciones IP de los usuarios de Internet se realizan por los proveedores de acceso a Internet.

Por su parte, la Sala de lo Contencioso-Administrativo del Tribunal Supremo, en su sentencia de 3 de octubre de 2014, también considera que las direcciones IP son un dato de carácter personal.

En su motivo cuarto, señala:

“CUARTO.- Como hemos indicado, el segundo motivo del recurso de casación sostiene que la sentencia recurrida se equivoca cuando sienta la premisa de que las direcciones IP son datos de carácter personal, pues para la parte recurrente las direcciones IP que pretende tratar no son datos de carácter personal, en el sentido de la LOPD, sino que se trata de datos disociados, pues dicha parte por sí misma es incapaz de llegar a conocer, a partir del dato de la dirección IP, la identidad, u otros datos de identificación de la persona de que se trate. Añade la parte recurrente que, de la prueba practicada en el recurso, resulta que carece de los medios técnicos precisos para llegar a averiguar la identidad real de la persona física que utiliza la dirección IP, con la consecuencia de que, en tales circunstancias, no es posible considerar que las direcciones IP que PROMUSICAE pretende tratar constituyan datos personales, haciendo la sentencia recurrida una lectura equivocada de la sentencia del Tribunal de Justicia de la Comunidad Europea de 29 de enero de 2008.

Esta cuestión es tratada y resuelta en la sentencia recurrida, que llega a la conclusión de que las direcciones IP (Internet Protocols) deben ser consideradas como datos personales, tras razonar que entran dentro del concepto legal de dato personal del artículo 3.1) LOPD y 5.f) de su Reglamento, y que dicha conclusión resultó avalada por la sentencia del TJCE en el asunto C- 275/2006.

La Sala comparte y hace suyos los razonamientos de la Sala de instancia.

De acuerdo con el escrito de solicitud de la exención del deber de informar del tratamiento a los titulares de los datos (folio 3 del expediente administrativo), el tratamiento de datos que PROMUSICAE pretende llevar a cabo se refiere al nombre de usuario, la dirección IP, el día y la hora en que se realicen de forma masiva los actos de puesta a disposición de fonogramas o videos musicales, el número de archivos protegidos que ese usuario tenía a disposición del público en su carpeta compartida, los títulos de los fonogramas y videos musicales que ponía a disposición del público y el nombre del artista.

Esta Sala estima que las direcciones IP son datos personales, en el sentido del artículo 3 LOPD, ya que contienen información concerniente a personas físicas «identificadas o identificables». El hecho a que alude la parte recurrente, de no tener al alcance de su mano la identificación del titular de los datos por medios y plazos razonables, no es obstáculo para la conclusión que mantenemos de que se trata de datos personales, pues de conformidad con la definición de datos personales del artículo 2.a) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 , relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, por dato personal habrá de entenderse, al igual que señala el artículo 3.a) LOPD antes citado, toda información sobre una persona física identificada o identificable, añadiendo el artículo 2.a) de la Directiva 95/46 que «se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación…».

No cabe duda que, a partir de la dirección IP puede identificarse directa o indirectamente la identidad del interesado, ya que los proveedores de acceso a internet tienen constancia de los nombres, teléfono y otros datos identificativos de los usuarios a los que han asignado las particulares direcciones IP.

La sentencia recurrida cita, en apoyo de su tesis de que las direcciones IP son datos personales, la sentencia del Tribunal de Justicia de la Comunidad Europea de 29 de enero de 2008 (asunto C-275/06), recaída en una petición de decisión prejudicial planteada por un Juzgado de lo Mercantil de Madrid, en un procedimiento promovido por la aquí parte recurrente, PROMUSICAE, contra un proveedor de acceso a internet (Telefónica de España, SAU), para que le comunicase los nombres y direcciones de determinados usuarios de internet. En relación con dicha sentencia del TJCE, es cierto que en su apartado 45 se afirma la condición de datos personales de los que eran objeto de la pretensión de la parte recurrente en el litigio principal, es decir, los nombres y direcciones de determinados usuarios solicitada por PROMUSICAE, sin que el TJCE se pronunciara respecto de las direcciones IP. Sin embargo, debe precisarse también que, en el mismo asunto, la Abogado General en sus conclusiones si mantiene (apartado 61), que el dato del usuario al que se han atribuido determinadas direcciones IP es un dato personal, en el sentido del artículo 2.a) de la Directiva 95/46, es decir, información sobre una persona física identificada o identificable, pues «con ayuda de este dato se relacionan las actividades realizadas mediante el uso de la correspondiente dirección IP con el titular del punto de conexión».

Por lo tanto, estimamos que las direcciones IP son datos personales, en el sentido del artículo 3.a) LOPD y, como tales, se encuentran protegidos por las garantías establecidas por dicho texto legal para su tratamiento. […]”

Por último, la reciente sentencia del Tribunal de Justicia (Sala Segunda), de 19 de octubre de 2016, resuelve dos cuestiones prejudiciales relativas a las direcciones IP:

  1. ¿Debe interpretarse el artículo 2, letra a), de la Directiva en el sentido de que una dirección IP registrada por un prestador de servicios [de medios en línea] en relación con un acceso a su sitio de Internet constituye para éste un dato personal desde el momento en que un tercero (en este caso, un proveedor de acceso) disponga de los datos adicionales que permiten identificar al interesad?

El Tribunal de Justicia concluye que una dirección dinámica registrada por un proveedor de servicios de medios en línea con ocasión de la consulta por una persona de un sitio de Internet que ese proveedor hace accesible al público constituye respecto a dicho proveedor un dato personal cuando éste disponga de medios legales (por ejemplo, como en el supuesto de ataques cibernéticos,  a través de la autoridad competente)  que le permitan identificar a la persona interesada gracias a la información adicional de que dispone el proveedor de acceso a Internet de dicha persona.

El Tribunal razona que para determinar si una dirección IP dinámica constituye un dato personal en relación con dicho proveedor de servicios de medios en línea, debe comprobarse si dicha dirección IP (al no constituir una información relativa a una “persona física identificada”, puesto que tal dirección no revela directamente la identidad de la persona física propietaria del ordenador desde el que se realiza la consulta) puede calificarse, sin embargo, de información relativa a una “persona física identificable” cuando la información adicional necesaria para identificar al usuario la tiene el proveedor de acceso a Internet de ese usuario. Partiendo de la base de que se considera identificable a la persona que puede ser identificada no sólo directamente, sino también indirectamente, considerando el conjunto de los medios que puedan ser razonablemente utilizados para identificar a dicha persona, y que no es necesario que toda la información que permita identificar al interesado deba encontrarse en poder de una sola persona, el Tribunal concluye que una dirección IP dinámica registrada por un proveedor de servicios de medios en línea constituye, respecto a dicho proveedor, un dato personal cuando éste disponga de medios legales que le permitan identificar a la persona interesada a través de la información adicional del proveedor de acceso a Internet de dicha persona.

Se trataría de los casos en que existan vías legales que permitan al proveedor de servicios de medios en línea dirigirse, en particular en caso de ataques cibernéticos, a la autoridad competente a fin de que ésta lleve a cabo las actuaciones necesarias para obtener dicha información del proveedor de acceso a Internet y para ejercitar acciones penales.

Recordemos que, en España,  la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, regula la obligación de los operadores de conservar los datos generados o tratados en el marco de la prestación de servicios de comunicaciones electrónicas o de redes públicas de comunicación, así como el deber de cesión de dichos datos a los agentes facultados (los establecidos en su artículo 6) siempre que les sean requeridos a través de la correspondiente autorización judicial con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales

  1. ¿Se opone el artículo 7, letra f) de dicha Directiva a una disposición nacional (alemana) con arreglo a la cual un prestador de servicios [de medios en línea] sólo puede recoger y utilizar los datos personales de un usuario sin su consentimiento cuando sea necesario para ofrecer y facturar el uso concreto del medio en línea por ese usuario, y con arreglo a la cual el objetivo de garantizar el funcionamiento general del medio en línea no puede justificar la utilización de esos datos tras la conclusión de cada operación de uso concreta?

El Tribunal de Justicia considera que el artículo 7, letra f) de la Directiva 95/46 (que se refiere al llamado “interés legítimo”) se opone a la normativa a la que se refiere la sentencia. En opinión del Tribunal, dicho artículo se opone a que un Estado miembro excluya de manera categórica y generalizada la posibilidad de someter a un tratamiento determinadas categorías de datos personales, sin permitir una ponderación de los derechos e intereses en conflicto en cada caso concreto y que un Estado miembro no puede establecer con carácter definitivo el resultado de la ponderación de los derechos e intereses en conflicto respecto de tales categorías, sin permitir un resultado diferente en atención a las circunstancias particulares de cada caso concreto.

La normativa nacional que se analiza en el asunto reduce el alcance del principio previsto en el artículo 7, letra f) de la Directiva al excluir que el objetivo de garantizar el funcionamiento general del medio en línea pueda ser objeto de ponderación con el interés o los derechos y libertades fundamentales de los usuarios que requieren protección con arreglo al artículo 1, apartado 1 de la misma Directiva.

Por tanto, podemos concluir que las direcciones IP, tanto “estáticas” como “dinámicas”, tienen la consideración de dato de carácter personal, dejando el Tribunal de Justicia abierta la puerta a la aplicación del llamado “interés legítimo” para justificar el tratamiento de dicho dato de carácter personal, exigiendo esta aplicación, en todo caso, una ponderación de los derechos e intereses en conflicto, en atención a las circunstancias concurrentes en el caso particular. Y, recordando, que es jurisprudencia reiterada del Tribunal que las excepciones a la protección de los datos personales y las restricciones a dicha protección han de establecerse sin sobrepasar los límites de lo estrictamente necesario.

Las Direcciones IP Como Datos De Carácter Personal
Las Direcciones IP Como Datos De Carácter Personal
Las-direcciones-IP-como-datos-de-caracter-personal_2.pdf
917.9 KiB
849 Downloads
Details
J&I ZURDO, ABOGADOS

Google se adhiere al Privacy Shield o Escudo de Privacidad

google

Hace algunas semanas hablábamos de las transferencias internacionales de datos y del Privacy Shield o Escudo de Privacidad y decíamos que ya se habían certificado entidades como Microsoft o Salesforce y que otras, Google entre ellas, estaban en proceso de certificación.

Pues bien, a día de hoy, ya se han certificado algunas de las que prestan algunos de los servicios más utilizados por el usuario medio.

Destaca especialmente la mencionada Google (desde el 22 de septiembre de 2016), pero también otras como Dropbox (desde el 23 de septiembre de 2016), Facebook (desde el 30 de septiembre de 2016), AWeber (desde el 4 de octubre de 2016) o Amazon (desde el 21 de octubre de 2016) .

Como ya comentamos en su día, la lista completa de las empresas certificadas se puede consultar en la página web del Escudo de Privacidad.

Recordamos que esto supone que los responsables del tratamiento que contraten con prestadores de servicios ubicados en los Estados Unidos (o para los que se prevea el acceso a datos de carácter personal desde los Estados Unidos) que se encuentren certificados, pueden inscribir sus ficheros cumplimentando el apartado relativo a transferencias internacionales de manera análoga a como se hacía en tiempos del Safe Harbor. Deberán indicar la opción de EE.UU ESCUDO PRIVACIDAD.

Por tanto, no será necesaria, en estos casos, la autorización de la Directora de la Agencia Española de Protección de Datos.

Google Se Adhiere Al Privacy Shield
Google Se Adhiere Al Privacy Shield
Google-se-adhiere-al-Privacy-Shield.pdf
521.7 KiB
808 Downloads
Details
J&I ZURDO, ABOGADOS

Las transferencias internacionales de datos, el Escudo de Privacidad o Privacy Shield y los prestadores de servicios tecnológicos

privacy_shield

El pasado 12 de julio de 2016, la Comisión Europea adoptó la Decisión (UE) 2016/1250, referida al Escudo de Privacidad UE- EE.UU o Privacy Shield.

El Escudo de Privacidad pretende que se cumplan los requisitos establecidos por el Tribunal de Justicia para las transferencias internacionales de datos desde la Unión Europea hasta los Estados Unidos. Recordemos que el Tribunal de Justicia, en su sentencia de 6 de octubre de 2015, declaró inválido el anterior marco, conocido como Puerto Seguro o Safe Harbor,

Desde el 1 de agosto, las empresas pueden certificarse ante el Departamento de Comercio de los Estados Unidos. El Departamento de Comercio revisará las autocertificaciones presentadas y, en su caso, registrará las entidades en la lista del Escudo de Privacidad. Las empresas certificadas pueden consultarse en la página web del Escudo de Privacidad.

Esto supone que los responsables que contraten con prestadores de servicios ubicados en los Estados Unidos (o en la Unión Europea pero para los que se prevea el acceso a datos desde los Estados Unidos) que se encuentren certificados (es decir, que se incluyan en el listado del Escudo de Privacidad), pueden inscribir sus ficheros cumplimentando el apartado relativo a transferencias internacionales de manera análoga a como se hacía en tiempos del Safe Harbor. Deberán indicar la opción de EE.UU ESCUDO PRIVACIDAD.

En consecuencia, no será necesaria la autorización de la Directora de la Agencia Española de Protección de Datos en el caso de que se contraten servicios (que supongan transferencias internacionales de datos) con empresas estadounidenses adheridas al Escudo de Privacidad.

Ya se han certificado algunas entidades, como Microsoft y Salesforce. Otras, como Google o Mailchimp, están en proceso de certificación.

De esta manera, comienza a solventarse un problema que afectaba a todos los responsables de los ficheros (pero especialmente a pequeñas y medianas empresas o profesionales): El de poder contratar los (muchas veces) imprescindibles servicios tecnológicos (almacenamiento en la nube, correo electrónico, etc) con proveedores que les permitieran cumplir con las exigencias de la legislación de protección de datos, sin esfuerzos desproporcionados.

Escudo de Privacidad o Privacy Shield
259.7 KiB
886 Downloads
Details
J&I ZURDO, ABOGADOS