Conceptos y principios de protección de datos (2)

Este es el segundo post de la serie que iniciamos en la entrega anterior orientada a repasar y clarificar  algunos de los conceptos y principios básicos de la legislación de protección de datos. Se trata de una serie especialmente dirigida a pequeños y medianos empresarios ya que es este un sector en donde se constata que hay más dudas. Se trata de un resumen de los conceptos esenciales y/o que más duda generan, y no una transcripción literal, exacta o exhaustiva de la reglamentación.

Licitud del tratamiento

Todo tratamiento de datos debe realizarse de manera lícita, justa y transparente en relación con los interesados. Para que el tratamiento sea lícito, los datos de carácter personal han de ser tratados con el consentimiento del interesado, o sobre alguna otra base jurídica legítima establecida por Ley.

Siempre que se produzca en el contexto de un contrato en el que el interesado es parte, o en el transcurso de las acciones necesarias para formalizar un contrato a petición del interesado, el tratamiento de datos personales es lícito.

También se considera como lícito un tratamiento de datos personales cuando:

• Cuando se lleva a cabo por un interés legítimo del responsable del tratamiento, siempre que no prevalezcan los intereses o los derechos y libertades del interesado
• Cuando se lleva a cabo en cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento y esta obligación tenga una base jurídica en el Derecho de la Unión Europea o en la legislación de un estado miembro.
• Cuando el tratamiento de datos es necesario para proteger un interés esencial para la vida del interesado.
• Cuando se lleva a cabo en el marco del interés público.

Consentimiento

Como hemos visto, el consentimiento por parte del interesado para el procesamiento de sus datos personales es uno de los posibles factores que legitiman el tratamiento de datos. Este consentimiento, debe reunir una serie de condiciones:

• Debe ser otorgado con pleno conocimiento por parte del interesado de los detalles e implicaciones del procesamiento.
• Debe ser otorgado de manera libre por parte del interesado.
• El consentimiento puede ser explícito o implícito, pero no debe dejar lugar a dudas sobre el hecho de que el interesado acepta el procesamiento de sus datos. El procesamiento de datos sensibles siempre debe ir precedido de un consentimiento explícito.
• El interesado debe tener la oportunidad en cualquier momento de retractarse y retirar su consentimiento.
• El consentimiento debe recabarse en el momento de la recogida de datos.
• El procesamiento de los datos no puede llevarse a cabo antes de informar y recabar el consentimiento.

Las empresas deben ser muy cuidadosas a la hora de proporcionar información suficiente, accesible, visible, escrita en lenguaje comprensible y clara; de modo que facilite un consentimiento informado por parte del sujeto. En concreto, el objeto y alcance del procesamiento debe quedar muy claro, con indicación de los posibles encargados del tratamiento que participen. En este sentido, una crítica frecuente a los grandes gigantes de Internet (como Google, Facebook,  etc..) es que suelen solicitar el consentimiento a partir de una información ambigüa en la que no queda muy claro el alcance del tratamiento.

No se considera válido el consentimiento otorgado sobre propósitos indefinidos. Esto supone un incumplimiento.

Por sí mismo, además, el consentimiento no debe constituir un fundamento jurídico válido para el tratamiento de datos cuando existe un desequilibrio entre el interesado y el responsable del tratamiento (por ejemplo, en aquellas situaciones en las que el interesado se encuentra en una situación de dependencia con respecto del responsable).

Otro aspecto importante a tener en cuenta es que la carga de la prueba para demostrar que el interesado ha dado el consentimiento recae sobre el responsable del tratamiento,

Revalidación del consentimiento

Un aspecto importante a tener en cuenta es que el consentimiento se otorga para un propósito de procesamiento concreto y para unas determinadas condiciones de tratamiento. El consentimiento debe ser solicitado al interesado nuevamente cuando se produzcan cambios en las condiciones que impliquen que se excede la expectativa normal sobre el tratamiento cuando se otorgó el consentimiento inicial.

Por ejemplo, si en un momento dado un responsable del tratamiento decide subcontratar con un tercero parte o la totalidad del procesamiento, entonces este cambio en las condiciones obliga a notificarlo y recabar un nuevo consentimiento por parte de los afectados como paso previo antes de empezar a trabajar con el proveedor.

Compatibilidad de propósito

De lo dicho hasta ahora se concluye que el uso de los datos para un propósito compatible con el referido al consentimiento otorgado inicialmente por el interesado, puede realizarse sin necesidad de requerir un nuevo consentimiento. Por ejemplo, si se usan los datos de la base de datos de atención al cliente para realizar una campaña de márketing y ofrecer a los propios  clientes ofertas de los productos propios, esto normalmente es compatible con el consentimiento inicial y no suele ser necesario pedir un consentimiento expreso; sin embargo, si lo que se pretende es ceder los datos de los clientes a una tercera parte (ej: otra empresa), para que ésta haga ofertas a nuestros clientes de sus propios productos, esto requiere un consentimiento expreso para este uso.

El uso de los datos de los clientes por parte de la empresa con fines de estudio estadístico, histórico o científico no suele ser en principio incompatible con el propósito inicial de procesamiento; aunque se deben tener precauciones en cuanto a la conveniencia o no de anonimizar datos y eliminar los datos una vez que han dejado de ser necesarios.

Sobre el derecho a retirar el consentimiento

Se deben facilitar las condiciones para que el interesado pueda en cualquier momento retirar el consentimiento dado. En este sentido hay que tener en cuenta que:

• No se le puede exigir al interesado como condición que explique las razones por las que retira el consentimiento.
• Ni se le puede penalizar de ninguna manera, ni siquiera con la retirada de los beneficios que el interesado hubiera obtenido conseguido como consecuencia de su anterior consentimiento. Por ejemplo, si el cliente de un servicio, al otorgar el consentimiento a recibir publicidad, es beneficiado con un descuento en el precio del servicio, éste descuento no puede ser anulado si después el interesado cambia de opinión y retira el consentimiento.

Interés Legítimo del responsable

Como hemos visto, el interés legítimo del responsable es otro de los posibles casos que legitiman el tratamiento de datos. En este caso, el responsable del tratamiento puede tratar o ceder los datos personales sin necesidad de recabar el consentimiento de los interesados.

Este supuesto es muy importante para las empresas cuando desean realizar acciones comerciales a sus prospectos o clientes y no pueden o no consideran viable tener que recabar el consentimiento. Este es el supuesto en el que también se enmarcan otro tipo de actividades como cuando una empresa lleva a cabo acciones para gestionar los casos de impago por parte de sus clientes morosos…

Sin embargo, poder argumentar Interés legítimo es un asunto mucho más “resbaladizo” que el resto de supuestos que legitiman el tratamiento, ya que en cada caso concreto hay que ponderar el interés del responsable del tratamiento, teniendo en cuenta el posible impacto en los intereses y derechos fundamentales de los interesados que prevalecerán si se ven afectados.

A continuación, enumeramos algunos de los contextos típicos en donde puede ser de aplicación el supuesto del Interés legítimo:

• Ejercicio del derecho a la libertad de expresión e información (ej: prensa y artes)
• Acciones de márketing y publicidad
• Mensajes no-comerciales y no solicitados (por ejemplo, en el caso de campañas electorales, solicitudes de fondos en campañas solidarias/caridad, etc…)
• Ejecución de demandas legales, incluyendo el cobro de deudas a través de procedimientos fuera de las actuaciones judiciales.
• Prevención del fraude, el blanqueo de capitales y el uso ilícito de servicios, activos…
• Acciones de control de los empleados en aras de la seguridad y el buen gobierno del negocio
• Seguridad física y seguridad lógica
• Procesamiento de datos con carácter histórico, científico o estadístico
• Realización de estudios (incluyendo estudios de mercado)

De acuerdo con la opinión de los expertos del grupo de trabajo sobre el artículo 29, (que incluye entre otros a representantes de las autoridades de protección de datos de los estados miembros de la Unión Europea), el hecho de que un responsable tenga un interés legítimo (y suficientemente específico) en el procesamiento, no quiere decir necesariamente que sea de aplicabilidad este supuesto como base jurídica para el tratamiento. La legitimidad es solamente el punto de partida a partir del cual analizar la situación. Es necesario llevar a cabo un test para ponderar este interés legítimo del responsable con respecto a los intereses y derechos de los interesados. El propio grupo de trabajo pone un ejemplo para clarificar esto:

Una empresa puede tener un interés legítimo en obtener conocimiento sobre las preferencias de sus clientes y usar ese conocimiento para hacer ofertas personalizadas a los mismos y ofrecerles servicios que les sean relevantes. Sobre la base de este interés, puede ser admisible que la empresa lleve a cabo acciones de marketing on-line y off-line, siempre con la previsión de habilitar mecanismos para que los interesados puedan expresar su deseo de ser excluidos de estas actividades.

Sin embargo, esto no quiere decir que la empresa pueda apoyarse en ese interés legítimo para monitorizar indebidamente la actividad on-line y off-line de los clientes, combinando sin el conocimiento de los interesados ingentes cantidades de información sobre su comportamiento  procedente de distintas fuentes y recabadas en otros contextos y con otros propósitos, y dejar de lado el consentimiento informado de los interesados, ya que tal actividad de perfilado supondría una intromisión desproporcionada en la privacidad de los individuos. En este caso, prevalecería el derecho a la privacidad de los interesados frente al interés comercial de la empresa.

El principio de “juego limpio”

La normativa de protección de datos exige “juego limpio” por parte de los responsables de tratamiento. Este Juego limpio en el procesamiento de datos de carácter personal implica, además de una información transparente y clara sobre el propósito del procesamiento y los intervinientes en el mismo, otros matices:

• Que, salvo que haya una ley que lo ampare, no debe haber propósito alguno oculto o secreto en el tratamiento.
• Que los interesados tienen el derecho de acceder a sus datos, en cualquier procesamiento.
• Que los responsables del tratamiento deben ser sensibles a la posibilidad y evitar procesamientos que puedan tener cualquier efecto negativo para el interesado.

El principio de responsabilidad / deber de rendir cuentas

Este principio implica que el responsable del tratamiento tiene que implantar las medidas para proteger los datos de los interesados de acuerdo a la ley. Además, el responsable debe ser capaz de demostrar (documentalmente) y en todo momento, la diligencia debida y el cumplimiento de las medidas reglamentarias.

Epílogo

Cerramos aquí este segundo post dedicado a clarificar algunos de los conceptos y principios básicos de la protección de datos de carácter personal. Esperemos haber conseguido nuestro propósito. En entregas sucesivas profundizaremos más en otros aspectos de la regulación como son los tratamientos externalizados, cesiones de datos y transferencias internacionales de datos; hasta entonces, un fuerte abrazo y gracias por la atención.