EXAMEN DEL INTERÉS LEGÍTIMO COMO BASE DEL TRATAMIENTO DE DATOS

Por conversaciones con clientes y compañeros, detecto que el interés legítimo, como base jurídica del tratamiento de datos, suscita muchos interrogantes y en ocasiones provoca cierto nerviosismo. Es curioso porque, aunque en España lo estuvimos manejando de forma errónea (hasta que nos corrigió el TJUE con su sentencia de 24 de noviembre 2011 sobre el asunto ASNEF y FECEMD), no se trata de ninguna novedad del Reglamento General de Protección de Datos (RGPD). Éste contempla exactamente los mismos fundamentos que legitiman el tratamiento de datos que ya contenía la Directiva 95/46.

No obstante, es cierto que, al exigir el Reglamento que, en los tratamientos basados en el consentimiento de los interesados, éste sea inequívoco y en sentido positivo, se esté acudiendo, o al menos se pretenda, al interés legítimo como base alternativa que legitima aquellos tratamientos para los que no se cuenta con un consentimiento otorgado con tales características y en los que no cabe aplicar ninguna otra base jurídica.

Por este motivo se pone el foco ahora sobre el interés legítimo y la incertidumbre surge porque, al igual que sucede con la Directiva, el RGPD exige no sólo la existencia de un interés legítimo, sino que éste prevalezca sobre los intereses o los derechos y libertades de los interesados. En definitiva, hay que ponderar (¡chan chan!). Y en toda ponderación suele suceder que, antes o después hay que chuparse el dedo y ponerlo al viento. Pero mejor hacerlo lo más tarde posible y contar previamente con elementos lo más objetivos posibles que nos puedan guiar como pesas que se van poniendo en la balanza (aunque, como apunto, al final tengamos que recurrir a lo del dedo a la hora de dar un valor a cada una de esas pesas).

El Reglamento regula el interés legítimo principalmente en su artículo 6.1.f), así como en los Considerandos 47 a 50, que, entre otras cosas, indican algunos de los supuestos en los que puede entenderse que el interés del responsable o de un tercero puede considerarse como legítimo (sin perjuicio de tener que llevar a cabo la necesaria ponderación comentada).

Art. 6.1.f):

El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.

Resulta oportuno transcribir igualmente los dos siguientes párrafos del Considerando 47, que aporta unas pinceladas muy genéricas, que he subrayado, de aspectos a tener en cuenta sobre la ponderación que hay que realizar:

El interés legítimo de un responsable del tratamiento, incluso el de un responsable al que se puedan comunicar datos personales, o de un tercero, puede constituir una base jurídica para el tratamiento, siempre que no prevalezcan los intereses o los derechos y libertades del interesado, teniendo en cuenta las expectativas razonables de los interesados basadas en su relación con el responsable.

(…)

En cualquier caso, la existencia de un interés legítimo requeriría una evaluación meticulosa, inclusive si un interesado puede prever de forma razonable, en el momento y en el contexto de la recogida de datos personales, que pueda producirse el tratamiento con tal fin. En particular, los intereses y los derechos fundamentales del interesado podrían prevalecer sobre los intereses del responsable del tratamiento cuando se proceda al tratamiento de los datos personales en circunstancias en las que el interesado no espere razonablemente que se realice un tratamiento ulterior.

No arroja, por tanto, mucha luz el Reglamento en cuanto al examen que debe llevarse a cabo para determinar cuándo un interés legítimo existente y necesario legitima un tratamiento de datos. Y entiendo que tampoco es función de esta norma llegar a tanto detalle e, incluso, podría ser contraproducente. En este punto, llamo la atención sobre el Anteproyecto de LOPD, donde quizá sí cabría desarrollar un poco más la cuestión[i], así como en un futuro Reglamento de desarrollo de esa nueva LOPD.

Las Administraciones Públicas lo tienen fácil con el interés legítimo respecto a los tratamientos de datos que deban realizar en ejercicio de sus funciones. Sencillamente no pueden basar ninguno de esos tratamientos en dicho supuesto, tal como dispone el propio art. 6 citado, al final del apartado f): …no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones. La razón, según se menciona en el Considerando 47 del propio RGPD, es que corresponde al legislador establecer por ley la base jurídica para el tratamiento de datos personales por parte de las autoridades públicas.

Ahora bien, para otros supuestos, y siempre que el responsable lo sea una entidad privada, conviene, llegados aquí, recurrir al GT29, concretamente a su Dictamen 06/2014, de 9 de abril de 2014, sobre el concepto de interés legítimo del responsable del tratamiento de los datos en virtud del artículo 7 de la Directiva 95/46/CE. Sí, es cierto, se refiere al interés legítimo previsto en la Directiva, no en el Reglamento, pero es que, como he apuntado anteriormente, la figura del Reglamento no es nueva, sino que se trata del mismo interés legítimo que se contempla en la Directiva; el mencionado dictamen, por tanto, resulta perfecta y plenamente aplicable.

En dicho dictamen el GT29 nos guía a la hora de realizar el pertinente examen sobre el interés legítimo para concluir si éste puede legitimar un determinado tratamiento de datos o no. Para ello deberemos dar los pasos que se resumen en el siguiente esquema:

EsquemaExamenInteresLegitimoPD

Vayamos por partes.

 

A) ¿SE TRATA DE UN INTERÉS LEGÍTIMO?

No todo interés del responsable o de un tercero tiene por qué ser legítimo y esta característica es requisito indispensable para que dicho interés pueda acabar legitimando un tratamiento de datos.

El GT29 exige que, para que pueda considerarse legítimo un interés, éste sea:

  • Lícito: que sea conforme a la legislación nacional y de la UE, es decir que no se trate de materia prohibida, ni atente contra el orden público, ni sea contraria a los principios generales del Derecho (cuáles son éstos es otro cantar).
  • Suficientemente concreto: Lo que requiere que quede claramente delimitado y definido, para poder ponerlo en contraposición a los intereses y los derechos fundamentales del interesado.
  • Representativo de un interés real y actual, es decir, que no sea especulativo.

No tiene sentido crear una lista cerrada de intereses legítimos, pues estos pueden ser infinitamente dispares y además variar en función del tiempo y de las circunstancias. No obstante, el RGPD, en sus Considerandos 47 a 50, nos marca ya algunos supuestos concretos de interés legítimo:

  • La prevención del fraude (Considerando 47).
  • La mercadotecnia directa (Considerando 47).
  • Garantizar la seguridad de la red y de la información, así como de los servicios proporcionados a través de esos sistemas o redes de información (Considerando 49).
  • Compartir datos personales dentro de un mismo grupo empresarial o entre entidades afiliadas a un mismo organismo central con fines administrativos internos (Considerando 48).
  • La indicación de posibles actos delictivos o amenazas para la seguridad pública, así como la transmisión a la autoridad competente de los datos relacionados con dichos actos delictivos o amenazas para la seguridad pública (Considerando 50).

A éstos habrá que añadir los que, en su caso, recoja finalmente la reforma definitiva de nuestra LOPD. Actualmente en el Anteproyecto se mencionan los dos siguientes:

  • El tratamiento de los datos de las personas físicas que presten servicios en una persona jurídica, siempre se trate de los datos mínimos imprescindibles para su localización profesional y se utilicen para mantener la relación con la persona jurídica en cuestión.
  • El tratamiento de los datos de empresarios individuales cuando se refieran a ellos en dicha condición y no se traten para entablar una relación con los mismos como personas físicas.

Además, en el propio dictamen del GT29 se aportan más supuestos que pueden considerarse como interés legítimo y en su Anexo 2 se describen algunos ejemplos prácticos que pueden ser muy útiles. Entre los primeros se exponen a continuación, por no ser repetitivos, sólo aquellos que difieren de los recogidos en los Considerandos del RGPD:

  • El ejercicio del derecho de libertad de expresión o información, incluidas las situaciones en las que se ejerza dicho derecho en los medios de comunicación y en las artes.
  • La prospección convencional y otras formas de comercialización o publicidad.
  • Los mensajes no comerciales que no hayan sido solicitados, incluidos los pertenecientes a campañas políticas o de recaudación de fondos para organizaciones caritativas.
  • La ejecución de derechos reconocidos en procedimientos judiciales, incluido el cobro de deudas mediante procedimientos extrajudiciales.
  • la prevención del uso indebido de servicios o del blanqueo de dinero.
  • La supervisión de los empleados con fines de seguridad o de gestión. En relación con este concreto tratamiento, el propio GT29 ha emitido recientemente otro dictamen que aborda, entre otras, directamente esta cuestión: Dictamen 2/2017 sobre tratamiento de datos en el trabajo, de fecha 8 de junio de 2017, disponible en inglés en pdf en http://ec.europa.eu/newsroom/document.cfm?doc_id=45631.[ii]
  • Los regímenes internos de denuncia de irregularidades.
  • La seguridad física.
  • El tratamiento con fines históricos, científicos o estadísticos.
  • El tratamiento con fines de investigación (incluida la investigación de mercado).

Insisto, no podemos tratar estos listados con la condición de “númerus clausus”, por lo tanto, aunque “nuestro” interés no figure entre los descritos, no significa que no pueda ser un interés legítimo. Lo será siempre que cumpla los requisitos iniciales: licitud, concreción, real y actual.

Si llegamos a la conclusión de que el interés no es legítimo, se paran las máquinas, no puede basarse el tratamiento de datos en dicho interés y habrá que ver si concurre alguna otra base jurídica que pueda legitimar dicho tratamiento.

No debemos confundir el interés del responsable o de un tercero con la finalidad del tratamiento. Ésta es la que se persigue como medio que permita la satisfacción del interés legítimo, pero pueden ser cosas totalmente distintas. También es importante que el interés legítimo quede lo mejor descrito o definido posible de cara al siguiente paso a dar: valorar si el tratamiento es necesario para poder conseguir el interés legítimo.

InteresLegitimoB) ¿EL TRATAMIENTO DE DATOS ES NECESARIO PARA CONSEGUIR EL INTERÉS LEGÍTIMO?

El GT29 en su dictamen nos exhorta a considerar que un tratamiento no será necesario si existen medios menos invasivos a través de los cuales se logra el mismo fin. Y ello sin que deba tenerse en cuenta si esos otros medios menos invasivos le resultan más o menos apropiados o eficaces para el responsable del tratamiento.

Por ello habrá que valorar la conveniencia de introducir, en la determinación del interés legítimo (paso previo), ciertas características propias del resultado que se pretende obtener, tales como el coste, el tiempo, esfuerzos y recursos a emplearse en la consecución del interés legítimo (“al menor coste posible”, “en un plazo no superior a”, “con una inversión ajustada de recursos o esfuerzos” …)

 

C) PONDERACIÓN ENTRE EL INTERÉS LEGÍTIMO Y LOS INTERESES O DERECHOS Y LIBERTADES DE LOS INTERESADOS.

Teniendo en cuenta que el RGPD marca que la ponderación debe hacerse teniendo en cuenta la expectativa razonable de los interesados en función de su relación con el responsable, así como las orientaciones que el GT29 aporta a lo largo de todo su dictamen, se detalla a continuación una batería de preguntas que el responsable del tratamiento puede plantearse para sopesar los intereses en juego y que convendrá que, junto con el resto de cuestiones, deje plasmado en un informe u otro documento que justifique su decisión:

  1. ¿Coincide el interés legítimo del responsable o de un tercero con un derecho fundamental, un interés público o un interés de la comunidad en general aun cuando éste no se encuentre legalmente estipulado?
  2. ¿Concurren en el tratamiento algún elemento característico de otras bases jurídicas que, aunque no pudiendo legitimar por sí solo el tratamiento, sí aporte refuerzo al interés legítimo? (Por ejemplo, si se obtuvo el consentimiento del interesado, aunque no en el modo que exige el RGPD para que dicho consentimiento pueda actuar como base jurídica).
  3. ¿Existe reconocimiento jurídico, cultural o social de la legitimidad del interés? Es decir, si se puede contar con directrices, políticas, recomendaciones, guías, declaraciones, manifiestos, demandas sociales, etc., que impulsen la consecución del interés legítimo. En realidad, este podría ser un subtipo de la primera cuestión o una forma de demostrar que aquella se da positivamente.
  4. ¿El análisis de riesgo del tratamiento o una evaluación de impacto en protección de datos sobre el mismo, arroja un resultado de riesgo alto para los derechos y libertades fundamentales de los interesados?
  5. ¿El tratamiento afecta negativamente a algún otro derecho fundamental de los interesados?
  6. ¿Se tratan datos de categorías especiales?
  7. ¿Se revelan los datos al público o a un gran número de personas?
  8. ¿Se combinan dichos datos con otros obtenidos por otras vías o de otras fuentes?
  9. ¿Les cabe esperar a los interesados que sus datos puedan ser objeto del tratamiento en cuestión o para la finalidad del mismo?
  10. ¿La/s categoría/s de interesados cuyos datos son objeto del tratamiento en cuestión pertenecen a un segmento más vulnerable de la población (menores, personas con discapacidad, solicitantes de asilo o refugio, víctimas de violencia de género, víctimas de terrorismo, etc.)?
  11. ¿Se deriva del tratamiento algún beneficio para los interesados?
  12. ¿Cuál es el grado de invasión en la privacidad de los interesados (bajo, medio o alto)?
  13. ¿Cuál es la duración del tratamiento (una semana o menos, 1 mes, 3 meses, 6 meses, 1 año, más de 1 año…)?
  14. ¿Cuál es la frecuencia del tratamiento (puntual, esporádica, continua)?
  15. Al margen del nivel de invasión en la privacidad de los interesados y del riesgo que conlleve el tratamiento para éstos, ¿cabe esperar que el tratamiento en sí mismo les ocasione algún perjuicio o consecuencia negativa?
  16. ¿Existe relación directa entre el responsable los interesados?
  17. ¿Mantiene el responsable una posición dominante respecto a los interesados?
  18. ¿Existe algún tipo de contraprestación o compensación a favor de los interesados por el tratamiento de sus datos?

Por supuesto éstos no son más que interrogantes que se proponen aquí con una función meramente orientadora. No se agrupan o clasifican en virtud de a quién beneficie la respuesta, en primer lugar, porque se parte de la idea de que los intereses del responsable y de los interesados no tiene por qué ser contrapuestos, aunque en muchos casos así pueda suceder, pero no como regla. También porque, dada la diversidad de intereses legítimos y de tratamientos de datos que pueden plantearse, no parece resultar apropiado determinar apriorísticamente las respuestas que juegan a favor del interés legítimo y las que lo hacen a favor de los intereses o derechos y libertades de los interesados. Es más, en determinados supuestos es posible tanto que algunas de las cuestiones planteadas resulten irrelevantes como que sea necesario incorporar otras distintas.

 

D) EL EQUILIBRIO PROVISIONAL.

Una vez realizada la ponderación anterior, el responsable puede estar ya en condiciones de determinar si prevalece su interés legítimo sobre los intereses o derechos y libertades de los interesados o no. Si claramente es así, se pueden concluir que el tratamiento de datos está legitimado y podrá llevarse a cabo, obviamente con cumplimiento del resto de exigencias que la normativa vigente impone.

Sin embargo, en caso contrario o si aún se tienen dudas, así como si sencillamente, a pesar de que claramente prevalezca el interés legítimo, se quiere reforzar éste (lo que siempre será una buena práctica), el responsable puede acudir a una serie de garantías adicionales, cuyo cumplimiento o concurrencia pueden acabar  inclinando la balanza a favor de unos intereses u otros, dependiendo de una ulterior evaluación de todas las circunstancias en conjunto.

 

E) GARANTÍAS ADICIONALES.

El GT29 en su dictamen recopila algunas herramientas o procedimientos que pueden ser considerados como garantías adicionales a los efectos aquí comprendidos. Sin embargo, considero que aquellas que pueden traducirse en obligaciones o exigencias legales (ya contenidas en su día en la Directiva o ahora en el Reglamento), no deben computar como tal, puesto que son de obligado cumplimiento independientemente de cualquier otra cuestión y no parece muy apropiado que puedan, por tanto, servir para reforzar ninguna base jurídica del tratamiento de datos.

Hecha esta salvedad, y teniendo en cuenta que tampoco en este caso podemos hablar de listas cerradas, se enumeran a continuación, con carácter igualmente orientativo, algunas posibles garantías adicionales:

  1. Facilitar, directamente a los interesados o, en caso de que ello resulte imposible o altamente costoso, al público en general (por ejemplo, mediante publicación en la propia web, difusión en redes sociales propias, anuncios especializados, etc.), información transparente y más amplia que la exigida legalmente sobre el tratamiento de datos y el interés legítimo.
  2. Enviar periódicamente recordatorios con la información anterior.
  3. Facilitar a los interesados uno o varios mecanismos viables y accesibles para garantizar la posibilidad incondicional de que se excluyan voluntariamente del tratamiento.
  4. Informar a los interesados de otros mecanismos que existan, aunque no los aplique o provea directamente en responsable, a través de los cuales aquellos puedan impedir o limitar, de forma sencilla y gratuita, el tratamiento de sus datos (bloqueadores de cookies, listas Robinson, configuraciones de privacidad, etc.)
  5. Aplicar en el tratamiento técnicas de anonimización o medidas que garanticen que los datos no pueden utilizarse para adoptar medidas o emprender otras acciones en relación con los interesados.
  6. Facilitar a los interesados mecanismos de empoderamiento, para que puedan de forma directa acceder, modificar, eliminar, transferir o reutilizar sus propios datos.

 

F) EQUILIBRIO FINAL.

Llegados a este punto, habrá que determinar finalmente si el interés legítimo del responsable o de un tercero prevalece sobre los intereses o derechos y libertades de los interesados, en cuyo caso podrá llevarse a cabo el tratamiento, o si por el contrario prevalecen éstos últimos y, por lo tanto el tratamiento no puede realizarse o deberá examinarse si concurre en él alguna otra base jurídica que pueda legitimarlo.

Es conveniente partir de la base de que cualquier tratamiento basado en el interés legítimo conlleva un riesgo para el responsable: el de que posteriormente la autoridad de control y/o, en su caso, los tribunales, consideren que el interés legítimo no existe, que el tratamiento de datos en cuestión no es necesario para conseguir dicho interés legítimo, o que deben prevalecer los intereses o derechos y libertades de los interesados frente a aquél. Esto supondría que el tratamiento de datos que se ha estado realizando es ilícito, salvo que pudiera basarse en otro supuesto que lo legitime de los contenidos en el art. 6 RGPD, y podría conllevar la pertinente sanción de hasta 20 millones de euros o hasta el 4% de volumen de negocio total anual global del ejercicio financiero anterior del responsable.

Por ello y porque en toda ponderación no se puede eliminar cierto grado, aunque sea mínimo, de subjetividad, conviene dejar documentado el proceso de determinación de la prevalencia del interés legítimo, donde queden reflejados, entre o tras cosas, los pasos que aquí se han comentado de la forma más objetiva posible, buscando un examen real y concienzudo y no un traje a medida para el tratamiento de datos en cuestión.

Por último, y por muy obviedad que nos pueda parecer, resulta oportuno recordar que, con independencia de que se den los requisitos necesarios para basar un tratamiento en el interés legítimo, hay que cumplir el resto de obligaciones que nos exige la normativa sobre protección de datos. Lo digo por aquellos que, dando por válido su interés legítimo y la prevalencia de éste, pudiendo perfectamente, no informan a los interesados sobre el tratamiento sus datos basado en aquél.

 

Imagen destacada: Designed by bearfotos in http://www.freepik.com

[i] En dicho Anteproyecto parece que sólo se hace referencia al interés legítimo para indicar, en su art. 9, que la ley podrá considerar fundado un determinado tratamiento en la existencia de un interés legítimo del responsable del tratamiento o de un tercero, así como para, tal cual se apunta en el mencionado artículo, considerar que el tratamiento de los datos de contacto de las personas físicas que presten servicios en una persona jurídica, así como de los datos de empresarios individuales podrían basarse en el interés legítimo (art. 12).

[ii] En relación con esta cuestión, recomiendo la lectura del artículo de Miguel Recio Gayo, “Nuevo dictamen del GT29 sobre tratamiento de datos en el trabajo: el interés legítimo”, publicado en Diario La Ley, Nº 8, Sección Ciberderecho, 19 de Julio de 2017, Editorial Wolters Kluwer, y disponible en línea en http://diariolaley.laley.es/home/DT0000251744/20170719/Nuevo-dictamen-del-GT29-sobre-tratamiento-de-datos-en-el-trabajo-el-interes-legi

 

¿Qué saben de nosotros, quién y para qué?

– Nos vigilan. Y vigilamos. Y contribuimos a que vigilen a nuestros contactos.

– ¡Venga ya! ¿Quién va a tener interés en vigilarme a mí? Yo no soy “nadie”, ¿a quién le importa mi vida?

– Pues igual te sorprenderías. Quizá tú, tú solo, no eres importante para grandes empresas o para ningún gobierno ni ninguna agencia secreta de espionaje. Pero aun así siempre puede haber quien quiera “fisgar” en tus redes sociales, por cotillear, porque quieran contactar contigo para algo, incluirte en una lista de e-mailing, porque quieran saber si serás un “buen novio para mi hijita querida”, o si eres merecedor de crédito… Pero vale, te concedo que quizá el verbo vigilar no sea muy correcto. Y ni siquiera lo sustituiré por el de observar. Pero nos ven.

– ¡Toma! ¡Pues claro que nos ven! Y con lo que estamos engordando últimamente cada vez será más difícil que no nos vean.

– Muy gracioso Matías. Tómatelo a cachondeo, pero a mí me da yuyu. El otro día acompañé a mi prima Nines a unas charlas de ciberseguridad y hubo una abogada que nos habló de lo que es “surveillance assemblage”. El concepto en inglés tiene sentido, pero ¿cómo te lo traduciría? ¿Conjunto de vigilancia? ¿Montaje de vigilancia? ¿Ensamblaje de vig…?

– Sí, los Tranformers de la Vigilancia, ¡juas!

– ¡Matías!

– Ahí, surcando los cielos…

– ¡MATÍAS!

– Perdón, el ciberespacio.

– *$##%#***!!!!

– Vaaaaale, venga Esteban, va, cuéntame la cosa esa de la “servilleta ensamblá”. En serio, que ya me has picado la curiosidad.

– Mira, para que dejes el “cachondeito”, mejor te muestro el vídeo de la parte de que te hablo:

Créditos: Imagen destacada (puzzle) por Mike Seyfang.

“Aprovecho para saludar a mi mamá” – #DebateAbiertoCon María González

Si en tu empresa disponéis de un sistema de videovigilancia, seguro estaréis familiarizados con los carteles que han de colocarse avisando de la existencia de aquél a efectos de la normativa sobre protección de datos personales. Sí, hombre, sí, este cartel:

cartel_AEPD

¿A que sí?

Pero igual no sabéis que no tiene por qué ajustarse exactamente a ese modelo, y que puede, digamos, “customizarse” o “tunearse”. Le he pedido a mi colega y amiga María González, que sabe mucho de esto, que comparta su opinión al respecto.

Hola Ruth. Un placer compartir contigo este nuevo #DebateAbiertoCon que surge (confesemos :P) tras una comida y esas ganas de debatir que nos caracteriza… En la búsqueda de temas se nos cruza un tuit de nuestra compañera Jeimy Poveda (@JeimyPove), en el que se plantea la licitud, o adecuación a la normativa, de “tunear” (o personalizar) los carteles de videovigilancia. Una materia donde sin duda no sólo hablaremos de LOPD, sino también de marketing, comunicación y marca.

Jeimi

En este sentido, también nuestro compañero Javier Sempere (@fjavier_sempere) , en septiembre del pasado año, realizó un experimento en búsqueda de carteles de videovigilancia.

Pero vamos a ello, por poner en contexto, creo que deberíamos comenzar por analizar, al menos a grandes rasgos, qué es lo que establece expresamente la normativa, no crees?

Comencemos por explicar que la imagen es un dato de carácter personal y, por tanto, la captación de imágenes por medio de sistemas de videovigilancia queda sujeta a la normativa sobre protección de datos personales (Directiva 95/46/CE, LOPD y Reglamento de la LOPD). Además, la Agencia Española de Protección de Datos (AEPD) dictó la Instrucción 1/2006 sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.

Es esta Instrucción 1/2006 la que regula concretamente el cartel del que hablamos en este post, como uno de los medios, obligatorio, para informar a los afectados en supuestos de videovigilancia, y en cuanto a su contenido y diseño dispone que “se ajustará a lo previsto en el Anexo” de dicha Instrucción.

El punto 1 del Anexo establece que debe contener:

1.- Una referencia a la “LEY ORGÁNICA 15/1999, DE PROTECCIÓN DE DATOS”.

2.- La finalidad del tratamiento: “ZONA VIDEOVIGILADA”.

3.- Identificación de la empresa responsable a la que el afectado puede dirigirse para consultar sobre el tratamiento de sus datos.

Y el punto 2 del Anexo,  recoge como modelo de cartel informativo el que puede descargarse en la propia página web de la AEPD (primera imagen de este post).

Efectivamente, es por todos conocidos el cartel amarillo de videovigilancia de la AEPD, aunque hemos de señalar que en muchos casos, dicho cartel aparece completamente vacío de información, siendo este aspecto no válido, pues falta entre la información requerida los datos del responsable del tratamiento.

Muchos son los que se preguntan a qué grado de “customización” se puede someter a los carteles de videovigilancia, a través de: la modificación de los colores (para que, por ejemplo, pueda adaptarse a la imagen corporativa de la empresa), la incorporación de elementos tecnológicos como Códigos QR, aspectos relativos al tamaño y disposición de los carteles, y en todos los casos, se dé cumplimiento a los requisitos normativos.

Desde mi punto de vista un cartel de videovigilancia puede “customizarse” o “personalizarse” siempre que se cumplan los requisitos formales establecidos por la normativa, que no son otros que los indicados en el citado Anexo I ya referenciados por Ruth, y por supuesto que los mismos cumplan la finalidad principal por la cual son exigibles, es decir, informar al usuario de que puede estar siendo grabado.

Así pues, debemos distinguir varios aspectos:

  • Customización / Personalización de colores para adaptarlo a imagen corporativa.
  • Incorporación nuevos elementos (códigos QR, ….)
  • Formatos y accesibilidad (audio, vídeo…)
  • Tamaño

Exacto María. Para una tienda de marcos, puede resultar tentador enmarcar su cartel de videovigilancia, y quedaría simpático, pero ¡ojo!, porque si ello hace que el aviso “se camufle” entre todos los marcos exhibidos en la pared, no se estará cumpliendo con el art. 5 LOPD, que exige que la información sea facilitada de modo “expreso, preciso e inequívoco”. Sería lo mismo si una tienda de electrodomésticos, reprodujera el cartel mediante vídeo, en una pantalla de televisión colocada junto al resto de modelos en venta retransmitiendo distintos canales.

En cambio, este último sistema puede ser perfectamente válido para una librería, y en una tienda de productos de señalización, y según tenga éstos distribuidos en el establecimiento, el uso de un marco llamativo puede ayudar a que a nadie le pase desapercibido.

señalizacion

En relación con el formato, y siendo el auditivo totalmente compatible con el resto de formatos, piénsese si no tendría mucho más sentido que el aviso de videovigilancia, para una tienda de productos para ciegos, fuera un mensaje sonoro, o en braille en la puerta de entrada al local. Y aquí voy a dejar el punto porque el tema de los discapacitados y la protección de datos, y otros muchos derechos, da para mucho, baste decir que tenemos una asignatura pendiente y que gracias a la tecnología podemos, y debemos, ir avanzando en este terreno.

En cuanto al tamaño del cartel, éste debe ser suficiente para que pueda ser visto, leído y entendido. Dependerá mucho del lugar donde el cartel se sitúe, siendo en ocasiones muy conveniente colocar varios, en función del área que es videovigilada. Claro que, por poner otro ejemplo, para un gran almacén de productos de pintura, podría ser adecuado pintar el cartel de videovigilancia en toda una pared de 3×4 metros.

En efecto, Ruth, en materia de videovigilancia es esencial tener en cuenta diversos aspectos que nos permitan garantizar que todos los afectados pueden acceder a la información sobre la misma; dimensiones, disposición, formato, colores, e incluso, y como bien apuntabas, que la información esté disponible en otros soportes como puede ser el audio.

Hemos de tener en cuenta además, que aunque en la mayoría de los casos la videovigilancia es realizada con motivos de seguridad, cada vez son más frecuentes la utilización de esta clase de sistemas para otras finalidades adicionales (control laboral, estudios de mercado, ….), que deberán ser expresamente informadas en el correspondiente cartel de videovigilancia y en las cláusulas de privacidad que deben acompañar al mismo, o al menos deben estar a disposición de los afectados, y es que, como bien apunta este artículo “Sonría! Nos vigilan!”.

Para finalizar, además de dar las gracias al karma ;) (que nos ha empujado a que este post no quedara en el trastero digital) queremos “premiar” con un bonus a los lectores que hayan llegado hasta aquí, así que os dejamos a continuación unos cartelitos que nos hemos encontrado por este mundo “lopediano” y que por sí solos no cumplirían con lo que exige la normativa:

atencion las24h

zona2

Y ni quiénes somos, ni de dónde venimos ni a dónde puedes ir a ejercitar tus derechos ARCO (¿pa qué?)

IMG_8252

Y encima pixelado :P

zona

presupuesto

Dónde ejercer los derechos ARCO, no, pero eh, siempre puedes solicitar presupuesto a los que le instalaron las cámaras ;P

Gasol

Y para terminar, uno especial para aquellos con casi superpoderes o al menos con vista de lince, mucha letra, pequeñita y a una altura que quizá Pau Gasol (porque yo os aseguro que no  :P)

Autoras: María González (@meryglezm) y Ruth Benito (@ruthbenitoabog)

Consideraciones en torno al derecho al olvido (Parte II y fin… o no)

[Trabajo publicado en El Observatorio Iberoamericano de Protección de Datos]

olvido

¿Existe un “derecho al olvido” nuevo e independiente de cualquier otro?

Del mismo modo que se viene haciendo con el derecho de cancelación de los datos personales, podríamos hablar de un derecho al olvido desde el prisma del derecho al honor, la intimidad personal y familiar y la propia imagen, o en relación con la propiedad intelectual (concretamente el derecho del autor a retirar su obra del comercio por cambio de sus convicciones morales o intelectuales). En tal caso, eso que se ha dado en llamar derecho al olvido podría llegar a predicarse también de las personas jurídicas.

Uno de los primeros casos en donde podría verse reflejado un “derecho al olvido” puede ser el de Melvin v. Reid. Nos situamos en Estados Unidos en el año 1919 y nuestra protagonista es una prostituta acusada de asesinato. Es finalmente absuelta, rehace su vida, abandona la prostitución, contrae matrimonio, tiene hijos y en esta su “nueva vida” nadie, siquiera de sus círculos cercanos, conoce su pasado. En 1925 se emite la película “El quimono rojo” que relata con detalles su vida de prostituta y el juicio en el que se vio envuelta, identificándola con su verdadero nombre. Pues bien, la Corte de Apelación de California, en sentencia dictada el 28 de febrero de 1931, estimó la demanda interpuesta por esta mujer contra la productora de la película, basándose en el derecho a su privacidad pero, más allá de éste y en una explicación final, en el derecho a buscar y obtener la felicidad que la Constitución de California garantiza y en función del cual, entiende el Tribunal, toda persona que vive una vida de rectitud, con independencia de su pasado, tiene ese derecho a una protección frente a ataques innecesarios o agresiones injustificadas contra su libertad, su propiedad su posición social y su reputación.

En este sentido un “derecho al olvido” se asimilaría más a un derecho a la intimidad en relación con hechos pasados, aun cuando éstos pudieron haber adquirido cierta publicidad o ser noticiables en su momento, con el objetivo de proteger una buena reputación actual contra posibles ataques que ahora ya carecen de necesidad y/o justificación. Se pone, de este modo, en directa conexión el derecho a la intimidad con el derecho al honor, actuando aquél como escudo defensor de éste, y enfrentando ambos, como no puede ser de otro modo, con otros derechos o intereses colocados en el otro plato de la balanza, concretamente la libertad de expresión y el derecho de información.

¿Ante qué casos actuaría el derecho al olvido?: 

Un primer tipo de supuestos sería aquellos casos en los que, siendo, en el origen, cierta la información que se revela respecto a un individuo, éste debe soportar esa intromisión en su intimidad por estar legitimada en virtud del derecho de información  (ya sea éste ejercido a través de los medios de comunicación, ya de boletines oficiales o tablones edictales), pero en los que, debido al transcurso del tiempo, puede decirse que tal legitimación debe caducar a fin de que el individuo no tenga que soportar dicha carga durante el resto de su vida impidiéndole su propio pasado, en mayor o menor medida, vivir en paz un presente enmendado.

A este primer tipo habría que añadir una segunda clase de supuestos: Aquellos en los que, aun siendo incierto lo manifestado respecto a una persona y viendo ésta, así, mancillado su honor, el perjudicado prefiere no actuar contra dicho ataque porque en ese momento éste no ha transcendido lo suficiente como para no poder soportar sus efectos y, sin embargo, un tiempo después, pasados ya los plazos para ejercitar cualquier acción, es recuperada esa falsa información alcanzando, en esta ocasión, mucha mayor repercusión gracias al estado de la tecnología. Hablamos, por ejemplo, de imputaciones o juicios de valor que en su momento fueron publicados en formato papel con escasa difusión y que ahora son digitalizados, pasan a estar disponibles para cualquiera en Internet y comienzan a ser muy difundidos.

A la hora de tomar decisiones, las personas lo hacemos en función de las circunstancias que entonces nos rodean y sopesando las consecuencias que nos cabe esperar con lo que conocemos en ese momento. Hace 30 años a nadie se le podía exigir adivinar, o siquiera imaginar, que una falsa acusación vertida en la revista de un Instituto de un municipio de tres mil habitantes, podría ser recuperada, digitalizada y difundida a los cuatro vientos a través de las redes sociales en la actualidad.

Como vemos, y como queda patente en Melvin v. Reid, no es imprescindible que intervenga Internet para dar lugar a un derecho al olvido. No obstante, es cierto que este tipo de situaciones se han empezado a revelar muchísimo más desde la aparición de la Red y, sobre todo, desde la llegada de los fenómenos conocidos como web 2.0 y web 3.0.

Veamos, pues, si en estas situaciones el afectado puede protegerse del perjuicio que se le ocasiona con base en algún derecho ya existente, o por el contrario es necesario que nazca un verdadero y autónomo “derecho al olvido”.

En el primer tipo de supuestos, no podría operar ahora el derecho a la intimidad ni a la propia imagen, pues, partiendo de que los hechos o información íntimos del pasado de la persona fueron ciertos, en su momento fueron lícitamente sacados a la luz por ser noticiables o publicables en virtud del derecho a la información. Tampoco cabría la defensa por la vía del derecho al honor, puesto que, siendo cierta la información, no hay honor que salvaguardar.

Como decimos, se trata de casos en cuyo inicio u origen, en el conflicto entre, de una parte, el derecho a la intimidad y, de otra, el derecho a la información o la libertad de expresión o algún otro interés legítimo, prevaleció uno cualesquiera de estos últimos, rompiéndose la intimidad del individuo y no pudiendo decirse ya que la información que ha visto la luz sea merecedora de catalogarse como íntima a los efectos de gozar de la protección del derecho a la intimidad.

En el segundo tipo de supuestos, cuando la información contra la que actúa el afectado es falsa y atenta contra su reputación, el derecho que entra en juego es el derecho al honor. Pero, si vulnerado el honor de una persona, ésta no ejercita ninguna acción en su defensa y, como hemos mencionado anteriormente, deja pasar los plazos previstos para ello, se habrá aquietado y deberá asumir las consecuencias de sus propios actos. Tampoco aquí cabría accionar el derecho a la intimidad, puesto que, en primer lugar, es posible que no haya nada en lo dicho sobre esa persona que pudiera catalogarse como de su esfera privada, y, en todo caso puede haber transcurrido también el plazo para ejercitar esta acción (como sucede, por ejemplo, en la legislación española, ya que el plazo es el mismo para uno y otro derecho). Podría considerarse que, ante estas situaciones, debería reabrirse el plazo para ejercitar la acción, pero lo cierto es que las imputaciones o juicios de valores no son nuevos, ni tampoco estamos hablando de casos en los que el afectado no se había enterado, o no pudo enterarse, con anterioridad (en cuyo caso el plazo no habría empezado a correr, pues el afectado no pudo ejercitar la acción anteriormente).

Desde la óptica de la protección de los datos personales, una defensa en cualquiera de estas situaciones, puede resultar deficitaria y no resulta tan apropiada como la que se obtendría con este derecho al olvido que estamos apenas bocetando en este trabajo. Así se ha puesto de manifiesto, por ejemplo, con la propia sentencia del TJUE, ya que entiende que, si bien es posible ejercitarlo frente al gestor de un motor de búsqueda, en muchos casos no será posible hacerlo frente al editor donde se publicó en origen la información, o más correctamente, donde se llevó a cabo el tratamiento de los datos (ya que lo estamos contemplando aquí bajo el prisma de los datos personales). Ello es así por la interpretación que realiza el Tribunal del art. 9 de la Directiva 95/46/CE en relación con los fines periodísticos que legitiman dicho tratamiento. Como casi todas en Derecho, esta argumentación para diferenciar la efectividad de un derecho de cancelación frente a un buscador respecto a la que cabe obtener frente a un medio de información, es cuestionable. Ahora bien, en la medida en que dicho precepto remite, como límite al tratamiento, al derecho a la intimidad, y ya hemos visto que éste, en el inicio del caso en cuestión, puede decaer frente al derecho a la información, la actual normativa europea de protección de datos personales no da solución a los supuestos que venimos planteando cuando la publicación original se produjo en un medio de comunicación, más allá de poder ejercitar el derecho de cancelación frente a los motores de búsqueda en Internet conforme se explica en la antes dicha sentencia del TJUE.

En consecuencia, hay determinadas circunstancias en que, ni acudiendo al derecho a la intimidad, o al derecho al honor, o al de protección de datos personales, podemos dar una solución a quien ahora se ve perjudicado por hechos sucedidos en su vida pasada, que ya habían sido olvidados por la colectividad que en su momento supo de ellos, que ahora son traídos al presente, incluso puede que con mayor virulencia que en su origen, sin que exista una necesidad que así lo justifique, provocando que dicha persona no pueda disfrutar en paz de la vida digna que ahora lleva.

Llamémosle como queramos llamarle, y ya sea “viejo” o “nuevo” derecho, lo importante es que se garantice el desarrollo de la persona acorde a lo que cabe esperar dentro del modo en que ésta dirige su vida en la actualidad, evitando que cualquier pasado, más o menos oscuro, pueda frustrar dicho desarrollo cuando no existe ya necesidad ni justificación alguna para que tenga que continuar soportando tal carga. En el entorno digital, por tanto, el derecho al olvido adquiriría una gran relevancia como medio de protección de la identidad digital o del libre desarrollo de la persona en dicho entorno, pero, sin duda, también transcendiendo de éste.

Ruth Benito Martín

Foto: ClickFlashPhotos / Nicki Varkevisser

Consideraciones en torno al derecho al olvido (Parte I)

[Trabajo publicado en El Observatorio Iberoamericano de Protección de Datos]

olvido

“Yo no hablo de venganzas ni perdones, el olvido es la única venganza y el único perdón”

Jorge Luis Borges.

Resulta indudable que hay una serie de derechos que en el entorno digital quedan más expuestos a posibles vulneraciones, y por lo tanto su desarrollo y aplicación pasan a adquirir, en dicho entorno, mayor relevancia.  Hablamos, cuanto menos, del derecho a la intimidad personal y familiar, del derecho al honor, del derecho a la propia imagen (no olvidemos que de estos tres, aunque estrechamente interrelacionados, cada uno protege aspectos distintos de la persona y a cada uno se aplican criterios jurisprudenciales diferentes), de la libertad de expresión, el derecho de información, los de propiedad intelectual y por supuesto, también, el derecho a la protección de los datos personales. Todos ellos se encuentran íntimamente ligados a la identidad digital de la persona, en la medida en que inciden directamente en la construcción de aquellos de los rasgos que caracterizan a un individuo que quedan puestos de manifiesto en la denominada web 3.0.

La Internet que disfrutamos hoy en día ha sufrido gran cambio respecto a la que conocimos en los años noventa, que era mucho más estática y unidireccional, y en la que el usuario ejercía un papel casi del todo pasivo, sin que su conducta conllevara normalmente una reacción en la red. Actualmente, en cambio, el usuario interactúa constantemente en Internet, se ha convertido en parte activa en la construcción del tejido de esta red de redes y su comportamiento puede llegar a provocar grandes reacciones. Este escenario, regido bajo el principio de neutralidad de la red y teniendo en cuenta que el acceso a Internet llega cada vez a una mayor población (como es deseable) y además por medio de más dispositivos (no digamos ya cuando vivamos el gran apogeo del Internet de las cosas), arroja unas características propias de la denominada web 3.0 que resultan de gran impacto para todos estos derechos. Tales características son: la amplificación (repercusión, alcance, rapidez y facilidad en la transmisión de la información), la accesibilidad a la información, más fácil, cómoda y barata, y la permanencia o perdurabilidad de la misma.

Ninguno de los derechos mencionados es absoluto y todos ellos, en su aplicación, encuentran su límite en otros derechos e intereses legítimos. Y en la ponderación que se haga en el conflicto entre unos y otros, adquieren especial importancia estas características de la Internet de hoy en día.

En este panorama, y desde hace unos años, se habla mucho sobre el derecho al olvido. Sin embargo, dudo que sepamos muy bien lo que es, empezando por si realmente existe o no, en el sentido de que efectivamente estemos hablando de un derecho nuevo y no, como muchos parecen definirlo, de un modo u otro, de lo que hace ya años es el derecho de cancelación de la protección de datos personales.

Tampoco tenemos, por lo tanto, una única definición aceptada del derecho al olvido. Son varias las definiciones que se han dado, sin embargo la mayoría de las que conozco lo ponen en relación exclusivamente con el derecho a la protección de los datos de carácter personal, así, por ejemplo la Comisión Europea lo definió en un principio, en su comunicación “A comprehensive approach on personal data protection in the European Union”, como the right of individuals to have their data no longer processed and deleted when they are no longer needed for legitimate purposes, que viene a ser algo así como el derecho de las personas a que sus datos dejen de ser tratados ​​y sean eliminados cuando ya no sean necesarios para los fines legítimos para los que fueron recabados.

En mi opinión esta definición resulta verdaderamente pobre y triste, pues no creo que deba referirse (o no exclusivamente) a los datos personales. Además puede inducir a error, pues ¿acaso en Europa no gozamos ya de esa protección desde la Directiva 95/46/EC? ¿Y no hace años que vienen introduciéndose en las distintas legislaciones nacionales los concretos derechos de oposición y cancelación de nuestros datos personales?

También hay quien lo describe como el derecho a que los buscadores no localicen tus datos personales en la red. A la vista de la Sentencia del TJUE de 13 de mayo de 2014, dictada en el caso C-131/12 (Google contra la AEPD), y siguiendo bajo el prisma de la protección de datos personales, en todo caso, tendría que definirse como el derecho que tiene un individuo a que los gestores de motores de búsqueda en Internet cesen en el tratamiento que de sus datos personales realicen en el territorio de la Unión Europea al enlazar a y al mostrar determinado contenido relativo a su persona, debido a que, habida cuenta de las circunstancias del caso en particular, dicho tratamiento ha dejado de ser legítimo, con independencia de que el tratamiento en origen continúe siendo lícito, porque, en relación con la finalidad que justificaba el tratamiento y con el tiempo transcurrido, los datos ya no son adecuados y/o pertinentes, y ahora son excesivos.

Ahora bien, como digo, ¿qué diferencia esto del ya conocido derecho de cancelación? En la cuestión planteada al TJUE, bien analizada la sentencia, no nos encontramos, pues, ante ningún nuevo derecho, sino ante el ejercicio del derecho de cancelación aplicado a los motores de búsqueda en Internet y respecto al cual habrá que analizar su procedencia caso por caso. De hecho, en ningún momento el TJUE menciona en su sentencia un “derecho al olvido” si no es porque así lo refiere alguna de las partes implicadas.

Pero entonces, ¿existe un “derecho al olvido” nuevo e independiente de cualquier otro?

Ruth Benito Martín

Foto: Kiran Foster.

¿Son las OTA encargados del tratamiento respecto de los hoteles?

agencias_viajes_hoteles_lopd

[Publicado previamente en El Observatorio Iberoamericano de Protección de Datos]

El sector hotelero es uno de los que mejor adaptación ha encontrado ante el panorama introducido por las denominada web 2.0 y 3.0. Los usuarios planifican sus viajes gracias a las ofertas que localizan a través de Internet, buscan información en blogs especializados, hacen reservas desde el salón de su casa, incluso de último minuto, y comparten su experiencia en destino por medio de las redes sociales (hacen checkin en Foursquare, dan envidia por Instagram y Facebook, comentan por Twitter y se quejan en Tripadvisor).

Sin duda, dentro de este nuevo ecosistema de distribución hotelera, las agencias de reservas online, OTA (Online Travel Agencies), han adquirido máxima importancia para los hoteles, generándose a veces una relación de amor-odio en la que, para que la alianza finalmente funcione, ha de encontrarse el justo equilibrio en el reparto de cuota de mercado. Sin embargo, la relación jurídica existente entre ambos no siempre es fácil de definir (¿un contrato de agencia?, ¿un contrato de prestación de servicios atípico?…)

Muchos de los servicios que prestan estas plataformas online exceden de lo que es un contrato de agencia tradicional, e incluso, en algunos casos, se ofrecen con independencia de lo que pudiera opinar el hotel o cadena de hoteles. Y es que ¿quién es aquí el cliente?, ¿hacia quién se dirigen estas webs? Si atendemos a sus términos y condiciones, veremos como la mayoría pone su punto de mira en el internauta, encontrándonos, en lo que respecta a éstos, ante un contrato de adhesión a la hora de utilizar los servicios ofrecidos por estas agencias online. Sin embargo es indudable que plataformas como Booking, Atrápalo o Rumbo, entre otras, prestan sus servicios a los hoteles, como mínimo el de la gestión de reservas online (con independencia de que el hotel disponga de su propia herramienta para ello en su web), convirtiéndose así aquéllos en proveedores de estos últimos. ¿O es al revés? ¿O ambos son cliente y proveedor del otro al mismo tiempo?

Teniendo en cuenta que el usuario realiza y tramita sus reservas online directamente con las OTA, debiendo facilitarles sus datos personales, podemos preguntarnos si éstas actúan como encargados del tratamiento respecto de los hoteles. En principio eso pudiera parecer, no siendo impedimento el hecho de que los datos sean recabados de primera mano directamente a través de las webs de reservas, al igual que puede suceder, por ejemplo, con las empresas que realizan encuestas de opinión pública y estudios de mercado para terceros. Sin embargo entiendo que necesariamente se han de examinar dos elementos primordiales: de un lado la relación jurídica existente entre estas centrales de reserva online y cada hotel en concreto, y de otro la/s actividad/es que llevan a cabo estas plataformas en relación con los usuarios de las mismas y, por ende, con los datos personales que tratan.

En cuanto al primer punto, nos encontraremos que, si bien es preciso ir caso por caso, la gran mayoría de las OTA, con independencia de que las tengan o no publicadas en sus respectivas webs, proponen a los hoteles unas condiciones fijas ajustadas a su propio modelo de negocio y a sus procesos, y que suelen resultar ser de difícil modificación, sobre todo si el hotel en cuestión no es una gran cadena hotelera sino, por ejemplo, la Casa Rural de Villatortas de Abajo. Obviamente, por sí solo este argumento no es suficiente para descartar la existencia de un encargo del tratamiento, pero sí refleja el modo de funcionar y parte del modelo de negocio de la mayoría de las OTA. Por otra parte, las cláusulas contractuales pueden ayudar a aclarar la cuestión, pero no deben ser determinantes en sí mismas pues, como menciona el Grupo de Trabajo del Art. 29 en su Dictamen 1/2010 sobre los conceptos de «responsable del tratamiento» y «encargado del tratamiento», “hay un número creciente de agentes que no consideran que sean ellos quienes determinan las actividades de tratamiento y, por tanto, no se sienten responsables de éstas”. En consecuencia, habrá que estar a la real naturaleza jurídica de la relación contractual existente entre ambas figuras a la que venimos refiriéndonos.

En segundo lugar, basta mirar las condiciones de uso y políticas de privacidad de las webs de estas plataformas para constatar que sus actividades comerciales en relación directa con el usuario que les aporta sus datos personales para efectuar una reserva, van más allá de la mera gestión de dicha reserva y se extienden a otros usos con otras finalidades propias (véase, por ejemplo, los apartados “¿Por qué Booking.com recopila, utiliza y comparte tus datos personales?” y “¿Cómo comparte Booking.com tus datos con terceros?” de la política de privacidad de Booking).

En definitiva, como ya ha dejado expuesto la Agencia Española de Protección de Datos en varios informes (287/2006545/2009 y 333/2012) para averiguar si existe un encargo del tratamiento, lo importante no es atender a la causa de dicho tratamiento sino a la “esfera de dirección, control u ordenación que el responsable pueda ejercer sobre el tratamiento de los datos de carácter personal que obran en su poder en virtud de aquella causa y que estaría enteramente vedado al encargado del tratamiento”. Se trata de ver aquí en qué circunstancias se produce el acceso a los datos por parte de la OTA y si el tratamiento que de tales datos efectúa se ciñe a la exclusiva finalidad de prestar un servicio, en este caso, al hotel y bajo las instrucciones por éste dadas. O dicho de otro modo, determinar si la agencia de reservas online está asumiendo una responsabilidad propia o bien “sólo” actúa por cuenta del hotel, en los términos recogidos por el Grupo de Trabajo del Art. 29 en su mencionado Dictamen 1/2010.

En consecuencia, en mi opinión, si, en virtud de los dos elementos que hemos mencionado antes, se deduce que la plataforma de reservas online aplica los datos recabados a sus propias finalidades, más allá de la gestión encomendada por cuenta del hotel, y decidiendo sobre el objeto y finalidad del tratamiento, estaremos ante dos responsables distintos. En caso contrario el hotel sería el responsable del fichero y la OTA la encargada del tratamiento.

Imagen: Jan Hammerrshaug.

El TJUE tumba la Directiva de Conservación de Datos

En el día de hoy se ha conocido Sentencia del Tribunal de Justicia de la Unión Europea (que tenéis disponible aquí -en inglés- gracias a Roberto Yanguas), por la que se declara inválida la Directiva 2006/24/EC de Conservación de Datos, que en España fue transpuesta a nuestro ordenamiento jurídico por la Ley 25/2007 de Conservación de Datos.

Entre otras cosas, se le pedía al Tribunal que analizara si la indicada Directiva podía ser contraria a los derechos de libertad de expresión, de privacidad (respeto a la vida privada y familiar) y de protección de datos personales contemplados en la Carta de los Derechos Fundamentales de la Unión Europea (articulos 11, 7 y 8 respectivamente). Llega el Tribunal a la conclusión de que efectivamente podría afectar a tales derechos y suponer una injerencia respecto a los mismos, principalmente en relación con la privacidad y la protección de los datos de carácter personal, llegando incluso a decir que puede ocasionar en los afectados el sentimiento de que sus vidas privadas son objeto de una constante vigilancia.

Sentado lo anterior, analiza la sentencia, cuál es la finalidad u objetivo perseguido por la Directiva sobre Conservación de Datos, entendiendo que lo es la lucha contra delitos graves, en particular contra el terrorismo y el crimen organizado, lo cual debe ser considerado de interés general y procede, por tanto, realizar una ponderación entre dicho interés general y los derechos afectados. Para ello examina si la conservación de los datos tal cual viene contemplada en la Directiva es una medida proporcional o no, en definitiva si se prevé mediante unas determinadas disposiciones y acciones que no excedan los límites necesarios para conseguir la finalidad perseguida.

Y es aquí donde la Sentencia da un verdadero repaso a la Directiva, pues mantiene que no se da la necesaria proporcionalidad y que la finalidad perseguida por la Directiva no justifica por sí misma, sin más criterios, la intromisión en los indicados derechos fundamentales de privacidad y protección de datos personales. A lo que añade, en apoyo a tal estimación, entre otras cosas, que:

1.- La Directiva no exige que exista nexo relacional entre los datos que se han de conservar y una amenaza a la seguridad pública en función, bien del momento o zona geográfica en que se produzcan las comunicaciones, bien de las personas que las realicen.

2.- La Directiva adolece de unos criterios objetivos que pudieran insuflar proporcionalidad en la conservación de datos, sino que al contrario:

  • Habla de “delitos graves” dejando al criterio de cada estado miembro de la UE lo que ha de entenderse por tal (con las consecuencias que, por ejemplo, en España hemos sufrido por ello).
  • No establece los procedimientos y condiciones en que las autoridades nacionales competentes puedan tener acceso a los datos almacenados.
  • No determina si tal acceso debe estar condicionado a la existencia de una previa investigación o procedimiento judicial.
  • Tampoco hace distinción entre las distintas categorías de datos en relación con el período en que deban ser conservados (entre 6 y 24 meses).

3.- Supone, la Directiva, una gran injerencia a los derechos fundamentales antes dichos, si que se condicione a disposiciones que aseguren que tal injerencia estará limitada a lo estrictamente necesario.

4.- Además la Directiva no contempla medidas que garanticen la protección efectiva de los datos personales contra los riesgos de abuso (por parte de quien deba conservarlos) y de acceso ilegal (por parte de terceros), y tampoco asegura la destrucción de los datos al finalizar el plazo de conservación de los mismos.

Por todo ello termina declarando a la Directiva sobre Conservación de Datos inválida y ahora habrá que ver cómo afecta esto a nuestra Ley 25/2007 de Conservación de Datos y qué va a hacer Europa para asegurar una regulación efectiva que persiga el objetivo que se había marcado con dicha Directiva.

En mi opinión, es necesario regular la conservación de ciertos datos relativos a las comunicaciones electrónicas y el acceso a los mismos, no sólo para la investigación de delitos graves, sino de cualquier delito, pues la inmensa mayoría de delitos cometidos a través de la red son difícilmente perseguibles sin tal información. Pero efectivamente, y aunque sea sumamente complejo, tal conservación de datos debe llevarse a cabo con el mayor respeto a la intimidad de las personas. Afortunadamente, aunque es pronto para valorarla con mesura, es posible que la propia sentencia nos de unas pautas que vayan indicando un poco el camino para ello.