Los renglones torcidos de la LOPD: habilitaciones legales

por

 

Paradox Academy

Este post es el resultado decantado de muchos días de debate y discusión en el foro Secuoya: porque no estamos de acuerdo en todo. Ni siquiera en mucho. Por eso, aclaro que es un resumen de mis opiniones personales.

Además, este post inaugura nuestra “Paradox Academy”, un espacio de divulgación y formación personalizada y en profundidad que hemos lanzado para ayudar a empresas y profesionales, del sector legal, tecnológico y más allá, en el análisis, estudio y aplicación de la normativa sobre datos personales en escenarios, actividades y proyectos complejos por el tipo, escala, volumen o variedad del tratamiento. Eso sí, desde un punto de vista no habitual.

Quizá podrías estar interesado en que te desarrollemos estas u otras materias como consideramos que se deben aplicar.  En ese caso, puedes contactarnos aquí.

Somos paradójicos, somos guerreros.

paradox academy

Introducción

Desde que se publicó el Reglamento General de Protección de Datos nos ha tocado desaprender un montón de cosas pertenecientes a la LOPD de 1999, al “antiguo régimen”.

La normativa de protección de datos ha sufrido un “hard reset”.

Es importante llamarlo por su nombre para porque es importante entender que hemos asistido a un cambio de era.

Y esto ha sido doblemente cierto en España.

En este post hablaremos de cosas que se hacen mal en España en protección de datos, porque la LOPD de 1999 las exigía. Es decir, cosas que estaban bien en España, pero mal si las mirábamos desde el punto de vista de la Directiva del 95 que la LOPD del 99 adaptó.

Hablaremos en especial de las muchas habilitaciones legales que pueblan nuestro ordenamiento jurídico.

Son tantas y se han usado tanto que la doctrina y la jurisprudencia las vienen tratando como una base de legitimación del tratamiento más.

Tuvieron su momento, pero todo eso pasó. «Ahora es demasiado tarde, princesa.»

Hablaremos del consentimiento presunto, de las fuentes accesibles al público, de regalos de tómbola, de algo llamado cesiones de datos que no existe, y de destinatarios de datos. Ojo a esto último: «el final te sorprenderá».

Porque en la adaptación al Reglamento, en España hemos tenido que añadir a las novedades propiamente dichas, unas cuantas cosas que veníamos interpretando, digamos, “de forma alternativa” a como se regulaban en la Directiva del 95.

habilitaciones legales

The Good Fight

En la primera temporada de “The Good fight”, hay una pelirroja abogada junior de voz deliciosamente ronca. Algunos quizá le recuerden por su memorable “you know nothing Jon Snow” en otra vida anterior.

Nuestra chica acaba asimilando de una forma bastante traumática que siempre había sabido, pero nunca había llegado a reconocerse a sí misma, que papá era un trolero, que mamá se cepillaba al tío Jax, y que los tres jugaban con ella (y con los demás) con cartas marcadas.

No hace falta ser pelirroja o salir en una serie: todos hemos pasado por eso.

Todos hemos aprendido alguna vez por las malas que a ese juego sólo se jugaba así en nuestro pueblo, y que las reglas, las de verdad, en realidad eran otras.

Cuando te pasa eso, no importan tanto las buenas o malas razones de la diferencia, que siempre las hay, como comprender que te tienes que adaptar cuanto antes a las reglas de los demás.

Eso, o acostumbrarte a perder y lamentar.

En ese sentido digo que, especialmente en España, recién estamos empezando a descubrir en toda su magnitud, el impacto y ramificaciones del RGPD.

 

De dictadura a república: adiós a la primacía del consentimiento

Ya estáis todos hartos de leer cómo la aplicación del Reglamento General de Protección de Datos ha venido a clarificar forever and ever que todas las bases lícitas de tratamiento tienen el mismo rango, están al mismo nivel.

Nuestra querida LOPD de 1999 dibujaba un sistema en el que era obligatorio partir del consentimiento como principio general de legitimación del tratamiento de datos, y sólo cuando por H o por B el consentimiento era impracticable podía acudirse a otras bases de legitimación distintas.

O a otros artificios técnicos rabiosamente celtibéricos (en adelante, a efectos divulgativo-festivos, los “ornitorrincos”).

A continuación, vamos a identificar unos cuantos con especial atención sobre las “habilitaciones legales”.

 

habilitaciones legales

¡Fantasmas! ¡¡Fantasmas por todas partes!!

El punto álgido de “La maldición de Hill House” era descubrir cómo llevabas un montón de capítulos viendo fantasmas y otros elementos espectrales que no lo parecían: pasaban por personas y cosas ordinarias, pero sólo porque los veías todo el tiempo.

Te habías familiarizado con ellos.

Este es el problema: tenemos que desaprender un montón de cosas (ya llegamos) para poder aplicar la nueva normativa sin equivocarnos.

Es importante identificar a estos ornitorrincos jurídicos como lo que eran (y siguen siendo: ornitorrincos cotidianos, pero ornitorrincos al fin y al cabo).

Cosas habituales dentro de nuestras fronteras, pero muy muy raras cuando se veían desde fuera.

En este sentido, los jóvenes abogados que se lanzan al mercado en estos momentos, tienen al menos una ventaja neta sobre el resto de nosotros: en general no tienen ni puta idea de derecho de protección de datos personales. No tienen que desaprender lo que no han aprendido.

Y eso es bueno, porque algunas cosas importantes que sabemos los demás… estaban mal.

Porque en muchos aspectos, la LOPD de 1999 siempre estuvo mal.

 CASO:

En el ejemplo comentado, la igualdad de rango entre las distintas bases de legitimación de tratamiento no es una novedad del reglamento general de protección de datos, sino que ya estaba perfectamente establecida en la directiva europea de 1995.

Muchas de las cosas que se manifiestan ahora como equivocadas, lo han estado desde hace casi veinticinco años. Hemos estado haciendo contorsionismo legal todo ese tiempo.

Se dice porque es así, pero tranquilos: no pasa nada.

habilitaciones legales

Elegía y redención

El gran Agustín Puente, ex-pope de la Agencia Española de Protección de Datos firmó un imprescindible y clarificador texto en la obra “La adaptación al nuevo marco de protección de datos tras el Reglamento General de Protección de Datos y la LOPDgdd” (2019, Wolter Kluwers).

El texto tiene un aroma a redención o a algún otro concepto religioso terminado en “-ción”. Elijan ustedes.

Yo soy un calvo descreído.

Ese concepto debe evocar el peso que te quitas de encima cuando verbalizas o escribes sobre algo que lo impregna todo, algo con lo que convives, pero que nadie se atreve a comentar en voz alta.

Bueno, su excelencia Don Jesús Rubí (el otro pope oficial, sin el «ex-«, de la AEPD) también dijo alguna de estas cosas en voz alta en el Congreso Enatic, pocos días antes de la fecha de aplicación del RGPD.

Un resumen, subjetivo y muy parcial, sería este:

Las primeras sentencias del Constitucional esculpieron un derecho de protección de datos epicentrado en el consentimiento, en perjuicio del resto de bases legales de tratamiento.

Todo esto se trasladó de forma literal a la LOPD del 99 y trajo consigo entre otras cosas, habilitaciones legales a cascoporro.

Allí donde el consentimiento no llegaba disfrazándose como consentimiento tácito o incluso presunto, donde no podías solucionar la papeleta con alguna “fuente accesible al público”, allí mismo plantabas una habilitación legal tasando explícitamente lo que se podía o no hacer en el ámbito de la protección de datos y sacabao.

Luego volvemos a las habilitaciones legales.

Todo esto no fue lo más respetuoso con la Directiva del 95 que teóricamente se adaptaba.

No conseguimos un sistema flexible, sino muy rígido.

Pero sin duda, tuvimos un sistema decididamente garantista para el ciudadano.

Pero los tiempos, chico, ah, los tiempos cambian, como dice Agustín, cuando menos te lo esperas.

 

habilitaciones legales

The times they are changing

Primero, la sentencia del TJUE de 24 de noviembre de 2011 anulando la regulación penalizadora del interés legítimo en el RLOPD ya fue una tarjeta amarilla, un claro aviso de que las cosas tenían que cambiar, aunque apenas lo hicieron.

Y de aquí el atávico acojone español ante el interés legítimo.

Ríanse ustedes de lo del miedo escénico de la selección española de furbo pre-Aragonés.

 

CASO:

Y si no me creen, échenle un vistazo a la pacata y “continuista” Disposición Adicional 17ª de la LOPDgdd sobre tratamientos de datos de salud.

Sólo habla de consentimiento y colateralmente de interés público, aunque es un ámbito obvio para el interés legítimo.

La principal «novedad» ha sido la regulación de tratamientos secundarios compatibles con lo consentido. Pero no es tal novedad: todo eso ya estaba en el 5.1.b) del RGPD.

Afortunadamente, el EDPB, la Comisión Europea y la Agencia de Protección de Datos de Cataluña ya han llegado hasta donde el legislador no llegó.

 

Segundo: la aplicación del RGPD ya no dejaba más margen de maniobra:

Agustín Puente escribe esto en el artículo citado:

habilitaciones legales

Peeeero, nunca infravalores la ley de la inercia, muchacho, ni la inercia en la Ley.

Con la buena intención de no romper la cabeza a los juristas y de dar continuidad al garantista sistema creado, en el proyecto de LOPDgdd se intentó consagrar la habilitación legal como pulpo/mamífero (o como “séptima” base de legitimación a mayores de las del art 6 RGPD, de extranjis), e introducir un catálogo de ponderaciones de interés legítimo premaquetadas en la propia ley.

Pero el Consejo de Estado echó por tierra el planteamiento en su dictamen sobre el proyecto.

El Consejo de Estado cerró esa puerta argumentando que la consagración en la ley de un determinado juicio de ponderación para un tratamiento basado en interés legítimo podría provocar la parálisis de las organizaciones a la hora de separarse del camino (estrecho o ancho) en la selva ponderadora, abierto a golpe de machete legislador.

 

CASO:

Un  ejemplo significativo  y reciente es la ponderación regulada en el art 15 de la Ley de Transparencia y Buen Gobierno. En este precepto que siempre se pone de ejemplo de «ponderación legal» ni siquiera se explicita el término «interés legítimo» de los interesados. Al menos introdujeron un “particularmente” en plan “sin perjuicio de otros”.

No digo que sea sólo por eso claro, pero… buena suerte si intenta convencer a un funcionario de que puede considerar otros criterios distintos de los mencionados….

“15.3. Cuando la información solicitada no contuviera datos especialmente protegidos, el órgano al que se dirija la solicitud concederá el acceso previa ponderación suficientemente razonada del interés público en la divulgación de la información y los derechos de los afectados cuyos datos aparezcan en la información solicitada, en particular su derecho fundamental a la protección de datos de carácter personal.

Para la realización de la citada ponderación, dicho órgano tomará particularmente en consideración los siguientes criterios:

  1. a) El menor perjuicio a los afectados, derivado del transcurso de los plazos establecidos en el artículo 57 de la Ley 16/1985, de 25 de junio, del Patrimonio Histórico Español.
  2. b) La justificación por los solicitantes de su petición en el ejercicio de un derecho o el hecho de que tengan la condición de investigadores y motiven el acceso en fines históricos, científicos o estadísticos.
  3. c) El menor perjuicio de los derechos de los afectados en caso de que los documentos únicamente contuviesen datos de carácter meramente identificativo de aquéllos.
  4. d) La mayor garantía de los derechos de los afectados en caso de que los datos contenidos en el documento puedan afectar a su intimidad o a su seguridad, o se refieran a menores de edad.

No será aplicable lo establecido en los apartados anteriores si el acceso se efectúa previa disociación de los datos de carácter personal de modo que se impida la identificación de las personas afectadas.”

 

habilitaciones legales

Cuando te enteras el último de que los Reyes son los padres

¡Ah! Piensa en esa desazón que se produce en el padre y en el hijo cuando se reconoce que no, que los reyes no existen y que, chaval, te hemos estado engañando miserablemente todo este tiempo.

Esa desazón suele resolverse con un regalo especial o algún extra navideño…

En esa línea, supongo, el Consejo de Estado decidió apretar, pero no ahogar del todo y apuntó un par de “soluciones” que explican algunas nuevas cosas rarillas que hemos visto últimamente:

Cosa rarilla “uno”: Presunciones iuris tantum vinculadas a tratamientos basados en interés legítimo.

Lo que no deja de ser… una habilitación legal.

Una habilitación legal que crea, parece, un problema adicional: libera a la organización –en definitiva, a su hispánico asesor- de hacer aquello que más le aterra: una ponderación de intereses.

Cerrando así un círculo que no se puede calificar precisamente de virtuoso.

CASO:

La cuestión es: ¿realmente necesitábamos presunciones legales como las del art 19 LOPDgdd?. Pero ya llegaremos a los datos mixtos.

 

“Cosa rarilla dos”: El interés público como base de legitimación salvadora para las administraciones públicas para la legitimación de esos tratamientos que no encajaban con el consentimiento ni a martillazos (no miro a nadie, videovigilancia, aunque hay más, muchos más).

Esto no necesariamente debería ser así.

Pero recordemos que la AEPD considera que el interés legítimo no aplica en los tratamientos realizados en la administración. Así se desprende de, entre otros, el Informe de la AEPD 181577/2018.

E insisto: la posición de la AEPD no sólo se refiere a tratamientos en los que se ejerce potestas pública: se refiere a todos en general

La Administración no puede tratar datos personales con base en interés legítimo en ningún c aso, de acuerdo con la AEPD.

Aunque el TJUE, la ICO británica y el GT29 hayan dicho lo contrario.

Uno espera que las inminentes guidelines que nos ha prometido el CEPD sobre interés legítimo pongan un poco de orden por aquí.

CASO:

Mi pregunta en este caso sería: ¿la videovigilancia para controlar a un trabajador de la administración ligado por relación laboral… también se basa en interés público? ¿Seriously? ¿No encaja mejor el interés legítimo ahí?

El otro problema es que el interés público viene siempre ligado a… ¿lo adivinan? ¡Premio! Una habilitación legal…

 

Pero vamos ya con los ornitorrincos, uno a uno…

 

habilitaciones legales

1.- HABILITACIONES LEGALES

Las ubicuas, ornitorrínquicas y garantistas habilitaciones legales aplicables a tratamientos de datos, pueblan nuestro ordenamiento jurídico.

Y estos ornitorrincos encuentran la misma razón de ser que los demás:

Como hemos dicho, algo había que hacer para legitimar ese montón de tratamientos que ciertamente no encajaban con el consentimiento del interesado, contrato u obligación legal: prácticamente las únicas bases que se utilizaban en la práctica.

Así que nuestro legislador, con la comprensible intención de dotar de base operativa de tratamiento al montón de tratamientos que encajaban bien con el consentimiento, se acostumbró a incluir preceptos legales que explícitamente autorizaban el tratamiento de datos personales en un montón de ejemplos de legislación sectorial.

 

CASO:

Recordemos que la videovigilancia se justificó durante años en el consentimiento tácito del incauto que penetrara en el ámbito videovigilado.

El problema viene cuando, a la hora de aplicar correctamente el reglamento general de protección de datos, nos toca informar concretamente, por imperativo de los artículos 13 y 14, la base legal de nuestros tratamientos.

Y es entonces cuando debemos cobrar conciencia de que la base legal de tratamiento de la videovigilancia con finalidad de seguridad, no es “el artículo 42 de la Ley de Vigilancia Privada”.

Y cuando la finalidad es la de control laboral, no es “el artículo 20.3 del estatuto de los trabajadores”.

Porque el artículo 20.3 ET no está recogido como base legal de tratamiento entre las seis magníficas reguladas en el artículo seis del RGPD.

La base legal de tratamiento tampoco será la de la obligación legal -6.1.c)-, porque el artículo 20.3 ET permite, pero no impone este tratamiento de datos por parte del empleador.

Será “interés legítimo”.

O últimamente “interés público” para la vigilancia de seguridad, aunque ya sabéis que no estoy de acuerdo…

CASO:

Cuando cualquier empresa remite comunicaciones comerciales sobre productos o servicios análogos aquellos que ya ha conseguido vender a determinado consumidor, no está haciendo nada malo, porque el artículo 21.2 de la ley reguladora de los servicios de la Sociedad de la información, le habilita a hacerlo.

Pero de nuevo, al suministrar la información obligatoria al interesado sobre el tratamiento de los datos, la base legal de este tratamiento no será “artículo 21.2 LSSI”.

Tampoco será obligación legal, por las razones apuntadas anteriormente.

Será “interés legítimo”.

 

habilitaciones legales

Nunca hubo un “quinto beatle”: eran cuatro.

Porque tengámoslo claro: sólo tenemos las seis bases de legitimación del art 6 RGPD.

6.1. “El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

  1. a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
  2. b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
  3. c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
  4. d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
  5. e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
  6. f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado (…)”

¿Alguien ve ahí “habilitaciones legales”? Porque no es lo mismo hacer algo porque la ley te obliga, que hacer algo que la ley te permite. Ahora vemos más ejemplos.

Lo importante aquí, creo, es que no puedo inventarme una séptima base por muy bien que me venga o me facilite las cosas.

En realidad, lo único que me “permite” tratar a las habilitaciones legales como una “séptima” base de legitimación, es perpetuar nuestro hispánico error.

La habilitación legal es una “conditio sine qua non” cuando se opera sobre interés público, y ayuda un huevo a hacer un juicio de ponderación exitoso cuando se opera sobre interés legítimo.

Pero no, repito no es una base de legitimación.

Búscate otro perro que te ladre, princesa.

 

habilitaciones legales

“Habilitación legal” vs “Obligación legal”: Requisitos para la aplicación de la “obligación legal” como base de legitimación

Os lo confieso aquí que no me oye nadie: que no tenía ni idea de que existían requisitos de aplicación para esto: me encontré con esta movida preparando el recurso contra el 58 bis LOREG.

Como siempre: no lo digo yo. Estoy subido a hombros de gigantes: los antecedentes buenos aquí hay que buscarlos en el “necessity toolkit” del Supervisor Europeo de Protección de Datos, pero sobre todo, de forma más manejable y resumida, en el enorme e inagotable informe 217 del GT29 (asumido hasta nueva orden por el CEPD) sobre el interés legítimo, pgs 23 y ss.

Mi resumen (subjetivo y adaptado al RGPD):

  • La base “obligación jurídica” debe interpretarse estrictamente, porque se parece bastante a la de interés público que también funciona (esta sí) sobre habilitaciones legales: competenciales y de asignación de funciones.
  • En la medida en que limita un derecho fundamental: el de la protección de datos, la obligación debe disponerse en norma con rango de ley (véase para España el art. 53 CE).
  • Una Ley que sea comunitaria o de un país miembro, no vale la de un tercer estado.
  • Imponga válidamente una obligación vinculante (de modo que el obligado no pueda decidir si cumplir o no, ni disponga de un grado indebido de discrecionalidad sobre cómo cumplir en concreto).
  • Cumpla los requisitos, en el ámbito de la protección de datos, de necesidad, proporcionalidad y limitación de la finalidad.

Cuando la legislación, la legislación secundaria o la autoridad reguladora sólo proporcionan directrices y condiciones políticas generales no suficientemente concretas, el CEPD prefiere que se realice una ponderación interna de acuerdo con el interés legítimo.

habilitaciones legales

El texto se refiere al artículo 7 de la Directiva (análogo al 6 del RGPD) y lo que viene a decir es: cuando el tratamiento no encaje del todo en “relación contractual” o en “obligación legal” la mejor idea puede ser asegurarlo mediante el procedimiento de la LIA, de la evaluación interna de intereses, identificando las fricciones con los derechos e intereses de los interesados y aplicando las correspondientes medidas de salvaguardia, o restringiendo el perímetro del tratamiento.

 

CASO:

Me parece especialmente significativo un tratamiento que ha generado un montón de problemas.

Me refiero a los supuestos en los que un conjunto de trabajadores externos presta sus servicios bajo régimen de subcontratación.

El caso me resulta interesante por dos razones:

Porque –tal y como hemos visto que advierte el GT29-  no encaja del todo en la base contractual ni bajo la obligación legal: sí se puede encauzar, sin graves problemas, a través del interés legítimo corporativo.

Porque la AEPD abrió la puerta a legitimar este tratamiento sobre la base de la obligación legal, y eso que la literalidad del precepto ni permite (como en las “habilitaciones legales”), ni obliga explícitamente a realizar el mismo.

Con independencia de otras muchas relaciones jurídicas que se entremezclan en esta situación (bienvenido el maravilloso mundo de la protección de datos en el entorno laboral) lo que interesa aquí es que, de acuerdo con el artículo 42.2 ET, si la empresa subcontratada no hubiera pagado sus correspondientes salarios a sus trabajadores, o no el estuvieran dados de alta en la seguridad social, o no hubiera cotizado la cantidad adecuada, ambas empresas están sujetas a una responsabilidad solidaria por dichos conceptos.

Es decir, los trabajadores subcontratados (y la Seguridad Social) pueden reclamar lo cobrado o cotizado de menos, tanto de su empresa (la que subcontrata sus servicios) como de la principal, la que les acoge en sus instalaciones.

Todos sabemos que la solicitud por parte de la empresa principal de las nóminas y “TCs” (o como narices se llamen ahora: nunca me acuerdo) para verificar que las cosas están correctas y cubrirse así las espaldas, es una de esas prácticas cotidianas que han dado lugar a un montón de quejas y consultas ante la agencia de protección de datos.

Pues bien, La responsabilidad solidaria impuesta no deja ser una obligación legal, y esta misma obligación debería permitir acceder a los datos necesarios para cerciorarse del cumplimiento por parte de la empresa subcontratada de sus propias obligaciones, y así asegurarse de la inexistencia de responsabilidad propia en dicha contratación.

Este tratamiento provocó, como sabemos:

  • Un montón de consultas y denuncias sobre la posibilidad de solicitar toda esta documentación, que además podía incluir datos de seguridad alta, y no sólo eso,
  • También provocaba muchísimos problemas para la propia fundamentación correcta: tradicionalmente se encauzó a través del consentimiento de los trabajadores subcontratados (mal, porque ese consentimiento nunca será libre como ya sabemos; mal, porque normalmente la empresa contratista se lo imponía contractualmente a la empresa subcontratista, exigir unas mínimas garantías de que se hubiera solicitado, obtenido y documentado el mismo).

Pero hay más. He visto cosas que no creeríais: rayos gamma brillar en las puertas de Tannhauser, y regular este flujo de datos mediante un “contrato de tratamiento de datos”.

Con un par.

Lo cierto es que este tratamiento puede articularse sin demasiada dificultad a través del interés legítimo.

O con menos esfuerzo –aunque, recordemos, sin cumplir del todo los requisitos que el GT29 predica en sus guidelines sobre interés legítimo-, sobre obligación legal atendiendo a ese régimen de responsabilidad solidaria, tal y como ha quedado explicado y validó la AEPD en pronunciamientos pre-RGPD.

habilitaciones legales

2.- CONSENTIMIENTO TÁCITO. O PRESUNTO

Ese rollo de que si no manifestabas tu voluntad en contrario se presumía que estabas consintiendo un determinado tratamiento en determinadas condiciones, nunca tuvo buena pinta … ¿eh?.

Nunca.

 

CASO:

Sigamos recordando leyes bastante recientes y recordemos el antiguo art. 28.2 de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

Decía esto:

28.2. «Los interesados no estarán obligados a aportar documentos que hayan sido elaborados por cualquier Administración, con independencia de que la presentación de los citados documentos tenga carácter preceptivo o facultativo en el procedimiento de que se trate, siempre que el interesado haya expresado su consentimiento a que sean consultados o recabados dichos documentos. Se presumirá que la consulta u obtención es autorizada por los interesados salvo que conste en el procedimiento su oposición expresa o la ley especial aplicable requiera consentimiento expreso.»

 

El artículo ha sido repintado con la LOPDgdd, pero hay un montón de ejemplos.

Como el consentimiento tácito ha quedado atrás por otro tipo de razones, no nos detendremos mucho en esta parada.

Pero claro, algo había que hacer para articular muchos tratamientos en los que, por ejemplo, el responsable no tenía relación directa con el interesado.

Sobre todo con una normativa que hacía prácticamente inaplicable la base del interés legítimo.

Porque, de acuerdo con la LOPD de 1999 y su Reglamento de desarrollo, para que resultara aplicable el interés legítimo, era necesario que los datos objeto de tratamiento hubieran sido extraídos de ¡¡KABOOM!! Fuentes accesibles al público…

habilitaciones legales

3.- FUENTES ACCESIBLES AL PÚBLICO

Fueron reguladas e incrustadas en la norma (recordemos: las guías telefónicas, los listados de colegiados, etc…), con la indisimulada finalidad de ponerle puertas al campo.

Siendo “el campo” el libre juego del interés legítimo como base de legitimación del tratamiento.

Y todo lo que conseguimos fue uno de los principales focos de incumplimiento de nuestros días y de siempre.

«Accesible al público» es todo lo que un listillo necesita para justificarse a sí mismo y a sus ejem ¿inversores? ¿socios? ¿Directores de tesis? que los datos están ahí paloquesea y que, si no fuera así, no se hablaría de esas fuentes en esos términos.

La sorpresa es mayúscula cuando aparece alguien a la contra que va muy «a tope con la ley«.

Esta batalla está luchándose y está de plena actualidad, en buena parte gracias a su desafortunada mención en el 58 bis LOREG (este precepto, amigos, tenía regalos para todos los gustos).

Una de nuestras principales tareas de evangelización es propagar la palabra de los principios generales del art. 5 RGPD: POR EL AMOR DE DIOS: con independencia del lugar de donde extraigas todos esos datos personales, tu tratamiento siempre siempre (¿os he dicho que siempre?) debe cumplir con los principios generales del artículo 5 RGPD.

“5. 1.   Los datos personales serán:

  1. tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»);
  2. recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines («limitación de la finalidad»);
  3. adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);
  4. exactos y, si fuera necesario, actualizados; («exactitud»);
  5. mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales («limitación del plazo de conservación»);
  6. tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).”

En cualquier otro caso, tu tratamiento será ilícito desde el minuto uno, sacaras los datos personales de una puñetera “fuente accesible al público” o de cualquier otro sitio.

 

CASO:

El titán que fue condenado en el año 2000 por la Audiencia provincial de Madrid por montar un partido político falso, a los solos efectos de arramplar con los datos del censo electoral de cuatro comunidades autónomas y diecisiete provincias, y vender los datos a empresas marqueteras.

Sí. True story.

habilitaciones legales

4.- EL COMODÍN DEL PÚBLICO

Estas son habilitaciones legales, pero incluidas dentro de la propia LOPD, no como las anteriores.

CASO: el de los “datos mixtos”.

Los datos de contacto de personas físicas que se utilizaban para contactar con personas jurídicas eran datos personales. Pero claro, esos datos se utilizaban por todas las empresas del país, cada minuto, y quizá no era cuestión de crear demasiados problemas a demasiada gente al mismo tiempo.

Así que se reguló un cosa muy curiosa: se delimitó el ámbito de aplicación del reglamento de modo que esos datos de contacto quedaran fuera.

Como en el resto de los casos, la intención era buena. Nadie dice que la norma no tuviera intenciones loables: la cuestión es que estas cosas suelen acabar mal, porque distorsionan el sistema.

El problema, claro, es que esos datos por muy mixtos que se quisieran, eran (y son, claro) datos personales como catedrales.

Otra cosa es que su uso legítimo y restringido a la relación con la organización no presente dificultades ni riesgos especialmente llamativos.

 

CASO:

En el mismo conjunto de disposiciones con buenas intenciones, pero somewhat cuestionables metería, por ejemplo, otros comodines del público adjudicados because why not:

  • Los dos regulados en la LOPD de 1999 para el tratamiento de datos de categoría especial como el de afiliación sindical cuando servía sólo para verificar el descuento de la cuota sindical en nómina, y a los datos de salud “incidentales”.
  • Y ya bajo el imperio del RGPD, lo de la admisión del uso de cookies y otras hierbas basándonos en un consentimiento tácito. Esto ya está requetecomentado.

 

habilitaciones legales

5.- CESIONES DE DATOS

Otro ornitorrinco hispánico.

Busquen “cesión” en el RGPD: no encontrarán ni un solo resultado.

No hay en el RGPD una regulación específica de la cesión o comunicación de datos.

En realidad, la cesión es un tratamiento más, con la particularidad de que existe un “destinatario” de los datos personales que es un nuevo (i) “responsable” o bien (ii) un “corresponsable”, porque (i) decide autónomamente o (ii) codecide con el responsable original sobre la finalidad y los medios del tratamiento de datos.

Quédense con el término “destinatario”, porque volveremos con él en un minuto.

El problema, claro, es que la LOPD del 99 lo erigía en concepto autónomo en el art. 3.i), dotándole de todo un régimen específico en el artículo 11.

Muy en concreto condicionaba la comunicación de datos, como principio general, al consentimiento del interesado.

Las dos primeras excepciones a ese principio general eran, ya lo saben:

(i) las habilitaciones legales.

(ii) datos recogidos de fuentes accesibles al público.

Y así se cuadraba nuestro sistema ornitorrinco, un sistema sin apoyo en la directiva, peeeero al fin y al cabo, coherente.

 

CASO:

Recuerdo como mercantilista mi alivio al ver el art 19 del Reglamento de la antigua LOPD: se “habilitaba normativamente” la posibilidad de ceder los datos personales incluidos en sociedades o unidades de negocios que se vendían, cedían, fusionaban, escindían, etc… sin necesidad de ir a buscar el consentimiento de los titulares.

¿Cómo? Fácil: diciendo que no era cesión, sino una “modificación del responsable del fichero”. Ojo a esto, porque volveremos a este tema en un momento.

Artículo 19. Supuestos especiales.

“En los supuestos en que se produzca una modificación del responsable del fichero como consecuencia de una operación de fusión, escisión, cesión global de activos y pasivos, aportación o transmisión de negocio o rama de actividad empresarial, o cualquier operación de reestructuración societaria de análoga naturaleza, contemplada por la normativa mercantil, no se producirá cesión de datos, sin perjuicio del cumplimiento por el responsable de lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre.”

Aquí hemos conseguido juntar: habilitación legal, comodín del público y “cesión” en uno. Lo que se dice un “winner combo”.

El 19 del RLOPD está ahora en el 21 de la nueva LOPDgdd, e introduce una de esas presunciones “iuris tantum” de existencia de interés legítimo:

“Artículo 21. Tratamientos relacionados con la realización de determinadas operaciones mercantiles.

  1. Salvo prueba en contrario, se presumirán lícitos los tratamientos de datos, incluida su comunicación con carácter previo, que pudieran derivarse del desarrollo de cualquier operación de modificación estructural de sociedades o la aportación o transmisión de negocio o de rama de actividad empresarial, siempre que los tratamientos fueran necesarios para el buen fin de la operación y garanticen, cuando proceda, la continuidad en la prestación de los servicios.
  2. En el caso de que la operación no llegara a concluirse, la entidad cesionaria deberá proceder con carácter inmediato a la supresión de los datos, sin que sea de aplicación la obligación de bloqueo prevista en esta ley orgánica.”

En este artículo hay dos cuestiones que llaman la atención:

  • Se recoge expresamente la realidad de las operaciones societarias, en las que justo los datos más sensibles cambian de manos en el minuto uno, para que el posible adquirente evalúe en profundidad, due diligence mediante, si es oro todo lo que reluce. Es decir, ese acceso a datos (que, claro, se hace a título de responsable, como acertadamente decía el antiguo art 19) no se produce como consecuencia de la operación, sino en la parte más significativa y sensible, mucho antes.
  • Y muy significativamente, introduce una excepción al régimen general del “ciclo de vida del dato” (tratamiento/bloqueo/borrado) para aquellos casos en los que la operación no interesa o se malogra por lo que sea: borrado inmediato de los datos “cedidos”.

Justo esta es la situación que aterra o debe aterrar a cualquier compañía que sea objeto de una due diligence de compra por un competidor natural: que el presunto comprador se zambulla en profundidad en tus fortalezas y flaquezas, secretos y confidencias, y luego te dé calabazas: así se ha convertido en un super-competidor.

Claro, salvo que adoptes las precauciones preventivas adecuadas.

 

habilitaciones legales

6.- LA «CESIÓN» A ENCARGADOS DE TRATAMIENTO QUE NO ES «CESIÓN»

Terminaremos con otra cosa muuuy española:

Un error bastante extendido (este no sólo en España, como veremos) es que si la “cesión de” datos personales se produce a un “encargado de tratamiento” –la gestoría que nos hace las nóminas- no es cesión y entonces no tienes ni que recabar el consentimiento del interesado. Por el amor de Dios: es que ni siquiera tienes que informarle: ahí no hay ná de ná.

Nop.

Si aún crees eso, es que no me he explicado bien en el apartado anterior.

Este error es una consecuencia directa de lo que hemos tratado de explicar en el apartado anterior: El error de hablar de “cesiones” como tratamientos de naturaleza distinta a la de los realizados por “encargados de tratamiento” asimismo que siempre tienen regímenes distintos.

Este interesante tema excede las aspiraciones de este ya kilométrico post, pero en lo que aquí pretendo aclarar: desde el punto de vista de la transparencia, da igual que el que acceda a tus datos sea lo haga en concepto de “cesionario” (como responsable) o como “acceso por cuenta del responsable” (como encargado de tratamiento): ambos accesos deben ser informados al interesado.

O que aún estamos asimilando todas las repercusiones del “hard reset” de la protección de datos española que citábamos al principio.

 

CASO:

Esto se ve claramente en el ejemplo de las transferencias internacionales de datos.

El responsable tiene la obligación de informar de que se produce una transferencia internacional de datos, en los dos casos:  tanto si el extranjero es una organización que los va a tratar como responsable (al “cesionario extranjero” de una “cesión” de datos) como si se trata de un encargado de tratamiento (al “encargado de tratamiento extranjero” que accede a los datos del responsable desde fuera del Espacio Único Europeo).

Por eso informamos de la transferencia y del Privacy Shield cuando una empresa cliente cuenta con los servicios de hosting y/o plataforma tecnológica de una empresa estadounidense.

Por esta razón, si los datos personales que tienes bajo tu responsabilidad van a viajar fuera del Espacio Económico Europeo, tendrás que:

  • Contar con una garantía adecuada de las del art 46, o ampararte en una de las ejem, más restrictivas excepciones del art 49.
  • Informar al interesado del hecho de la transferencia, y de tu garantía o excepción aplicable (art. 13 y 14 RGPD).

Me refiero a que hay que justificar e informar, tanto si tus datos van a otro responsable («cesión», en nuestra celtibérica nomenclatura) como a un encargado de tratamiento (“acceso por cuenta de tercero” y por tanto no cesión).

La cuestión es la aplicación del mismo régimen de transparencia, ya vayan los datos a un responsable o a un encargado, se produce siempre.

No sólo ocurre en las transferencias internacionales de datos (fuera del espacio económico europeo), sino también en los tratamientos transfronterizos (dentro de dicho espacio) y…. sí: en los intrafronterizos de todos los días.

Siempre.

Hay que informar al interesado de las “cesiones” a los «destinatarios» de tu tratamiento. y esto incluye no sólo a «cesionarios», sino también a «Encargados de tratamiento».

En el hispánico apartado “cesiones”, hay que informar al interesado no sólo sobre los terceros que accederán a sus datos, sino también sobre los encargados de tratamiento.

Deja de hablar de “cesión” o no.

Y acostúmbrate a hablar de “destinatarios”, porque si sigues con lo de “cesión si es a tercero” y “tratamiento si es a encargado” te vas a equivocar. Mejor dicho: te vas a seguir equivocando.

A estas alturas me pitan los dos oídos y mi madre es mucho más popular que ayer en el imaginario colectivo. Vale. Pero no estoy loco: esto no lo digo (sólo) yo: lo dice el Comité Europeo de Protección de Datos, o lo dijo en su día el Grupo de trabajo del art 29, como queráis. 

CASO:

Está en negro sobre blanco en las guidelines sobre transparencia del Grupo de Trabajo del 29. Estas guidelines tienen al final una tabla resumen para la que todo consultor debería tener tatuada en algún lugar de su curaçao.

Si uno se fija bien en el apartado correspondiente al de la información sobre destinatarios, se encuentra con lo siguiente. Nótese que está aclarado y recalcado, lo que me lleva a pensar que este problemilla no es exclusivamente español.

habilitaciones legales

Porque esto que ven ustedes aquí, no lo verán en la guía de la AEPD.

Conclusión

Tras un año de aplicación del RGPD solamente nos queda todo por hacer y todo por aprender.

Y unas cuantas cosas por desaprender: porque nuestra querida LOPD-99 escribía derecho con renglones torcidos.

Y no pasa nada, la vida sigue.

Seguro que hay más mamíferos ovíparos en el horizonte.

Les paso la palabra.

Fotografía de cabecera: «Lines» de Georgie Pauwels, utilizada bajo licencia (CC BY-ND 2.0)

 

Jorge García Herrero

Delegado de Protección de Datos. Y zoólogo.