La Generalitat de Catalunya ha publicado una web a través de la cual se pide la colaboración de los ciudadanos para identificar a personas sobre las cuales los Mossos tienen elementos para incriminarlos por su participación en actos delictivos o vandálicos. En la web figuran imágenes de sospechosos sobre los que se solicita información a los ciudadanos.

La polémica ha saltado porque distinguidos compañeros, como Carlos Sánchez Almeida y Josep Jover han expresado sus dudas sobre la adecuación a la normativa sobre protección de datos de esta página. Sin embargo, acudiendo al texto de la LOPD, debemos discrepar de estas opiniones.

El artículo 22.2 de la LOPD establece que se pueden tratar datos sin consentimiento de los afectados, por parte de  las Fuerzas y Cuerpos de Seguridad cuando estemos ante supuestos y categorías de datos que resulten necesarios para la “prevención de un peligro real para la seguridad pública o para la represión de infracciones penales“. Estos datos deberán “ser almacenados en ficheros específicos establecidos al efecto“. Es decir, queda claro que se permite tratar datos personales sin consentimiento de los afectados en un caso como este, puesto que estamos ante sospechosos de haber cometido infracciones penales (e incluso puede hablarse de peligro real para la seguridad pública en algunos casos). No se atenta contra el principio de finalidad, dado que los datos se tratan para las finalidades señaladas: no debemos confundir que el tratamiento inicial de esas imágenes se realizara con una finalidad determinada por quien las captara (parece que proceden de diversas fuentes), con el hecho de que luego los Mossos las utilicen para el cumplimiento de sus funciones relacionadas con la seguridad.

Es más, el artículo 24 excluye también la necesidad de informar a los afectados cuando ello pueda afectar “a la seguridad pública o a la persecución de infracciones penales”. Estamos nuevamente en este caso, con lo que no sólo no es necesario el consentimiento, sino que por supuesto no es necesario cumplir con el principio de información (lo cual sería imposible, por otro lado, puesto que no son personas identificadas).

Yendo más allá, podemos incluso entender que este tratamiento está excluido del ámbito de aplicación de la LOPD, tal y como apunta, aunque sin estar de acuerdo, el compañero David Maeztu. El artículo 2.2.c de la LOPD establece que “el régimen de protección de los datos de carácter personal que se establece en la presente Ley Orgánica no será de aplicación [...]  a los ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada”. Puede parecer excesivo calificar los hechos que supuestamente han cometido estas personas (aunque no lo sabemos) como de terrorismo, pero no parece ni mucho menos descabellado considerar que podemos estar ante “formas graves de delincuencia organizada“.

Por tanto, es perfectamente defendible no sólo que no vaya contra la LOPD la web de los Mossos, sino que ni siquiera está dentro de su ámbito de aplicación.

Otra cosa es la información que se le da al ciudadano a la hora de enviar sus aportaciones, pero esa es otra historia…

Protección de Datos

El artículo 6 de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD) exige la existencia, con carácter general, de consentimiento para el tratamiento de datos de carácter personal. Por su parte, el art. 7 de la misma norma exige que el consentimiento sea expreso para el tratamiento de datos especialmente protegidos. Dado que el artículo 7 especifica el consentimiento expreso para algunos casos, es fácilmente deducible que son válidos a estos efectos otros tipos de consentimiento.

Hecha esta pequeña introducción para los no iniciados, debemos preguntarnos qué otros tipos de consentimiento o qué otras formas de expresar la voluntad, pueden ser válidas. No es objeto de este artículo entrar en profundidades ni analizar los matices que pueden encontrarse en la doctrina, pero no obstante podemos distinguir:

• Consentimiento expreso: la voluntad del interesado se expresa a través de una declaración clara por su parte.

• Consentimiento tácito: la voluntad del interesado se deduce de su falta de actuación.

• Consentimiento presunto: la voluntad del interesado se deduce de su comportamiento.

Pese a que en documentos anteriores podemos encontrar la aceptación, por parte de la Agencia Española de Protección de Datos , de estas tres formas de expresar la voluntad, al menos desde el año 2000 no admite el consentimiento presunto, por considerar que no cumple con el requisito de “inequívoco” que exige la LOPD en su art. 6.

Así lo expresaba un informe de 2000, en el que, recogiendo “los criterios sentados en las diversas recomendaciones emitidas por el Comité de Ministros del Consejo de Europa”, se establecía que el consentimiento debe ser libre, específico, informado e inequívoco “lo que implica que no resulta admisible deducir el consentimiento de los meros actos realizados por el afectado (consentimiento presunto), siendo preciso que exista expresamente una acción u omisión que implique la existencia del consentimiento”. Esta interpretación de lo que ha de ser un consentimiento inequívoco ha sido repetida por la AEPD en multitud de resoluciones, y está presente en su página web para explicar las obligaciones de la LOPD en lo referido al consentimiento.

Conociendo esto, me ha sorprendido enormemente leer una resolución por la que se archivan las actuaciones iniciadas contra la Federación de Comunicación y Transportes de Comisiones Obreras, por una denuncia debida a la grabación de las intervenciones realizadas en un congreso de esta organización sin obtener el consentimiento de los afectados. La Agencia considera que “es conforme a derecho la idea de que existiría un consentimiento implícito al respecto del tratamiento de datos referidos a la celebración practicada [...] en base a la participación de éstos [los afiliados intervinientes] en el propio  congreso. Esto es así dado que en materia de protección de datos se articulan tipos de consentimiento más allá del calificado como expreso, como son los consentimientos tácitos y presuntos, desprendiéndose éste último del primigenio comportamiento de los denunciantes, que participaron en el acto sin oposición, debiendo conocer, por tanto, que el acto referido podría ser objeto de grabación”.

Como vemos, la Agencia claramente acepta la existencia de un cosentimiento presunto por parte de los intervenientes en el congreso, dado que conocían la realización de las grabaciones. Puede que haya más resoluciones en las que se acepta el consentimiento presunto, pero no hemos encontrado ninguna.

Hay en la doctrina división de opiniones sobre este asunto y he de decir que estoy de acuerdo con esta interpretación de la Agencia, pero es evidente que estamos ante una resolución que va en contra de la doctrina de la propia AEPD, repetida una y otra vez en multitud de documentos. Es más, en materia de videovigilancia, en la que a mi juicio se da un claro caso de consentimiento presunto (una vez se informa de que una zona está videovigilada, se puede deducir que aquél que entra está consintiendo la grabación de su imagen) la Agencia acude a la Ley 23/1992, de 30 de julio, de Seguridad Privada, para eximir de consentimiento por habilitación legal.

Lo más curioso de todo es que la propia AEPD “tira” del consentimiento presunto en los actos que organiza y graba, informando a los asistentes, pero sin obtener su consentimiento expresamente (y sin que se pueda amparar en la seguridad, puesto que la finalidad de la grabación es dar difusión al acto y no la videovigilancia por razones de seguridad).

En fin, que estamos ante un claro caso de inconsistencia en las resoluciones de la Agencia, que deberían garantizar más seguridad jurídica y un criterio más uniforme.

Protección de Datos

El Tribunal de Justicia de la Unión Europa (TJUE) ha dictado una sentencia por la que se resuelven dos cuestiones prejudiciales elevadas por el Tribunal Supremo. Estas cuestiones se derivan de los recursos presentados por la Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF) y la Federación de Comercio Electrónico y Marketing Directo (FECEMD) contra determinado contenido del artículo 10 del Real Decreto 1720/2007, por el que se desarrolla la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD). Este artículo, entre otras cosas, permite el tratamiento de datos sin consentimiento del interesado cuando los “datos objeto de tratamiento o de cesión figuren en fuentes accesibles al público y el responsable del fichero, o el tercero a quien se comuniquen los datos, tenga un interés legítimo para su tratamiento o conocimiento, siempre que no se vulneren los derechos y libertades fundamentales del interesado“. 

Este precepto trata de recoger lo dispuesto en el artículo 7 de la Directiva 95/46, que establece que podrán tratarse datos sin consentimiento si  “es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva”.

¿Cuál es el problema? Pues que la normativa española exige, además del requisito del interés legítimo del responsable del tratamiento, y de que no prevalezca el interés o los derechos del afectado, que los datos figuren en fuentes accesibles al público. Esta es la primera pregunta que realiza el Supremo al TJUE, y la respuesta es clara: la Directiva se opone a que se exija este requisito adicional. A la vista de esto, al Supremo no le queda otro remedio que llevar a su fallo esta sentencia del TJUE, con lo que el artículo 10 del Real Decreto 1720/2007 no podrá seguir exigiendo que los datos figuren en fuentes accesibles al público.

La Agencia Española de Protección de Datos (AEPD) ha reaccionado a esta sentencia y en una nota de prensa ha dicho, básicamente, que la sentencia (resumida aquí por Gontzal Gallo) no altera el marco vigente de la Protección de Datos en España, puesto que ya venía interpretando el hecho de que los datos figuren en fuentes accesibles al público como un mero criterio de ponderación entre el interés legítimo del responsable del tratamiento y los derechos del interesado que se ven afectados por el tratamiento de datos sin consentimiento. Sin embargo, no es difícil encontrar procedimientos sancionadores, incluso recientes, en los que no se realiza ninguna ponderación en este sentido, rechazando la posibilidad del tratamiento de datos sin consentimiento si no figuran los datos en fuentes accesibles al público. Es más, la propia Agencia dice que, dado que se trata de una excepción, “debe aplicarse de forma restrictiva”. Por tanto, quizá sea más correcto decir que este será el criterio interpretativo a partir de ahora, con lo que, en mi opinión, sí que hay alteración del estado de las cosas.

Además tenemos que tener muy en cuenta la resolución de la segunda cuestión prejudicial planteada, en relación con el efecto directo del art. 7.f de la Directiva. El TJUE responde, como era de esperar, que sí que tiene efecto directo, con lo cual lo dispuesto en esta norma puede ser invocado por un particular y aplicado por los órganos jurisdiccionales nacionales. Esto tiene una importancia adicional, puesto que debemos recordar que el artículo 6.2 de la LOPD también incorpora el requisito de que los datos figuren en fuentes accesibles al público, requisito que, por lo que acabamos de ver en esta sentencia, es contrario a lo dispuesto en la Directiva.

Protección de Datos