Hay muchos ciudadanos que tras recibir una llamada en la que alguien que sabe su nombre y apellidos, edad y hasta preferencias de consumo intenta venderles algo o que cambien de compañía de gas se preguntan dónde y cómo habrán conseguido sus datos. Por eso la noticia de que el Tribunal Supremo había anulado parte de la normativa de protección de datos personales activó muchas alarmas. La preocupación de los ciudadanos aumentó al leer que, a raíz de la sentencia, las empresas podían tratar y comercializar datos personales sin el consentimiento de los particulares y algunos quisieron ver en esto el fin de la privacidad.
La alarma, sin embargo, es infundada. Los expertos dicen que no se ha abierto la veda para que cualquiera acceda a nuestros datos, ni para que las empresas puedan comerciar con ellos libremente.
Iñaki Vicuña, director de la Agencia Vasca de Protección de Datos, explica que ahora "nuestros datos están tan protegidos como antes". El responsable de que el tratamiento de datos que se hace en la Comunidad Autónoma Vasca cumpla las reglas opina que "dejar que las empresas puedan comerciar con los datos personales sin pedir permiso sería difícilmente entendible", así que "los ciudadanos pueden estar tranquilos".
Las dudas sobre el uso que las empresas podrían dar a nuestros datos en el futuro más inmediato surgieron hace unos días tras conocerse una sentencia del Tribunal Supremo, de fecha 8 de febrero de 2012, que anula un artículo del reglamento de desarrollo de la Ley Orgánica de Protección de Datos.
El fallo declara nula una restricción añadida por el legislador español al sistema de protección de datos derivado de la directiva europea. Se trata, en concreto, de la exigencia de que los datos de los particulares deban tener su origen en fuentes accesibles al público para que puedan ser utilizados sin permiso argumentando un "interés legítimo".
Preguntado sobre los efectos prácticos que esta sentencia puede tener para los ciudadanos, el director de la Agencia Vasca de Protección de Datos (AVPD) explica que se trata de un asunto "eminentemente jurídico" y muy técnico que ha tenido "mucha trascendencia mediática" debido a unos titulares que simplificaban excesivamente. "Es un tema muy jurídico -añade Vicuña- que no cambia prácticamente nada de lo que se está haciendo ahora en materia de protección de datos". Lo mismo opinan en la Asociación Profesional Española de Privacidad (APEP), que tras el pronunciamiento del Tribunal Supremo se apresuró a subrayar que "considerar que las empresas podrán comercializar datos personales sin pedir permiso supone una interpretación simplista y nada rigurosa del tenor literal de la sentencia".
Competitividad El origen del tema está en dos recursos presentados por la Federación de Comercio Electrónico y Marketing Directo y por la Asociación Nacional de Establecimientos Financieros, que entendían que la legislación española sobre protección de datos es más restrictiva que la europea y que eso les restaba competitividad y dificultaba sus actividades. El Supremo planteó una cuestión prejudicial al Tribunal de Justicia de la Unión Europea, que ya en noviembre había advertido de que la Ley española había hecho una mala transposición de la Directiva europea de Protección de Datos, y estableció que no es necesario que los datos se obtengan de una fuente accesible al público para que puedan ser tratados.
En opinión de Iñaki Vicuña, tanto el TJUE como el Supremo dicen que la transposición no está bien hecha, pero "eso y la anulación del artículo 10.2.b del reglamento no excluye los principios generales y los derechos reconocidos en la Ley Orgánica de Protección de Datos".
Fuentes jurídicas recuerdan que el Tribunal Supremo ha mantenido en vigor el artículo 10 del reglamento de la LOPD, de forma que el tratamiento de datos personal todavía requiere el consentimiento del afectado.
consentimiento La Agencia Española de Protección de Datos ya explicó tras la resolución del TJUE que "la mera invocación de un interés legítimo no puede considerarse suficiente para legitimar el tratamiento de datos personales sin el consentimiento del afectado" y que en cada caso concreto debe realizarse "una ponderación entre el interés legítimo de quien va a tratar los datos y los derechos fundamentales de los ciudadanos".
En este sentido, el director de la AVPD, explica que para entender la situación tras la sentencia del Supremo hay que tener en cuenta dos temas fundamentales: "en primer lugar, el interés legítimo es un concepto jurídico indeterminado, su interpretación debe hacerse caso a caso y en función del contexto; en segundo lugar, no es cierto que el tratamiento de datos pueda hacerse ahora sin permiso, ya que la aplicación del interés legítimo está limitada por el derecho fundamental a la protección de datos". Es decir, que el Tribunal Supremo, siguiendo lo establecido por el TJUE, permite que los datos puedan ser obtenidos de fuentes que no sean públicas, pero se tendrá que informar al sujeto del tratamiento de sus datos y siempre y cuando no se vulneren derechos y libertades fundamentales del interesado.
Iñaki Vicuña insiste en tranquilizar a los ciudadanos y dice que no se producirá una comercialización de bases de datos personal sin control, "porque las empresas tienen que respetar la LOPD". "Los principios de protección de nuestros datos personales -explica- siguen igual que hasta ahora, porque lo contrario sería como decir que en los países europeos que han hecho bien la transposición de la Directiva no existe la protección de datos". Añade que cualquier persona que crea que se han vulnerado sus derechos y difundido sus datos indebidamente puede reclamar "igual que antes" y que "prevalece lo que diga la Agencia de Protección de Datos, que es la autoridad competente".
Fuente: Deia
Fecha: 04/03/2012
jueves, 8 de marzo de 2012
La armonizacion de la normativa de proteccion de datos a las normas comunitarias
La recientes Sentencias del Tribunal Supremo de fechas 8 de Febrero de 2012 han puesto de manifiesto la inadecuada transposición en España de la Directiva 95/46/CE relativa a la protección de datos personales y a la libre circulación de estos datos (en adelante Directiva) , en la medida que, mientras la Directiva parte de definir una serie de presupuestos para el tratamiento, la Ley Orgánica 15/1999 de Protección de Datos (en adelante LOPD) opta por legitimar el tratamiento o la cesión de datos sobre la base del consentimiento inequívoco del interesando y, a partir de esa figura, sentar una serie de excepciones. Por su parte, el RD 1720/2007 por el que se desarrolla la LOPD (en adelante RD 1720/2007) en su artículo 10, estableció una serie de bases para que se pudieran desarrollar alguna de las excepciones marcadas en la Ley Orgánica.
La Directiva 95/46 estableció en su artículo 7 dentro de los principios que legitiman la protección de datos que los Estados miembros dispondrán que el tratamiento de datos personales sólo pueda efectuarse si: a) el interesado ha dado su consentimiento de forma inequívoca, o b) es necesario para la ejecución de un contrato en el que el interesado sea parte o para la aplicación de medidas precontractuales adoptadas a petición del interesado, o c) es necesario para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento, o d) es necesario para proteger el interés vital del interesado, o e) es necesario para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido al responsable del tratamiento o a un tercero a quien se comuniquen los datos, o f) es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva.
Sin embargo la LOPD en su artículo 6 opta, como ya hemos indicado, por regular en su apartado 1 que “El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa” y en el apartado 2 establece las excepciones para la recogida del consentimiento: a) datos recogidos por las Administraciones públicas para sus funciones b) cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa c) cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado y d) cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado”.
De la simple lectura comparativa del Artículo 7 de la Directiva y del Artículo 6 de la LOPD se deduce la naturaleza del problema objeto de análisis: mientras que el Artículo 6.2 vincula la existencia de un interés legítimo, como excepción al consentimiento a dos requisitos: a) que no se vulneren derechos y libertades fundamentales del interesado y 2) que los datos figuren en una fuente accesible al público, el Artículo 7 f) de la Directiva 95/46 solo alude al primero de los supuestos. El problema además se agrava en la medida que la propia LOPD en su artículo 3 apartado j) define esas fuentes accesibles al público como numerus clausus, de forma que se regula un sistema que limita estas fuentes a: el censo promocional, los repertorios telefónicos, las listas de personas pertenecientes a grupos de profesionales, los diarios y boletines oficiales y los medios de comunicación.
El mismo error arrastra el Artículo 11.2 b) de la LOPD, al definir los supuestos de legitimidad para la cesión de datos, limitando nuevamente, el Artículo 7 de la Directiva 95/46.
El RD 1720/2007, que pudiera haber sido una excelente oportunidad para corregir este desajuste entre la normativa nacional y comunitaria, no sólo no lo hizo sino que además consolidó el problema. El Artículo 10 en su apartado 1 recalca la necesidad del consentimiento y en los apartados 2 a) y b) establece las excepciones al mismo.
El apartado 2 a) libera de la necesidad del consentimiento cuando lo autorice una norma con rango de ley o una norma de derecho comunitario y, en particular, cuando el tratamiento o la cesión tengan por objeto la satisfacción de un interés o cuando el tratamiento o la cesión de los datos sean necesarios para que el responsable del tratamiento cumpla un deber que le imponga una de dichas normas.
En línea con el Artículo 6.2 de la LOPD El apartado 2 b) vincula la existencia de un interés legítimo y la no vulneración de los derechos fundamentales a que los datos objeto de tratamiento o de cesión figuren en fuentes accesibles al público, añadiendo que las Administraciones públicas sólo podrán comunicar los datos recogidos de fuentes accesibles al público a responsables de ficheros de titularidad privada cuando se encuentren autorizadas para ello por una norma con rango de ley.
La publicación de éste RD 1720/2007 dio lugar a que dos asociaciones ASNEF y FECEMD impugnaran el mismo y sugirieran al Tribunal Supremo la existencia de este desajuste entre la legislación nacional y comunitaria. El Tribunal Supremo planteó al Tribunal de Justicia de la Unión Europea dos cuestiones prejudiciales. El 24 de noviembre de 2011 la Sala Tercera resolvió las citadas cuestiones, C-468/10 Y C-469/10 señalando que:
1) El artículo 7, letra f), de la Directiva debe interpretarse en el sentido de que se opone a una normativa nacional que, para permitir el tratamiento de datos personales necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, exige, en el caso de que no exista consentimiento del interesado, no sólo que se respeten los derechos y libertades fundamentales de éste, sino además que dichos datos figuren en fuentes accesibles al público, excluyendo así de forma categórica y generalizada todo tratamiento de datos que no figuren en tales fuentes.
2) El artículo 7, letra f), de la Directiva 95/46 tiene efecto directo.
Ante la respuesta dada a las cuestiones prejudiciales, el Tribunal Supremo ha resuelto los dos recursos planteados por ASNEF y FECEMD en sendas Sentencias de 8 de febrero del presente año y ha concluido: A) declarando que el artículo 10.2.a) no es nulo en la medida que es un supuesto habilitador no expresamente previsto en la norma comunitaria y que en todo caso sería superable mediante la aplicación directa del artículo 7 f) de la Directiva, B) declarando la nulidad del artículo 10.2 b) en la medida que excluye de forma categórica y generalizada todo tratamiento de datos que no figure en fuentes accesibles al público, declarando tal proceder contrario a la Directiva, c) declarando que al valorar y ponderar la existencia de un interés legítimo y la vulneración de un derecho fundamental es necesaria la ponderación de los derechos e intereses en conflicto, d) que esta ponderación debe realizarse caso por caso, e) que conforme a la STJUE el hecho de que el dato figure en una fuente accesible al público puede ser un criterio de ponderación que incline la balanza hacia el interés legítimo pero no puede ser un requisito habilitante.
Por último debe tenerse en cuenta que han quedado cuestionados no solo los Artículos objeto de impugnación del RD 1720/2007, sino que, además, los Artículo 6.2 y 11.2 de la LOPD en la medida que se aparten del Artículo 7 f) de la Directiva, no pueden ser aplicados y prevalece el Artículo 7 f) de la misma al que se le ha dado efecto directo. También el propio Tribunal Supremo ha cuestionado el sistema cerrado de fuentes accesibles al público en la medida que no puede haber diferencias entre los Estados miembros de la Unión Europea en su configuración.
Frente a la cuestión planteada sobre si estas Sentencias de nuestro Tribunal Supremo menoscaban los derechos de los consumidores debe concluirse negativamente en la medida que: a) el resto de Estados han aplicado correctamente la Directiva y los derechos de los consumidores han sido adecuadamente protegidos, y b) las Sentencias solo se refieren a un supuesto más de legitimación del tratamiento que deberá ser ponderado y no al resto de principios de protección de datos como son: calidad, información, seguridad de datos y deber de secreto.
Fuente: Diario Jurídico
Fecha: 05/03/2012
La Directiva 95/46 estableció en su artículo 7 dentro de los principios que legitiman la protección de datos que los Estados miembros dispondrán que el tratamiento de datos personales sólo pueda efectuarse si: a) el interesado ha dado su consentimiento de forma inequívoca, o b) es necesario para la ejecución de un contrato en el que el interesado sea parte o para la aplicación de medidas precontractuales adoptadas a petición del interesado, o c) es necesario para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento, o d) es necesario para proteger el interés vital del interesado, o e) es necesario para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido al responsable del tratamiento o a un tercero a quien se comuniquen los datos, o f) es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva.
Sin embargo la LOPD en su artículo 6 opta, como ya hemos indicado, por regular en su apartado 1 que “El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa” y en el apartado 2 establece las excepciones para la recogida del consentimiento: a) datos recogidos por las Administraciones públicas para sus funciones b) cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa c) cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado y d) cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado”.
De la simple lectura comparativa del Artículo 7 de la Directiva y del Artículo 6 de la LOPD se deduce la naturaleza del problema objeto de análisis: mientras que el Artículo 6.2 vincula la existencia de un interés legítimo, como excepción al consentimiento a dos requisitos: a) que no se vulneren derechos y libertades fundamentales del interesado y 2) que los datos figuren en una fuente accesible al público, el Artículo 7 f) de la Directiva 95/46 solo alude al primero de los supuestos. El problema además se agrava en la medida que la propia LOPD en su artículo 3 apartado j) define esas fuentes accesibles al público como numerus clausus, de forma que se regula un sistema que limita estas fuentes a: el censo promocional, los repertorios telefónicos, las listas de personas pertenecientes a grupos de profesionales, los diarios y boletines oficiales y los medios de comunicación.
El mismo error arrastra el Artículo 11.2 b) de la LOPD, al definir los supuestos de legitimidad para la cesión de datos, limitando nuevamente, el Artículo 7 de la Directiva 95/46.
El RD 1720/2007, que pudiera haber sido una excelente oportunidad para corregir este desajuste entre la normativa nacional y comunitaria, no sólo no lo hizo sino que además consolidó el problema. El Artículo 10 en su apartado 1 recalca la necesidad del consentimiento y en los apartados 2 a) y b) establece las excepciones al mismo.
El apartado 2 a) libera de la necesidad del consentimiento cuando lo autorice una norma con rango de ley o una norma de derecho comunitario y, en particular, cuando el tratamiento o la cesión tengan por objeto la satisfacción de un interés o cuando el tratamiento o la cesión de los datos sean necesarios para que el responsable del tratamiento cumpla un deber que le imponga una de dichas normas.
En línea con el Artículo 6.2 de la LOPD El apartado 2 b) vincula la existencia de un interés legítimo y la no vulneración de los derechos fundamentales a que los datos objeto de tratamiento o de cesión figuren en fuentes accesibles al público, añadiendo que las Administraciones públicas sólo podrán comunicar los datos recogidos de fuentes accesibles al público a responsables de ficheros de titularidad privada cuando se encuentren autorizadas para ello por una norma con rango de ley.
La publicación de éste RD 1720/2007 dio lugar a que dos asociaciones ASNEF y FECEMD impugnaran el mismo y sugirieran al Tribunal Supremo la existencia de este desajuste entre la legislación nacional y comunitaria. El Tribunal Supremo planteó al Tribunal de Justicia de la Unión Europea dos cuestiones prejudiciales. El 24 de noviembre de 2011 la Sala Tercera resolvió las citadas cuestiones, C-468/10 Y C-469/10 señalando que:
1) El artículo 7, letra f), de la Directiva debe interpretarse en el sentido de que se opone a una normativa nacional que, para permitir el tratamiento de datos personales necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, exige, en el caso de que no exista consentimiento del interesado, no sólo que se respeten los derechos y libertades fundamentales de éste, sino además que dichos datos figuren en fuentes accesibles al público, excluyendo así de forma categórica y generalizada todo tratamiento de datos que no figuren en tales fuentes.
2) El artículo 7, letra f), de la Directiva 95/46 tiene efecto directo.
Ante la respuesta dada a las cuestiones prejudiciales, el Tribunal Supremo ha resuelto los dos recursos planteados por ASNEF y FECEMD en sendas Sentencias de 8 de febrero del presente año y ha concluido: A) declarando que el artículo 10.2.a) no es nulo en la medida que es un supuesto habilitador no expresamente previsto en la norma comunitaria y que en todo caso sería superable mediante la aplicación directa del artículo 7 f) de la Directiva, B) declarando la nulidad del artículo 10.2 b) en la medida que excluye de forma categórica y generalizada todo tratamiento de datos que no figure en fuentes accesibles al público, declarando tal proceder contrario a la Directiva, c) declarando que al valorar y ponderar la existencia de un interés legítimo y la vulneración de un derecho fundamental es necesaria la ponderación de los derechos e intereses en conflicto, d) que esta ponderación debe realizarse caso por caso, e) que conforme a la STJUE el hecho de que el dato figure en una fuente accesible al público puede ser un criterio de ponderación que incline la balanza hacia el interés legítimo pero no puede ser un requisito habilitante.
Por último debe tenerse en cuenta que han quedado cuestionados no solo los Artículos objeto de impugnación del RD 1720/2007, sino que, además, los Artículo 6.2 y 11.2 de la LOPD en la medida que se aparten del Artículo 7 f) de la Directiva, no pueden ser aplicados y prevalece el Artículo 7 f) de la misma al que se le ha dado efecto directo. También el propio Tribunal Supremo ha cuestionado el sistema cerrado de fuentes accesibles al público en la medida que no puede haber diferencias entre los Estados miembros de la Unión Europea en su configuración.
Frente a la cuestión planteada sobre si estas Sentencias de nuestro Tribunal Supremo menoscaban los derechos de los consumidores debe concluirse negativamente en la medida que: a) el resto de Estados han aplicado correctamente la Directiva y los derechos de los consumidores han sido adecuadamente protegidos, y b) las Sentencias solo se refieren a un supuesto más de legitimación del tratamiento que deberá ser ponderado y no al resto de principios de protección de datos como son: calidad, información, seguridad de datos y deber de secreto.
Fuente: Diario Jurídico
Fecha: 05/03/2012
Suscribirse a:
Entradas (Atom)
Entradas
