jueves, 23 de febrero de 2012

EL CONSENTIMIENTO EN PROTECCIÓN DE DATOS

El pasado 8 de febrero el Tribunal Supremo emitió una Sentencia por la que a través de la anulación de un artículo del Reglamento 1720/2007, de 21 de diciembre, que desarrollo la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, intenta aclarar la necesidad de obtener el consentimiento previo.

El Tribunal Supremo tuvo dudas a la hora de interpretar la necesidad de pedir el consentimiento de los titulares de los datos, y las excepciones que existen al mismo, dado que el artículo 7. f) de la Directiva 95/46/CE, relativa a la protección de las personas físicas, configura este principio de manera distinta a como lo hacía la Ley Orgánica de Protección de Datos, por ello elevó al Tribunal de Justicia de la Unión Europea una cuestión prejudicial sobre su interpretación. El asunto en el que se planteó la cuestión viene ya de lejos. En el año 2008 la Federación de Comercio Electrónico y Marketing Directo (actualmente Adigital) y la más conocida Asociación Nacional de Establecimientos Financieros (ASNEF) recurrieron ante el Tribunal Supremo el Reglamento 1720/2007. Los sectores del marketing online y de gestión de morosos consideraban que la legislación española era excesivamente restrictiva debido a que la Ley Orgánica de Protección de Datos exigía que para realizar tratamiento y/o la cesión de datos de carácter personal, sin el consentimiento del usuario, debía existir un interés legítimo, y que los datos que se utilizaban estuvieran en fuentes accesibles al público. Sobre las fuentes accesibles al público las mismas debemos decir que son ficheros que puedan ser consultados libremente sin más requisito que el pago de una contraprestación.

La conclusión a la que llega el Tribunal de Justicia de la Unión Europea y que es reproducida en la Sentencia del Tribunal Supremo, es que la normativa española se excede a la hora de regular, añadiendo una obligación adicional para manejar datos de carácter personal sin consentimiento de su titular, en concreto, la necesidad de que los mismos figuren en fuentes accesibles al público. Dado este resultado la mayoría de las entidades que han sido multadas por la Agencia Española de Protección de Datos en base al artículo derogado estudian la posibilidad de emprender reclamación para la recuperación del dinero pagado, mientras que la propia Agencia ha emitido una nota de prensa en la que anuncia la Sentencia y defiende que sus posicionamientos son válidos incluso con la nueva configuración del principio de consentimiento.

A pesar de la primera alarma que ha provocado esta Sentencia, no supone en realidad y a efectos prácticos, un cambio sustancial en el régimen existente actualmente, ya que no hay que olvidar que el deber de información regulado en el artículo 5 de la Ley Orgánica de Protección de Datos sigue existiendo, lo que implica la obligación de informar sobre la captación de los datos personales de forma previa a su tratamiento.

Dejando como excepción al consentimiento la existencia de un interés legítimo, ni el Tribunal de Justicia de la Unión Europea ni el Tribunal Supremo, dan carta libre para la comercializar con datos personales. De hecho, la necesidad de acreditar este interés es aún más difícil, ya que obliga a ir justificando caso por caso la existencia del mismo. Por último, es importante recordar que esta sentencia no afecta a las comunicaciones comerciales efectuadas por vía electrónica (la mayoría, hoy en día) porque la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y del Comercio Electrónico sigue prohibiendo el envío de comunicaciones que no hayan sido solicitadas o expresamente autorizadas por los destinatarios.

Publicado en Redacción Médica el Jueves, 23 de febrero de 2012. Número 1629. Año VIII.

No hay comentarios: