Home / Publicaciones / La publicidad del dato personal no otorga, 'per se'...

La publicidad del dato personal no otorga, 'per se', legitimación para su tratamiento

Post jurídico | Febrero 2019

Bartolomé Martín 

Para llevar a cabo cualquier tratamiento de datos personales, sin excepción (incluido el de datos obtenidos de fuentes públicas), es preciso que se dé alguna de las condiciones recogidas en el art. 6 del RGPD. La naturaleza pública del dato personal no habilita, per se, para su tratamiento.

Los medios y sistemas tecnológicos a disposición del público en general, así como la cada vez mayor desinhibición de los usuarios de las redes sociales, ofrece acceso libre y generalizado a una inmensa cantidad de información personal de individuos con los que no se mantiene ningún tipo de trato personal, comercial o profesional. Recabar dicha información, tanto de forma manual como utilizando programas informáticos específicos (en concreto, “arañas de Internet” o “crawlers”), resulta verdaderamente sencillo en la actualidad.

No obstante, la normativa de protección de datos, no sólo el Reglamento General de Protección de Datos, de aplicación en la actualidad, sino también la antigua Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (la “LOPD”), establece barreras que limitan el tratamiento de datos personales, con independencia del origen de esos datos. Antes de analizar someramente estas barreras, cabe plantearse si su establecimiento por parte del legislador no supone ir más allá o incluso desafiar la voluntad de los ciudadanos que, libremente, hacen pública esa información. A este respecto, conviene reparar en el hecho de que la normativa de protección de datos (a pesar de su propia denominación) no protege los datos personales sin más, sino que regula su tratamiento cuando éste se produce en el marco de un fichero estructurado (artículo 2 y Considerando 15 del RGPD). Es decir, el legislador no está impidiendo que se pueda conocer esa información personal, sino que está imponiendo restricciones a su tratamiento, a fin de proteger los derechos fundamentales a la intimidad y a la privacidad de los ciudadanos y de garantizar su libertad.

Hasta la Sentencia del Tribunal Supremo (Sala Tercera) número 585/2012 de 8 de febrero de 2012, (Ponente: Juan Carlos Trillo Alonso), que anuló el artículo 10.2 b) del Real Decreto 1720/2007 de 21 de diciembre, por el que se aprueba el reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (el “RLOPD”), el tratamiento de datos personales sin contar con el consentimiento de los interesados requería (salvo que se diesen ciertas circunstancias excepcionales) que dichos datos figurasen en fuentes accesibles al público y la existencia de un interés legítimo que prevaleciera sobre los derechos y libertades de los interesados. Debe tenerse en cuenta que el concepto de fuente accesible al público era un concepto tasado, recogido en el art. 7 del RLOPD. Así, para legitimar el tratamiento de los datos no sólo resultaba insuficiente que su origen fuese una fuente pública, sino que las fuentes públicas de las que se podían obtener esos datos estaban limitadas de forma taxativa. Este marco normativo alumbró multitud de resoluciones sancionadoras de la Agencia Española de Protección de Datos. La más célebre quizás sea la del caso “saberlotodo.com”, cuyo administrador llegó a recabar datos personales de 34 millones de españoles, con el fin de “venderlos” a empresas de distinto perfil, principalmente agencias de recobro y de prospección comercial, y que fue objeto de la imposición de sanciones administrativas que, de forma agregada, superaron ampliamente el medio millón de euros.

Anulado el artículo 10.2 b) del RLOPD, el tratamiento de datos personales en este contexto siguió exigiendo un interés legítimo del responsable del tratamiento o cesionario de los datos que prevaleciese sobre el interés o los derechos y libertades fundamentales de los interesados, aunque las fuentes de las que se hubiere obtenido la información pasaron a ser irrelevantes. Este principio legitimador se ha perpetuado, con ligeras variaciones, en el RGPD (artículo 6.1 f)), que se refiere al potencial interés legítimo del responsable del tratamiento o de otros terceros para llevar a cabo un determinado tratamiento. Aunque es preciso analizar el tratamiento de forma individualizada y ponderar su proporcionalidad en función del beneficio que se pretenda obtener y la intromisión en la privacidad del interesado, con carácter general será posible llevar a cabo un tratamiento argumentando interés legítimo, si, por razón de que existe una relación pertinente y apropiada con el interesado (personal, comercial o profesional), éste tenga la expectativa razonable de que se produzca dicho tratamiento.

Puede llevar a engaño lo consignado en el artículo 9.2 e) del RGPD, en relación con el tratamiento de especiales categorías de datos personales, que ampara dicho tratamiento cuando el interesado ha hecho manifiestamente públicos los datos. Sin embargo, ésta es una habilitación especial que solamente opera si se cumple, de forma simultánea, alguna de las condiciones establecida en el artículo 6 de la citada norma, relativa a las bases legitimadoras del tratamiento.

En síntesis, no debemos confundir la “publicidad” de los datos personales con la “habilitación” para su tratamiento.

La presente publicación no constituye opinión profesional o asesoramiento jurídico de sus autores. Si desea recibir periódicamente las publicaciones de Referencias Jurídicas CMS, que analizan y comentan la actualidad legal y jurisprudencial de interés, puede suscribirse a través de este formulario.

Autores

Bartolomé Martín