Es una preconcepción muy extendida que si un dato personal está disponible en internet puede usarse para cualquier finalidad.
Mucha gente cree que el dato es “público” y que por tanto eso legitima para tratarlo como le apetezca. Nada más lejos de la realidad.
ElReglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD) es bastante claro al respecto de esta concreta cuestión.
Resumiendo mucho el
sentido jurídico de su articulado, lo que nos dice esta norma es que para
tratar un dato personal necesitamos dos elementos:
- Cumplir con los principios básicos del tratamiento.
- Una base jurídica legitimadora.
El primer elemento (de los dos indicados) implica el cumplimiento de determinados requisitos como que el tratamiento ha de ser lícito y transparente, que los datos deben ser exactos, que solo se tratará los datos para una finalidad determinada (y no otra), etcétera.
Mientras que el segundo elemento nos exige que tengamos una justificación
para tratar los datos, y esto puede ser porque el interesado nos haya prestado su
consentimiento expreso, o bien porque una ley nos obligue a su tratamiento, o, en su caso, porque el tratamiento sea necesario
para ejecutar un contrato que nos solicita el propio interesado, etc.
Pero la concurrencia de ambos elementos resulta necesaria para que la utilización del dato personal sea lícita, es decir, que es necesario cumplir con los principios básicos del tratamiento, como también contar con una base legitimadora para su empleo. Si falta uno de los pilares, el tratamiento es ilegal.
De modo que, el silogismo “si está en internet puedo usar el dato” es por completo falso y nos puede llevar a situaciones de completa ilegalidad en su uso.
Recientemente la Agencia Española de Protección de Datos (AEPD) lo ha recalcado -por las malas- en una resolución (que podéis consultar aquí).
En la misma se condena a la empresa EQUIFAX
al pago de una
multa de nada menos que un millón de euros
y a la prohibición del uso de
datos ilegítimamente gestionados. ¿Por qué? Entre otras cosas, por tratar datos
del BOE
sin justificación.
Esto puede chocar a quien lea estas líneas. ¿Acaso no son
los datos del BOE, y de otros boletines similares, públicos por naturaleza? ¿No significa que terceros los
puedan usar cuando quieran?
Pues sí a la primera pregunta, pero no a la segunda. Un poco de contexto nos ayudará a verlo.
EQUIFAX es una empresa de información comercial y crediticia, y una de sus actividades consiste en recopilar datos de posibles deudores morosos o insolventes, y ofrecerlos a sus clientes, así como a emitir informes de solvencia de todo tipo de personas físicas o jurídicas.
Como parte de esa actividad, EQUIFAX accedía al Fichero de Reclamaciones Judiciales y Organismos Públicos (también llamado FIJ). En este fichero constan las reclamaciones sobre procesos hipotecarios, desahucios, situaciones concursales, etc. Son informaciones sobre deudas con organismos públicos, subastas, y otros datos que aparecen publicados habitualmente en los diferentes boletines oficiales como el BOE, Boletin Oficial de la Provincial, o también, podríamos tener en cuenta la información mercantil sobre sociedades, sus socios y administradores que se publica en el Boletín Oficial del Registro Mercantil.
Con esta finalidad y objetivo, EQUIFAX accedía a esta información pública, la compilaba y luego se la ofrecía a sus clientes. No parece nada descabellado ¿verdad?. Sin embargo lo es. Porque recordemos lo que decíamos arriba: necesitamos cumplir con los dos pilares citados.
El primer problema es que, como señala la resolución de la AEPD, la indicada empresa, EQUIFAX, no tenía una base legitimadora para recopilar y tratar esos datos personales.
No entraré en los detalles
técnicos jurídicos porque son de “hilar muy fino”, y a quien(es) tenga(n) interés específico en ampliar sus conocimientos en esta concreta materia, le(s) recomiendo la lectura de las 184 páginas de la indicada resolución de la AEPD, a lo largo de las cuales que se
explica el razonamiento legal con todo lujo de detalles.
Lo que sí resaltaré es lo ya citado: sin base
legitimadora no se puede tratar un dato, y, desde luego, resulta irrelevante que ese dato esté en
internet
(o en el BOE).
Así, por ejemplo, supongamos que yo pongo/cuelgo una foto mía en mi blog personal que tengo publicado en internet. ¿Quiere eso decir que -"como está en internet”- un tercero puede coger mi foto y usarla para hacer publicidad de sus productos sin mi permiso?. Está claro que no ¿verdad?, pues lo mismo ocurre en el caso del BOE.
La AEPD nos recuerda en su resolución que los datos del BOE -además de ofrecer más garantías que los que trataba EQUIFAX- se publican para una finalidad concreta y con una base legitimadora concreta. Eso no autoriza a terceros a tratar dichos datos para otra finalidad (y mucho menos sin base legitimadora).
De hecho a EQUIFAX también le fallaba el otro pilar para poder tratar los datos, y, en este sentido, la propia AEPD resalta en su mencionada resolución que no cumplía con los principios básicos del tratamiento.
En esta importante resolución, que analiza casi cien reclamaciones contra
la empresa, se detalla graves irregularidades: a veces los datos eran
inexactos, a veces no se cumplía con el principio de minimización de datos,
tampoco se respetaba el procedimiento previsto en la LOPDGDD
para poder tratar
datos de solvencia patrimonial, a los interesados no se les ofrecía la
información legalmente obligatoria para tratar sus datos, etc.
En definitiva, no había ninguna justificación para el tratamiento. De ahí la sanción, y sin que fuera relevante lo de que “los datos eran públicos”, porque, en definitiva, “público” no quiere decir que es “utilizable para cualquier finalidad”.
Otra cuestión es ¿qué va a suceder ahora con el negocio que vienen manteniendo las empresas que se dedican a vender -sobre todo a través de sus plataformas de internet- la emisión de informes económicos y de solvencia de personas físicas y jurídicas, o, en su caso, informes sobre sociedades mercantiles, sus socios y administradores?. Es difícil saberlo, puede estar en juego la seguridad jurídica del tráfico mercantil, por ejemplo, si se limita el acceso de cualquier persona interesada a esa información pública compilada, porque esta cuestión va a limitar, y mucho, la actividad informativa que venían desarrollando las empresas que se dedican a proporcionar informes comerciales de solvencia, porque si se limita la actividad de este sector económico se podría estar dificultando la identificación de las empresas "zombi", así como de las personas físicas potencialmente insolventes, pero, sobre todo, la identificación de los estafadores profesionales -que a partir de ahora van a comenzar a campar a sus anchas en nuestra economía-. Lo cierto es que es esta resolución va a limitar, y mucho, el ámbito de actuación del negocio que, hasta ahora, era desarrollado por las empresas de información comercial, e incluso, podría llegar a suponer su inevitable desaparición, y, desde luego, si no media un cambio normativo que venga a regular/habilitar esta actividad, este tipo de empresas ya no van a poder seguir prestando sus servicios del modo en el que lo venían haciendo hasta ahora.
De modo que mucho cuidado al tratar datos que nos
encontremos por internet. No todo el monte digital es orégano.
Fdo. Fabián Plaza Miranda
Abogado especializado en Cumplimiento Normativo
(Delegado de Protección de Datos certificado)