El Supremo mutila la protección de datos personales

Las empresas que se ganan la vida enviando correos con el marketing online o con los ficheros de morosos han ganado la partida a la Administración. Dos sentencias del Tribunal Supremo anulan parte de la normativa española de protección de datos, una de las más garantistas de Europa, por ir más allá de lo que estipulaba la directiva europea. Sin embargo, los expertos sostienen que no habrá "barra libre" a partir de ahora con la información personal. Lo que sí se puede producir es un aumento de abusos y denuncias contra quienes manejan los datos de los españoles.

En 2008, tanto la entonces Federación de Comercio Electrónico y Marketing Directo, ahora llamada Adigital, como la Asociación Nacional de Establecimientos Financieros (ASNEF), presentaron sendos recursos ante el Tribunal Supremo contra el reglamento que desarrolla la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD). Esta norma de 1999 transponía una directiva europea redactada cuatro años antes para regular la protección de los datos personales de los europeos, a la vez que apostaba por la libre circulación de esos datos. Las dos asociaciones esperaron a la publicación del reglamento, ya que no podían impugnar la ley.

Ya no hará falta que los datos sean públicos para obviar el consentimiento

Esa cadena de normas establece que cualquier empresa u organismo que quiera tratar (lo que implica recabar, usar, añadir a ficheros, ceder...) datos personales debe contar con el consentimiento de su dueño, es decir, el ciudadano afectado. Entre las excepciones a este principio que impide, por ejemplo, que alguien reciba un correocomercial sin previa autorización o una llamada de una operadora con la que no mantiene relación contractual alguna, está la existencia de un interés legítimo por parte de quien trata los datos. Y siempre que no prevalezcan los derechos y libertades fundamentales del interesado. Sin embargo, según el recurso de Adigital y ASNEF, el reglamento español fue más allá al exigir además que los datos objeto de tratamiento o de cesión figuraran en fuentes accesibles al público. El BOE, los periódicos o los listines telefónicos son algunas de estas fuentes.

Ahora, el Tribunal Supremo, en dos sentencias separadas, ha dado la razón a Adigital y ASNEF, anulando el punto concreto del reglamento que exigía que los datos obtenidos sin consentimiento sólo podían proceder de una fuente accesible al público. En realidad, el Supremo, que ya en 2010 había anulado otros artículos del mismo reglamento, se limita a incorporar la sentencia que, en noviembre pasado, dictó el Tribunal de Justicia de la Unión Europea en la misma línea tras plantearle el tribunal español una cuestión de prejudicialidad.

"Desde el principio, la transposición de la directiva se hizo mal", dice el director de Adigital, José Luis Zimmerman. "Las directivas dan flexibilidad, pero con límites para no superar su alcance", añade. Para Zimmerman, estas sentencias dan estabilidad al sector. "El uso del dato personal es lo que mueve el mercado digital", explica. Sin esa información, no podrían funcionar ni Google, ni Facebook "ni la Administración", sostiene. En su opinión, el cambio da más seguridad a las empresas y "el usuario final no va a notar nada". La necesidad de consentimiento sigue existiendo y, para cuando no se pida, tendrá que haber un interés legítimo.

La empresa que trata los datos debe demostrar "interés legítimo"

Sin embargo, hay quienes piensan que esto es una mala noticia. La Asociación de Usuarios de la Comunicación se personó en el caso. "Cuanto más se obligue a las empresas a recabar el consentimiento informado y expreso de los ciudadanos, mejor", asegura su presidente, Alejandro Perales. Para él, la directiva europea "penaliza a las normativas más garantistas", como era la española. No tiene nada que objetar a la sentencia desde un punto de vista del procedimiento, pero sigue defendiendo que no baste con que las empresas aleguen que tienen un interés legítimo para que puedan usar los datos personales.

Para el consultor jurídico Gontzal Gallo, no va a haber "barra libre" en el tratamiento de los datos. "Si quieren mandarme publicidad al correo, aún tienen que pedirme mi consentimiento expreso", aclara. No sólo eso: la legislación española también recoge que ese consentimiento debe ser informado, es decir, antes de usar los datos, hay que informar al afectado. "La sentencia no se carga la protección de datos, pero es que, en su día, cuando se reguló en España, quisimos ser más papistas que el papa", sostiene.

Según la AEPD, ya no hay automatismo, sino que habrá que estudiar cada caso

Un aspecto sensible es el de los ficheros de morosos, ahora bautizados como de solvencia patrimonial. Los asociados de la ASNEF, desde bancos a aseguradoras, dependen mucho de los datos personales para decidir si conceden un préstamo. El punto ahora anulado por el Supremo limitaba mucho su libertad de acción para recopilar esa información. "A partir de ahora, determinados tratamientos de datos que requerían del consentimiento ya no lo necesitarán", explica el responsable del gabinete jurídico de ASNEF, Carlos Alonso. "El fraude financiero, por ejemplo, requería de ese consentimiento", añade. Estesería, según él, un caso claro de interés legítimo. Alonsorecuerda que así está funcionando en el resto del continente y "Europa es respetuosacon la protección de datos".

El problema viene cuando ese interés legítimo puede afectar a un derecho fundamental como es el de la privacidad o el de la intimidad. Hasta ahora, la cosa era sencilla: en los casos en que no había consentimiento, sólo se podían usar los datos obtenidos de fuentes accesibles al público. Ahora, los que consideren que tienen un interés legítimo podrán alegarlo para usar los datos que tienen de las personas. "Las empresas que quieran tratar datos personales sin consentimiento siempre se verán limitadas a demostrar que lo hacen con un interés legítimo y sin vulnerar los derechos de los particulares", explican desde SalirdeInternet. "El problema es que parece difícil que lo ponderen objetivamente las empresas. Al final, habrá reclamaciones y será la Justicia la que determine cada caso", temen.

El director de la Agencia Española de Protección de Datos (AEPD), José Luis Rodríguez, advierte de que "la mera invocación de un interés legítimo no es suficiente para el tratamiento de datos sin consentimiento". En el futuro, a medida de que se den casos conflictivos, la AEPD tendrá que ir interpretando caso por caso. "A partir de ahora no hay automatismo", explica. Insiste en que, a pesar de lo aparecido ayer en varias publicaciones en internet, "los ciudadanos no van a ver mermadas sus garantías de protección". Recuerda que sigue vigente la obligación de informar de los derechos que se tienen, como el de oposición al tratamiento de los datos, y que la legislación también acota las acciones de las empresas de marketing y las de gestión de morosos. "No hay una sacudida radical del régimen de tratamiento de datos y su clave de bóveda sigue siendo el consentimiento", mantiene.