La intoxicación de la prensa para vender titulares
Por todos es conocido que en los últimos tiempos el objetivo de la mayoría de los «medios de comunicación» no es informar con rigor y veracidad sino vender ejemplares o ganar audiencia; para ello se sirven de titulares pomposos y normalmente alejados de la realidad; pero cuando esa desinformación o toxicidad informativa hace creer al pueblo llano que han perdido ciertos derechos, debemos empezar a preocuparnos.
Este artículo tiene como centro de gravedad una reciente Sentencia del Tribunal Supremo en relación a la normativa sobre protección de datos, no obstante, estoy convencido que cualquier experto en otras materias podría contar cosas similares en la disciplina que domine.
No tenía intención de comentar nada sobre la Sentencia del Tribunal Supremo de 8 de febrero de 2012, pero este comentario dejado por un lector en mi blog me ha animado.
El comentario en cuestión dice esto:
He recibido un SPAM masivo (7 e-mails de publicidad iguales en 10 horas), y al quejarme al emisor me ha contestado:
————————————————————-
En relación a su email recibido sobre el tema que nos ocupa, les informamos que el Tribunal Supremo en Sentencia de fecha 8 de febrero de 2012, ha estimado que el uso de datos personales no requiere el consentimiento previo del afectado, cuando es para un “fin legítimo”, sin necesidad de que el origen de esos datos sea una fuente de acceso público.
————————————————————-
¿Significa que ya no podemos hacer nada contra el SPAM, o es otro de los falsos pretextos para dar apariencia de legalidad al envio de publicidad?.
La respuesta de ese «emisor de spam» ante la queja del «receptor de spam» viene motivada por el machacamiento de los medios de comunicación tradicionales realizado entre los días 13 y 15 de febrero de 2012 en el que pudimos asistir a titulares tales como:
Las empresas podrán comercializar datos personales sin pedir permiso
El Tribunal Supremo legaliza el uso de datos personales sin consentimiento (y con ánimo de lucro)
Las operadoras podrán ceder los datos personales de clientes sin consentimiento previo
España: empresas tratarán datos personales sin consentimiento
El Supremo permite utilizar datos de los usuarios sin consentimiento
El Supremo mutila la protección de datos personales
El Supremo permite usar datos de clientes sin permiso para fines legítimos
Si leemos esas noticias, vienen a «explicar» (en algunos casos sospecho que incluso a inventarse) las consecuencias de esa Sentencia del Tribunal Supremo; pero claro, entre que hay que ser rápidos y que hay que vender ejemplares (o retwitteos y similares), lo que se transmite al final queda tan lejos de la realidad que es contrario a la verdad… y es algo que se podría evitar simplemente consultando a fuentes especializadas en cada materia.
Llegados a este punto, ¿qué supone esa Sentencia? ¿De verdad que las empresas pueden tratar mis datos personales sin mi consentimiento? ¿Me pueden enviar ya spam y no puedo hacer nada?
A ver, la Sentencia hace una cosa muy simple: anula un epígrafe de un apartado de un artículo de un reglamento que desarrolla la Ley Orgánica de Protección de Datos… vaya, dicho así no parece que afecte mucho a la Ley Orgánica de Protección de Datos (LOPD), y así es, porque es que la LOPD se queda intacta.
¿Qué dice ese epígrafe de ese apartado de ese artículo de ese reglamento? pues dice que, será posible el tratamiento o la cesión de los datos de carácter personal sin necesidad del consentimiento del interesado cuando «Los datos objeto de tratamiento o de cesión figuren en fuentes accesibles al público y el responsable del fichero, o el tercero a quien se comuniquen los datos, tenga un interés legítimo para su tratamiento o conocimiento, siempre que no se vulneren los derechos y libertades fundamentales del interesado.[…]»
En realidad el problema de todo ese apartado son las palabras «figuren en fuentes accesibles al público», me explico:
El Reglamento que cito es el Reglamento de desarrollo de la LOPD que en su artículo 10 indica que se pueden tratar o ceder los datos personales sin consentimiento cuando, entre otros motivos que ahora no vienen al caso:
- a) Medie un interés legítimo por parte del que los trata o cede amparado en alguna norma con rango de Ley, siempre que no prevalezca el interés o los derechos y libertades fundamentales de los interesados previstos en el artículo 1 de la LOPD.
- b) Los datos figuren en fuentes accesibles al público y el que los va a tratar o quien los va a recibir tenga un interés legítimo, siempre que no se vulneren los derechos y libertades fundamentales del interesado.
Pues bien, lo que se anula es ese segundo apartado, el b), porque, dicho brevemente, ese requisito de que los datos figuren en fuentes accesibles al público es una limitación que excede de las previsiones de la Directiva sobre Protección de Datos. Por tanto queda vigente el a) (que ya estaba vigente desde el principio por otra parte).
Es decir, lo que se anula es un supuesto que permitía tratar y ceder nuestros datos personales sin nuestro consentimiento… insisto, se anula un supuesto que permitía tratar y ceder nuestros datos sin nuestro consentimiento; o sea, que lo que se anula es una excepción que permitía tratar nuestros datos sin nuestro consentimiento, por tanto, ahora ya no van a poder coger nuestros datos de una fuente accesible al público y tratarlos o cederlos si tienen un interés legítimo.
Por consiguiente solo queda vigente la primera excepción que comentaba: medie un interés legítimo por parte del que trata o cede datos personales amparado en alguna norma con rango de Ley, siempre que no prevalezca el interés o los derechos y libertades fundamentales de los interesados previstos en el artículo 1 de la LOPD.
Evidentemente, el primer efecto de esto es que de 2 excepciones que tenían las empresas para tratar nuestros datos sin consentimiento ahora tienen solo una; una que, por otro lado, lleva vigente desde el año 2008 que es el año en que entró en vigor este Reglamento, por tanto no es que AHORA las empresas puedan comerciar con nuestros datos sin nuestro consentimiento… si así fuera (que no lo es), lo sería desde el año 2008 y no ahora.
– Pero entonces a ver que nos aclaremos, ¿las empresas pueden o no pueden tratar mis datos sin mi consentimiento?
La respuesta es que con carácter general NO PUEDEN; el principio general es que deben pedirte tu consentimiento; pero no es necesario este consentimiento (entre otros casos) si el tratamiento o cesión se realiza para satisfacer un interés legítimo de la empresa que los trata amparado en una Ley y siempre que no prevalezca el interés o los derechos y libertades fundamentales del afectado. Y repito, esta excepción lleva en vigor desde el año 2008, no es nueva de ahora.
– ¿Y qué es eso del interés legítimo? Pues puede ser todo o nada; el interés legítimo debe apreciarse en cada caso concreto y no hay una definición general.
Pero es importante destacar que la empresa que se aventure a tratar datos personales sin consentimiento esgrimiendo un «interés legítimo» corre el riesgo de que o bien nuestra Agencia Española de Protección de Datos o un Tribunal determine que en ese caso concreto eso que la empresa entendía como «interés legítimo» no lo era, y por tanto se han tratado datos personales sin consentimiento lo que supone incurrir en una infracción grave cuya sanción va desde los 40001 a los 300000 euros.
Por tanto, y ya respondiendo al amigo lector Luis Martín (siento haberte hecho esperar hasta aquí), en relación a tu pregunta «¿Significa que ya no podemos hacer nada contra el SPAM, o es otro de los falsos pretextos para dar apariencia de legalidad al envio de publicidad?» la respuesta es que para el envío de comunicaciones comerciales por vía electrónica se requiere el consentimiento expreso del receptor, pero no porque lo diga la LOPD, sino porque lo está expresando la Ley de Servicios de la Sociedad de la Información (LSSI) al afirmar en su artículo 21.1 que «Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas«.
Por tanto da igual lo que diga la LOPD, su Reglamento de Desarrollo o esa Sentencia del Tribunal Supremo, es de aplicación ese artículo 21.1. de la LSSI, siendo irrelevante si la empresa que te lo envía tiene interés legítimo (que además no lo tiene).
Por último comentar que los verdaderos especialistas en la materia sí que se pronunciaron con rigor sobre este tema, pero su voz fue inaudible entre los chillidos de los grandes medios, aquí van algunos que he podido recopilar:
Ricard Martínez en «El Derecho», imprescindible si quieres profundizar en este tema
Jorge Campanillas en Iurismatica
Asociación Profesional Española de Privacidad
Xavier Ribas sobre el interés legítimo
Gontzal Gallo
Comments
Ricardo
Un comentario…Uno de los enlaces que citas Samuel, parece decir lo contrario:
Jorge campanillas:
«El Tribunal Supremo, siguiendo lo que ya estableció el TJUE, establece que no es necesario que los datos se obtengan de una fuente accesible al público para tratarlos, es decir, permitirá que los datos puedan ser obtenidos sin consentimiento de otras fuentes, pero ojo, en todo caso se tendrá que informar al usuario de ese tratamiento de los datos y siempre y cuando no se vulneren derechos y libertades fundamentales del interesado. Es decir, habrá que ponderar realmente en cada paso si ese tratamiento se puede realizar sin consentimiento o es necesario éste.»
Un cordial saludo
Samuel Parra
Hola Ricardo, lo que está comentando ahí Jorge es precisamente la primera excepción del artículo 10.2 del RDLOPD.
Ricardo
Aclarado, muchas gracias Samuel y enhorabuena por el blog.
Samuel Parra
Gracias a ti Ricardo por comentar y leerme :), y no te quedes con dudas ¿eh? 😉
Ricardo
Hola de nuevo Samuel,
Por temas profesionales he tenido que indagar de nuevo en el tema. Al respecto, comentarte que, tras leer la sentencia, si bien estoy de acuerdo en tu interpretación, creo que es necesario tener presente:
– La aplicabilidad DIRECTA del articulo 7 f) de la Directiva, la cual sí (parece)permitir la cesión y tratamiento sin consentimiento mientras haya interés legitimo y no prevalezcan los derechos y libertades del interesado.
– La no anulación, pero por falta de competencia, del articulo 6.2 de la LOPD
En mi opinión, si bien la situación actual es la que tu apuntas, creo que también existe cierto vacío pues no me queda claro si actualmente debemos aplicar ya el tenor literal de la Directiva (en cuyo caso, sí me parece que se relajan los requisitos en materia de protección de datos…) o esperar un pronunciamiento oficial sobre el inciso del 6.2 de la LOPD…
Y todo ello a la espera del futuro Reglamento europeo, claro.
Muchas gracias y un saludo.
Ángel
No estoy de acuerdo, Samuel.
La excepción del 10.2a se encuentra limitada a que haya una ley o norma comunitaria que lo autorice.
Supongamos que una empresa tiene una base de datos con clientes y si son diestros o zurdos.
Entraría dentro del artículo 10.2a la cesión (sin permiso) de esos datos a correos si saliera una ley obligando a que a los zurdos les envíen las cartas con el sello al lado contrario.
Ahora supongamos que el cesionario es una empresa de papelería cuyo ‘interés legítimo’ es ofertar «libretas para zurdos» a dichas personas.
Según la antigua formulación, podría cedersele la lista de zurdos exclusivamente si aparecieran además en una fuente acesible al público (eg. un «censo de zurdos»).
Mientras que ahora, al quitar el requisito de fuente accesible al público, basta con el interés legítimo y sí podrían cedersela.
Esa es al menos la interpretación que yo hago de la sentencia, y lo que entiendo que dice Jorge Campanillas en el mismo sentido.
La sentencia no la encuentro muy explícita dando una conclusión sobre cómo debería quedar la ley (simplemente «estimamos la impugnación»), pero la petición era precisamente quitar la condición de «fuente accesible al público» del 10.2b, no eliminar el 10.2b
(lógico por otra parte cuando quien solicitó la impugnación es una federación de Marketing, aunque también podría haberles salido al revés).
Por lo tanto, antes había dos puertas (excepciones) por las que ceder los datos sin consentimiento y ahora (dentro de la indeterminación de que la LOPD aún no ha sido modificada), seguimos teniendo dos puertas, pero la segunda es mucho mayor que antes.
Lo malo del interés legítimo es que al no estar claro lo que es (o al menos unas cuantas sentencias dejando claro lo que NO es), las empresas intentarán hacer pasar por ahí cualquier cosa, y a los consumidores, sin la certeza siquiera de tener la ley de nuestro lado (y las pocas ganas de entrar en líos administrativos y/o judiciales), nos tocará seguir aguantando. 🙁
Un saludo
PD: Esta entrada no aparece en la portada, donde sigue diciendo que el último artículo es el que habla de MegaUpload.
Samuel Parra
Hola Ángel, lee el artículo 10.2.a. 🙂 No solo se requiere «interés legítimo», sino dos cosas más:
a) que ese interés legítimo esté amparado en una norma con rango de Ley y
b) que no prevalezca el interés o los derechos y libertades fundamentales de los interesados previstos en el artículo 1 de la Ley Orgánica 15/1999, de 13 de diciembre.
Por tanto tienen que concurrir esas 3 cosas, no solo «interés legítimo». Por tanto no es como afirmas: «al quitar el requisito de fuente accesible al público, basta con el interés legítimo y sí podrían cedersela.». No, no es así, quitas todo el artículo 10.2.b, y por tanto queda el 2.a. como siempre ha estado.
Otra cosa es que el Supremo hubiera simplemente eliminado eso de «fuente accesible al público» del 2.b, pero no ha sido así 🙂
Así pues antes había 2 excepciones, esta que te acabo de decir, y la anulada, que bajo mi punto de vista era mucho menos proteccionista que la primera.
En mi opinión la anulación de ese artículo lo que viene a hacer es reforzar un poquito el régimen de la protección de datos al eliminar una excepción para el tratamiento de datos sin consentimiento.
Y gracias por decirme lo de la portada, voy a limpiar la caché 🙂
Sergio Carrasco
Coincido con la interpretación de Samuel. A veces parece que cuando se anula un determinado precepto tenemos que olvidarnos de que hay multitud de normas que existen alrededor (como la LSSI en el caso de comunicaciones comerciales), además de la necesidad de que el interés esté amparado en una Ley y que menciona el mismo artículo (con la excepción que el mismo artículo menciona). Aquí no se ha anulado toda protección, sino únicamente un precepto concreto y solamente éste.
En fin, lo peor es que ya estas cosas ni me sorprenden…
Un saludo
Samuel Parra
Así es Sergio, pero la información que se ha transmitido al público es todo lo contrario…
Juanra Doral
Totalmente de acuerdo A veces, muchas, con tal de vender replican informaciones sin contrastar ni nada. El subdirector de la Ag. Protección de Datos me dijo que todo partió de una periodista de Expansión que la cagó, y todos fueron detrás como borregos sin leerse la sentencia.
Samuel Parra
Así es Juanra, de hecho esa periodista es la del primer enlace que he puesto (lo he puesto el primero por eso mismo).
Pero no creo que «la cagara», creo que simplemente le contaron una historia y por aquello de ser los primeros publicaron lo primero que le contaron sin contrastar nada.
Y luego por supuesto todos los demás, que tampoco se preocuparon de buscar a alguien que fuera capaz de explicar el asunto.
Ander
Buenas tardes.
Lo siento, pero, como siempre, el TS viene a crear más polémica en vez de generar seguridad. La sentencia es muy imprecisa y el debate continúa. Todo el mundo opina y el criterio sigue en el aire…
Que no se esconda la AEPD.