Inseguridad jurídica absoluta en el ámbito de la protección de datos de carácter personal
Esta semana hemos conocido la Sentencia de la Sala de lo Contencioso-administrativo de Audiencia Nacional de 22 de diciembre de 2017, dictada en el recurso 246/2016, en la que se falla confirmando una sanción impuesta por la Agencia de Protección de Datos a la mercantil El Corte Inglés de 10.000 euros por recabar datos personales sin informar debidamente a sus titulares sobre su uso y destino.
Se trata pues de enjuiciar el sacrosanto derecho de información del interesado, que se ve reforzado de manera muy importante por el nuevo Reglamento Europeo de Protección de Datos (RGPD).
La sentencia concluye indicando que la página web “no ofrecía información sobre cuáles eran las empresas del Grupo a las que iban a ser cedidos los datos ni tampoco los concretos sectores de actividad de los que iba a recibir publicidad, lo que supone un incumplimiento de lo dispuesto en el artículo 45.1.b) del Real Decreto 1720/2007, en relación con el artículo 5 de la LOPD”. Concretamente, el aviso de información de dicha web rezaba así: “El cliente autoriza expresamente a El Corte Ingles para que los datos de este registro y cuantos se obtengan para el desarrollo de las relaciones contractuales entre ambas partes puedan ser facilitados a las empresas del Grupo El Corte Ingles para que dichas empresas puedan efectuar estudios de mercado y ofrecerle al cliente productos y servicio que puedan resultar de su interés”.
Pues bien, nos ha quedado claro que se debe especificar, de forma concreta, cuales son, todas y cada de las empresas a las que se cederán los datos para que el consentimiento sea realmente inequívoco, libre e informado. Hasta aquí no vemos objeción.
Sin embargo, la Agencia Española de Protección de Datos (AEPD) publica regularmente guías y materiales que ayudan a los responsables de tratamiento de datos personales a cumplir con sus obligaciones, concretizando aspectos que, en muchos casos no están del todo definidos en las normas reguladoras de la materia. Tal es el caso de una reciente guía publicada por la AEPD, en colaboración con las Agencias de protección de datos vasca y catalana, que lleva por rúbrica “Guía para el cumplimiento del deber de informar”. Esta guía fue publicada con la finalidad esencial de ayudar a adaptarse al nuevo RGPD que exige una información más completa al titular de los datos, instaurando la información por capas o multinivel.
La citada guía describe ejemplos concretos sobre cómo se debe informar, entre los que podemos encontrar la imagen que describimos a continuación, donde puede verse claramente cómo aconseja la AEPD proceder a informar en relación a las cesiones al grupo de empresas:
La propia guía de la AEPD aconseja informar de forma genérica sobre las empresas del grupo, al menos en la primera capa, lo que choca frontalmente con la sanción impuesta ahora al centro comercial indicado, y que sin duda genera una gran inseguridad jurídica.
Por otro lado, la guía insiste en esta forma de informar, indicando otro ejemplo, este relativo ya a lo que sería la segunda capa de información:
Dejo aquí esta reflexión, no sin una gran preocupación por la inseguridad que este tipo de cuestiones genera, tanto en los clientes como en los propios profesionales de la protección de datos.
Diego Estévez García,
Abogado en Vigo. CDPP y especialista en derecho administrativo y TIC.
Adenda (www.adenda.net)