La Agencia Española de Protección de Datos (AEPD) ha emitido recientemente un informe relativo al Código de Conducta presentado por la Asociación Multisectorial de la Información (ASEDIE) en el que se analiza el tratamiento de datos obtenidos de fuentes de acceso público (o que se hayan hecho manifiestamente públicos) con el objetivo principal de prestar servicios de información sobre solvencia patrimonial y crédito (N/REF: 0089/2020).
Este informe nos sirve de guía para ver el criterio que mantiene hoy en día la AEPD con respecto al tratamiento de datos de fuentes de acceso público para diferentes finalidades, entre ellas, el envío de publicidad. Como ya es sabido por todos, el envío de publicidad por medios electrónicos se rige por la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI), que requiere contar con el consentimiento de las personas afectadas, salvo que se den ciertos requisitos, entre los que no se encuentra, en ningún caso, que los datos procedan de fuentes de acceso público.
No obstante, si la publicidad se remite por medios no electrónicos resulta de aplicación el RGPD, que permite tratar datos personales siempre y cuando aplique alguna de las bases legitimadoras recogidas en su artículo 6, entre las que se encuentra el interés legítimo. Por lo tanto, cabe hacernos la siguiente pregunta: ¿podría aplicarse la base legitimadora del interés legítimo para el envío de publicidad por el hecho de que los datos provengan de fuentes de acceso público?
Para responder a esta pregunta debemos retroceder en el tiempo. La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (derogada por la actual Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales), recogía el concepto de fuentes accesibles al público como excepción al principio general del consentimiento en el tratamiento de datos personales.
A estos efectos, se definían las fuentes accesibles al público, en el artículo 3.j) como “aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencias que, en su caso, el abono de una contraprestación. Tienen consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación”, considerando la AEPD que dicha enumeración tenía carácter taxativo.
No obstante, a partir de la plena aplicación del RGPD, no existe un concepto legal de fuente de acceso público, tal y como señala el Informe 136/2018 de esta AEPD, que recuerda que “ya en la 10ª sesión anual se expuso que con el RGPD no puede hablarse de un concepto legal de fuente de acceso público como la existente con la anterior LOPD. El artículo 14.2 f) del RGPD tan sólo menciona dicho concepto para establecer la obligación del responsable del tratamiento de facilitar al interesado la información de si sus datos personales proceden de fuentes de acceso público, pero sin definir estas”.
Por lo tanto, la normativa actual no contiene una definición de “fuentes de acceso público”, sin embargo, puede seguir aplicándose como criterio interpretativo la definición que se contenía en el artículo 3.j) de la derogada Ley Orgánica 15/1999, tal y como ha manifestado la AEPD en el informe jurídico 210070/2018: “En este punto, la normativa actual no contiene una definición de “fuentes de acceso público”, al haber desaparecido en la normativa de protección de datos la referencia a las “fuentes accesibles al público” como causa de legitimación del tratamiento sin necesidad de consentimiento, ya que en la actualidad, incluso en estos casos deberá concurrir alguna de las causas legitimadoras del artículo 6 RGPD. No obstante, puede seguir aplicándose como criterio interpretativo, adaptándola al contexto actual, la definición que se contenía en el artículo 3.j) de la derogada Ley Orgánica 15/1999: “aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación”. Por tanto, debe tratarse de páginas web y otras fuentes en las que la consulta la pueda realizar cualquier persona, lo que excluiría otro tipo de fuentes en las que el acceso está restringido a un círculo determinado, ya sea como “amigo” u otro concepto similar.”
A lo largo del informe (N/REF: 0089/2020) se analiza la posibilidad de catalogar como fuentes de acceso público aquellas mencionadas por ASEDIE. En concreto, esta entidad considera prevalente su interés legítimo para utilizar los datos procedentes de dichas fuentes (sin especificar qué datos) con el fin de prestar servicios de información sobre solvencia patrimonial y crédito, haciendo referencia a la Sentencia del Tribunal de Justicia de la Unión Europea de 24 de noviembre de 2011 (asuntos acumulados C-468/10 y C-469/10), la cual indica, en sus Considerandos 44 y 45, que cuando los datos figuran en fuentes accesibles al público, el responsable del tratamiento y, en su caso, el tercero o terceros a quienes se comuniquen los datos no acceden a datos relativos a la vida privada del interesado, dado que la información ya es de público conocimiento. Como consecuencia, hay un impacto menor en los derechos del interesado, lo que debe ser apreciado en su justo valor en la ponderación con el interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos. Lo mismo puede decirse en el caso de los datos hechos manifiestamente públicos por el interesado (artículo 9.2, e) RGPD).
La AEPD manifiesta que, aun tratándose de información recogida en fuentes públicas, es necesario respetar el principio de limitación de la finalidad, atendiendo a las razones concretas que ha determinado la publicación de la información, especialmente cuando dicha publicación se realiza en cumplimiento de una obligación legal o por razones de interés público, y por lo tanto independiente de la voluntad de los interesados.
Por lo tanto, a partir de la plena aplicación del RGPD, la circunstancia de que los datos personales figuren en fuentes públicas no legitima, sin más, su posterior utilización con otros fines, debiendo cumplirse con el principio de limitación de la finalidad que se recoge en el artículo 5 del RGPD, de modo que “Los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines”. A este principio se refiere, asimismo, el Considerando 50 del Reglamento, en el que se señala lo siguiente: El tratamiento de datos personales con fines distintos de aquellos para los que hayan sido recogidos inicialmente solo debe permitirse cuando sea compatible con los fines de su recogida inicial. […] Con objeto de determinar si el fin del tratamiento ulterior es compatible con el fin de la recogida inicial de los datos personales, el responsable del tratamiento, tras haber cumplido todos los requisitos para la licitud del tratamiento original, debe tener en cuenta, entre otras cosas, cualquier relación entre estos fines y los fines del tratamiento ulterior previsto, el contexto en el que se recogieron los datos, en particular las expectativas razonables del interesado basadas en su relación con el responsable en cuanto a su uso posterior, la naturaleza de los datos personales, las consecuencias para los interesados del tratamiento ulterior previsto y la existencia de garantías adecuadas tanto en la operación de tratamiento original como en la operación de tratamiento ulterior prevista.
En este sentido también se pronuncia el artículo 6.4 del RGPD, al establecer que cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales no esté basado en el consentimiento del interesado o en el Derecho de la Unión o de los Estados miembros, el responsable del tratamiento, con objeto de determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos personales, tendrá en cuenta, entre otras cosas:
a) cualquier relación entre los fines para los cuales se hayan recogido los datos personales y los fines del tratamiento ulterior previsto;
b) el contexto en que se hayan recogido los datos personales, en particular por lo que respecta a la relación entre los interesados y el responsable del tratamiento;
c) la naturaleza de los datos personales, en concreto cuando se traten categorías especiales de datos personales, de conformidad con el artículo 9, o datos personales relativos a condenas e infracciones penales, de conformidad con el artículo 10;
d) las posibles consecuencias para los interesados del tratamiento ulterior previsto;
e) la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización.
La AEPD considera, con carácter general, que no existe la compatibilidad de fines que justificarían el tratamiento ulterior de los datos publicados en las fuentes accesibles al público para fines de evaluación de la solvencia. De este modo, la publicación de la información en las fuentes públicas responde a finalidades concretas, derivadas de la necesidad de garantizar la transparencia en la utilización de los recursos públicos, o establecidas en favor de los propios administrados, como es la notificación de los actos administrativos mediante su publicación, o la necesidad de garantizar en determinados supuestos un público conocimiento que, al venir impuestas por la ley y ser indisponibles para los afectados, y no guardan relación alguna con un tratamiento posterior a efectos de evaluar la solvencia, lo que supondría que una injerencia en el derecho fundamental a la protección de datos personales, impuesta por razones de interés público, terminara produciendo efectos adversos en la vida privada de los afectados.
Por consiguiente, esta Agencia considera prevalentes los intereses de los afectados, sin que pueda admitirse que exista una expectativa razonable de los interesados de que se va a proceder a dicho tratamiento.
En definitiva, el criterio de la AEPD es que el tratamiento de los datos personales obrantes en fuentes públicas requiere que la finalidad pretendida con el nuevo tratamiento sea compatible con la finalidad que justificó la publicación de los datos y que el hecho de que los datos figuren en fuentes públicas no determina, sin más, la prevalencia del interés legítimo de los responsables para proceder a su tratamiento, si bien puede ser una circunstancia a ponderar favorable al mismo, debe atenderse al caso concreto, teniendo en cuenta los tipos de datos y el tratamiento que se pretende realizar, singularmente cuando lo que se pretende es realizar un perfilado de los mismos aprovechando las ventajas que ofrece la tecnología.
Por todo lo anterior, y en conclusión, no considero que pueda fundamentarse, con carácter general, el envío de publicidad en el interés legítimo por el mero hecho de que los datos procedan de fuentes de acceso público, debiendo hacer el correspondiente ejercicio de ponderación para determinar si prevalece el interés del anunciante o del destinatario, teniendo en cuenta que, tal y como se indica en el informe de referencia, el hecho de que se publiquen datos personales en fuentes públicas no puede significar que el usuario pierda el control sobre dichos datos publicados y que puedan utilizarse para fines comerciales aunque la publicación no tenga dicho fin.
Jorge de Diego Retuerta
Abogado Asociado Senior
Picón & Asociados Abogados.