El contenido del derecho a la protección de datos personales

• Autor: Ana Garriga Domínguez
• Páginas: 235-243

Contenidos

• 3.1. El consentimiento del interesado y los derechos «ARCO».
• 3.2. El derecho al olvido, la portabilidad de los datos y el derecho a no ser objeto de una decisión basada únicamente en un tratamiento automatizado.

Page 235

3.1. El consentimiento del interesado y los derechos «ARCO»

Como no pude ser de otra manera, en la Propuesta de Reglamento nos encontramos con un conjunto de principios que regulan y legitiman el tratamiento de datos personales. En primer lugar, si bien se abandona esta denominación, se recogen aquellos principios que tradicionalmente se agrupaban bajo la denominación de principios relativos a la calidad de los datos, sobre la lealtad en la recogida de los datos, pertinencia y finalidad y transparencia o veracidad de la información.

Pero, las mayores novedades del futuro Reglamento se encuentran entre el conjunto de facultades que pretenden dotar al interesado de un poder de control y disposición de su datos personales. En este sentido en primer lugar se recoge la necesidad del consentimiento del afectado para legitimar el tratamiento de sus datos personales. En el nuevo proyecto de regulación y como es tradicional en este ámbito, el consentimiento del interesado "es la llave de todo tratamiento de datos personales"⁷²⁴. En este sentido, el Reglamento continua la tradición, jurídica legal y judicial, que sitúa en el consentimiento libre, específico e informado, el centro de la protección. Esta concepción tradicional ha recibido críticas por considerar que no responden al desarrollo contemporáneo de la tecnología, afirmando que resulta poco realista "la idea de que podemos lograr un control razonable de nuestra información a partir de la exigencia de consentimiento informado"⁷²⁵.

Sin duda la efectividad del principio de consentimiento, en orden a proporcionar una herramienta eficaz de protección, dependerá de cómo quede su regulación final. Pues si bien en la Resolución legislativa del Parlamento Europeo, de 12 de marzo de

Page 236

2014, sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos) se establecía, por ejemplo, el consentimiento del interesado como "toda manifestación de voluntad, libre, específica, informada y explícita, mediante la que el interesado acepta, ya sea mediante una declaración ya sea mediante una clara acción afirmativa, el tratamiento de datos personales que le conciernen", en la Propuesta del Consejo el consentimiento se configura simplemente como "toda manifestación de voluntad, libre, específica e informada (...) mediante la que el interesado acepta, ya sea mediante una declaración ya sea mediante una clara acción afirmativa, el tratamiento de datos personales que le conciernen". En la propuesta del Consejo, el consentimiento es como en la actualidad inequívoco, según se establece en el artículo 7, que regula las condiciones para el consentimiento. No obstante, con independencia de que el consentimiento sea explícito o inequívoco si el texto final sigue recogiendo la exigencia de que este se preste mediante una clara acción afirmativa y por lo tanto se excluye la posibilidad de que el silencio o la inacción no puedan ser considerados como consentimiento, se podría "reequilibrar en parte la desigualdad existente entre el ciudadano y los responsables del tratamiento de datos"⁷²⁶, en especial en la gestión de su datos en Internet.

Resulta por ello muy difícil y arriesgado determinar cual será el papel del consentimiento en la nueva regulación, pues dependerá no sólo de las condiciones para su validez, sino también del número de excepciones que se establezcan finalmente a este requisito y de las posibles especialidades para el consentimiento en las actividades online⁷²⁷que realice el interesado. Por otra parte, también influirán otras cuestiones relacionadas con la especificad del consentimiento, prestado para un finalidad específica y determinada, como la regulación final del principio de finalidad y la determinación de las finalidades compatibles, que permiten el tratamiento de los datos para una finalidad distinta de la que inicialmente justificó la obtención de los datos sin consentimiento del interesado. Esta es una cuestión clave en cualquier ámbito, pero especialmente en la red, pues resulta muy difícil considerar que se ha prestado el consentimiento inequívoco para el tratamiento de los datos personales "cuando al «colgar» información en Internet no sabemos el destino o el destinatario final de la misma"⁷²⁸. Por otra parte, la misma forma de prestar el consentimiento en los servicios online puede resultar pro-

Page 237

blemática para garantizar el consentimiento informado. Así, por ejemplo, en Internet con frecuencia el consentimiento se presta a través de enlaces que aparecen bajo la fórmula de "«aviso legal» o «política de privacidad», a través del simple «clic», por lo que en muchas ocasiones el usuario ni tan siquiera ha leído realmente dicha normativa a su disposición, ni es consciente de la prestación de ese consentimiento"⁷²⁹.

Y la misma valoración puede hacerse de la forma en la que se presta el consentimiento en la mayoría de las aplicaciones para los Smartphone. Por ello, parce insuficiente el consentimiento como garantía del control de los datos personales en la instalación y utilización de muchas aplicaciones por lo que sería necesario "fijar las condiciones de transparencia y de colaboración con las aplicaciones tecnológicas que permiten superar el desconocimiento o el cansancio frente a requerimientos poco comprensibles, demasiado frecuentes o difíciles de ejecutar"⁷³⁰.

Otra cuestión fundamental, que hay que dirimir para evaluar la eficacia del requisito de consentimiento, es la relativa al «interés legítimo» como principio legitimador del tratamiento de datos personales sin consentimiento del interesado. De hecho, esta excepción ha sido interpretada de forma muy diferente en los distintos Estados miembros, pues si bien el TJEU exige la ponderación caso a caso de los intereses legítimos alegados con el derecho a la protección de datos personales, "en varios Estados miembros, el artículo 7, letra f), se percibe a veces de manera incorrecta como una «puerta abierta» para legitimar cualquier tratamiento de datos que no se justifique con ninguno de los demás fundamentos jurídicos"⁷³¹.

El futuro Reglamento General debiera clarificar las condiciones y requisitos para que el interés legítimo del responsable del tratamiento prevalezca sobre los derechos del interesado y, al revés, en que circunstancias debe prevalecer el derecho fundamental a la protección de datos personales. Son varias la vías posibles para garantizar la previsibilidad y la seguridad jurídica: que se establezcan directrices en la propuesta de Reglamento en forma de actos delegados, que se proporcionen aclaraciones y disposiciones detalladas en el texto de la propuesta misma de Reglamento, o encargar al Consejo Europeo de Protección de Datos la tarea de suministrar orientaciones adicionales en este ámbito⁷³²; pero en todo caso partiendo de la idea que el concepto de interés es "más amplio que su finalidad: es el beneficio que se deriva del tratamiento de datos bien para el responsable, bien para el tercero o incluso para la sociedad"⁷³³.

Page 238

El Grupo de Trabajo considera que, para que un «interés...