Aplicación de la normativa de protección de datos al comercio electrónico dirigido a consumidores

• Autor: María de los Reyes Corripio Gil-Delgado
• Cargo: Doctora en derecho

1. Introducción

   La protección de datos personales en el comercio electrónico despierta en nuestros días una gran incertidumbre porque si bien por un lado ya existe y tiene desde hace años aplicación en nuestro país y en Europa una normativa general de protección de datos, piénsese en el Convenio 108 del Consejo de Europea de 1981, resulta por otra manifiesto su difícil cumplimiento en lo que se refiere al ámbito de Internet y al subsector específico del comercio electrónico dirigido a consumidores y usuarios, en particular.

   La protección de datos personales en el comercio electrónico dirigido a consumidores (B2C), respecto del comercio entre empresarios (B2B), ofrece dificultades específicas consecuencia de la tecnología empleada pues las redes abiertas de telecomunicaciones, plantean específicos problemas de seguridad y prosecución de los delitos. El EDI, empleado ampliamente en el comercio electrónico tradicional entre empresarios, es un sistema de redes cerradas y el intercambio de datos se realiza en el seno de una relación contractual previa específica para el medio, que acoge mecanismos de protección de datos. Existe además, en este entorno, un consenso internacional regulador del intercambio de datos bajo el entorno EDI, como lo muestran las Reglas de Conducta Uniformes para el Intercambio de Datos Comerciales por Teletransmisión (UNCID), publicadas por la Cámara de Comercio Internacional en 1987 y el Contrato modelo para los flujos de datos transfronterizos. Las cláusulas modelo aseguran que el sujeto de los datos pueda tener recurso contra el exportador de los datos si un importador de los datos en un país que no tiene protección adecuada según la jurisdicción del exportador viola una regla de privacidad según las leyes del país exportador. Estas garantías no se encuentran en el comercio electrónico realizado a través de Internet, además, la misma navegación, constituye un vehículo para la recogida de datos lo que incrementa los riesgos relativos a la protección de datos. Recordemos que Internet es todo transacción de forma que las conexiones permanecen como rastros y pueden ser localizadas e identificadas en la red.

   Las empresas dedicadas al comercio electrónico, están obligadas a aplicar una normativa de protección de la privacidad también en las redes abiertas, e incluso me atrevería a decir que son necesarias garantías adicionales por la particular vulnerabilidad que el medio ofrece. Al no hacerlo directa o indirectamente están coadyuvando a que exista en el consumidor una percepción de desprotección.

   En nuestro país, la aplicación de la normativa sobre protección de datos en el subsector específico del comercio electrónico dirigido a consumidores, es todavía bastante deficiente. La inspección llevada a cabo por la Agencia de Protección de Datos en octubre, noviembre y diciembre del año 2000 puso de manifiesto esta deficiencia[1]. Hoy en día, tras las publicación de las Recomendaciones[2] de la Agencia de Protección de Datos, sobre aplicación de la LOPD en el sector del comercio electrónico dirigido a consumidores cada vez son más los portales de Internet y las empresas de comercio electrónico que acogen políticas de privacidad [3].

   Además, en el comercio electrónico dirigido a consumidores nos encontramos ante un entorno jurídico de protección nacional e internacional a los consumidores y usuarios como parte débil de la relación jurídica y que todos los actores del comercio deben tener en cuenta, respetar y aplicar. Recientemente la OCDE (Organización para la Cooperación y el Desarrollo Económico)[4], ha revisado sus Líneas directrices sobre la protección de los consumidores en el contexto del comercio electrónico[5], de 1999[6]; las nuevas líneas directrices enfatizan la colaboración internacional sobre todo de cara a la adopción de un sistema de resolución de disputas, lamentablemente no se incorpora referencia alguna a la protección de datos de consumidores.

   Pretendo con este trabajo estimular la aplicación de la normativa de protección de datos en este entorno específico para lo cual expondré la regulación general del tema, en un primer momento, para, posteriormente centrarme en los requisitos que la ley de protección de datos exige y son aplicables al ámbito del comercio electrónico, en particular, la legitimidad del tratamiento, la recogida de datos personales en el comercio electrónico, la seguridad de los datos y el movimiento internacional de datos. Por último sacaremos unas conclusiones.

   II. Regulación de la protección de datos en el comercio electrónico dirigido a consumidores

   Hay varias normas aplicables al comercio electrónico dirigido a consumidores, tanto en materia de seguridad, defensa de los consumidores como en protección de datos personales. Desde la Directiva 1999/93/CE de firma electrónica de 13 de diciembre (en España normativa regulada por Real Decreto-Ley 14/1999 de 17 de septiembre), hasta la Directiva 2000/21/CE de servicios de la sociedad de la información[7]. En el ámbito concreto de la protección de datos resulta de aplicación la reciente Directiva 2002/58/CE de protección de datos en el sector de las comunicaciones electrónicas, que pretende combatir las incertidumbres que genera la participación de consumidores y usuarios en el comercio electrónico.

   En nuestro país la regulación básica de la protección de datos viene recogida en Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD)[8], que ha procedido a incorporar a nuestro ordenamiento jurídico la Directiva 95/46/CE, del Parlamento Europeo, y del Consejo, de 24 de octubre de 1.995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. La LOPD es una legislación sectorial, por lo que habrá de ser completada en su vertiente penal con la contenida en los artículos 197.2[9] a 197.6 CP[10].

   Estas normas deben ser aplicadas por los agentes del comercio electrónico. Para su cumplimiento resulta necesaria una política de protección de datos expresa y clara en los sitios web desde los que se haga oferta de bienes y servicios. También debe ser clara la política de protección de datos de quienes suministran información o de quienes prestan servicios de intermediación como la provisión de acceso a la red, transmisión de datos por redes, copia temporal, alojamiento de datos en servidores o provisión de instrumentos de búsqueda o de enlaces a otros sitios de Internet como buscadores de tiendas .

   Quizás debiéramos sentar unos principios básicos: que las relaciones que se establezcan con los consumidores y usuarios a través de Internet, implican necesariamente el tratamiento de sus datos personales, que esos datos no son libres ni libremente utilizables sino que deben ser tratados de acuerdo con las normas relativas a los tratamientos de datos personales y a la confidencialidad de las comunicaciones electrónicas, vigentes en nuestro pais y en la Unión Europea y que su incumplimiento conlleva la imposición de un sistema sancionador y represivo sobre aquel que es el responsable de los tratamientos de datos.

3. Legitimidad del tratamiento

   La legitimidad del tratamiento exige que sólo se puedan tratar datos que sirvan a la realización de la actividad o el logro de los objetivos legítimos de la persona, empresa o entidad titular y se respeten las garantías legales para la protección de las personas (art. 25 LOPD referido a los ficheros de titularidad privada). Dentro de los tratamientos necesarios para el logro de los objetivos legítimos habrá que distinguir entre tratamientos necesarios para la gestión de la relación que haya surgido líbremente entre ambas partes y aquellos otros que no son necesarios para esa gestión sino que sirven a otras finalidades o intereses legítimos del empresario, por ejemplo publicidad, elaboración de estadísticas, comunicaciones de datos a terceros, u otras facilidades relacionadas con el servicio como las cookies. La legitimidad de estos otros tratamientos se halla no en su necesidad sino en el consentimiento inequívoco, pilar de la normativa sobre protección de datos[11].

   Por ello, si el tratamiento es necesario para la prestación del servicio, es legítimo por razones de necesidad y basta, para que pueda realizarse, con que el consumidor esté informado de que sus datos serán tratados. Pero, si no son necesarios para la prestación del servicio , habrá de recurrirse a otro sistema de legitimación, el del consentimiento inequívoco para cada uno de estos otros tratamientos.

   IV. La recogida de datos personales en el comercio

   La fase de recogida es la fase previa a todo tratamiento. Las garantías que se imponen en esta fase se basan en la información que se suministra al interesado que le permitirá decidir si entrega o no sus datos personales y si acepta o no determinados tratamientos así como, en un momento posterior, controlar sus datos.

   1. La información en la recogida de datos

   La información de que sus datos van a ser tratados, de cómo y por quién, es la primera tarea que deben cumplir las empresas que se dedican al comercio electrónico. La información, incluso en el caso de tratamientos que sean necesarios para la prestación del servicio, garantiza el ulterior control por parte del usuario, por ejemplo el ejercicio de sus derechos de acceso, rectificación y cancelación o el derecho de indemnización. Y es que, no lo olvidemos, el derecho a la protección de datos personales se configura como un derecho fundamental de contenido positivo , que concede a su titular un haz de derechos y la capacidad de exigir un comportamiento favorable del responsable del tratamiento. Pero el interesado no puede controlar sus datos si realmente no es consciente de que están siendo tratados y de que puede, en un momento determinado, poner fin a esos tratamientos o ejercer un derecho de oposición a los mismos. Así la STC 292/2000, de 30 de noviembre, señaló al...