La exclusividad sobre la información personal

• Autor: María Rosa Llácer Matacás
• Cargo del Autor: Catedrática de Derecho civil Universidad de Barcelona
• Páginas: 63-72

Contenidos

• 1.1. El ámbito de exclusión referido a la información personal.
• 1.2. De la exclusión a la revelación autónoma de información personal.

Page 63

1.1. El ámbito de exclusión referido a la información personal

El punto de partida para analizar el acceso de terceros es el carácter exclusivo de la información personal. La propia expresión “protección de datos personales” alude a un ámbito exclusivo del titular del derecho. Es cierto que la ley regula tan intensamente las fuentes de legitimación que el ejercicio positivo o dinámico parece característico del derecho sobre los datos personales; sin embargo, ni es propio del mismo, ni puede relegarse el concepto de exclusividad. Dos son los conceptos que delimitan su ejercicio: exclusividad y legitimación. Mediante esta última se deroga o modula la exclusión de los demás, se permite la injerencia y se descarta la lesión en la esfera privada¹³⁶. La legitimación, que proviene del negocio de autorización o de la ley, permite la intromisión (tratamiento), con la única salvedad de las conductas directamente prohibidas que el responsable del tratamiento nunca podrá efectuar: las valoraciones basadas únicamente en tratamientos destinados a evaluar determinados aspectos de la personalidad (art. 13.1 LOPD).

Los arts. 6 y 11 LOPD no contemplan en su totalidad el ejercicio del derecho a controlar los datos personales porque no mencionan el acceso exclusivo del afectado sobre su información. Quizá sea poco relevante para el afectado (ya que él mismo no trata sus datos), pero es fundamental desde el punto de vista dogmático ya que toda autorización se explica por la preexistencia de una esfera vetada a los demás.

Page 64

La segunda parte del trabajo se centra en las dos fuentes de legitimación y en la lesión de la exclusividad, que se produce siempre que un responsable se inmiscuye en datos para cuyo tratamiento carece de legitimación. Esta última parte permite llamar la atención sobre los “derechos de las personas” (Título III LOPD) que se ejercen bien cuando el responsable no está legitimado, bien para verificar si actúa de acuerdo con la legitimación, o bien para adecuar el tratamiento si ésta se modifica (así, tras un acto de revocación). La protección frente a la inmisión (o extralimitación) agrupa todas las acciones del afectado para hacer efectivo el derecho sobre su información, siempre exclusiva, si bien su contenido puede variar en función de la fuente voluntaria o legal infringida.

El disfrute exclusivo y directo por el titular del derecho permite exigir la abstención de los demás¹³⁷, de forma que la intromisión es aquella conducta ilícita por el hecho de vulnerar la exclusividad. Los arts. 6.1 y 11.1 LOPD presuponen la exclusividad al requerir el consentimiento, aunque el artículo que mejor apunta el carácter excepcional del acceso a la esfera personal es el 11.1 RLOPD según el cual “los datos de carácter personal únicamente podrán ser objeto de tratamiento o cesión si el interesado hubiera prestado previamente su consentimiento para ello”. Aunque la Ley Orgánica 15/1999 pretende dar respuesta a la circulación habitual de la información, el inicio del razonamiento debe ser la ilicitud del tratamiento no autorizado¹³⁸, que permite introducir las dos fuentes de legitimación previstas: la ley y el acto de autorización voluntario. En efecto, una identidad totalmente reservada y protegida frente a cualquier acto de conocimiento o circulación es bastante improbable en la sociedad de la información, dónde el individuo necesita instrumentos legales para configurar la intensidad del acceso ajeno, construyendo así su propia identidad en sociedad¹³⁹.

Los ficheros de exclusión previstos para prevenir el envío de comunicaciones comerciales ilustran la idea de abstención impuesta al responsable del tratamiento. Se aplican a datos personales solicitados y denegados por el afec-

Page 65

tado (art. 15.1 RLOPD) y, en particular, a los extraídos de fuentes accesibles al público, cuyo uso se pretende evitar (arts. 30.4 LOPD y 45.1.a RLOPD)¹⁴⁰.

La ley legitima el uso de las fuentes públicas pero proporciona, a la vez, instrumentos para resguardar a la persona del acceso indiscriminado: los ficheros de exclusión evitan que el responsable del fichero invada la esfera privada mediante comunicaciones comerciales. Son un instrumento de reserva frente al reconocimiento legal de canales para recabar información destinada a satisfacer intereses legítimos del responsable.

Existen dos tipos de ficheros de exclusión: los gestionados por el propio responsable a quien el afectado manifiesta su negativa a recibir publicidad (art. 48 RLOPD) y los ficheros comunes de carácter general o sectorial (art. 49 RLOPD)¹⁴¹. Como los responsables de ficheros comunes son entidades externas al responsable-proveedor o a la empresa de marketing (generalmente entidades que gestionan códigos de conducta a los que se adhieren los emisores de comunicaciones comerciales¹⁴²), sobre éstos últimos recae el deber de consulta antes efectuar un tratamiento con fines de publicidad o prospección comercial, para evitar el tratamiento de datos referentes a personas que se opusieron o denegaron una solicitud de consentimiento (art. 49.4 RLOPD).

El régimen de las comunicaciones comerciales evidencia la importancia de la exclusión frente a la legitimación legal para usar datos de las fuentes accesibles al público (art. 3.j LOPD) con el fin de preservar lo que se ha calificado de “derecho a la tranquilidad individual”¹⁴³. En este caso, se devuelve al destinatario de la comunicación el poder de excluir lo que la ley ha autorizado. Este doble circuito para volver al contenido originario o exclusividad, debilita el derecho y facilita una accesibilidad incrementada por los medios técnicos¹⁴⁴.

Cabe aún mencionar dos formas de resguardar la esfera personal de las tentativas de acceso: la regulación de las guías públicas que permite hacer constar en el mismo documento la voluntad de no recibir comunicaciones (art.
28.2 LOPD, art. 67.4 RLGT) y el tratamiento específico sobre los datos de

Page 66

contacto por medios electrónicos, dado su elevado potencial invasivo¹⁴⁵. En concreto, se sujetan al consentimiento expreso el uso de sistemas de llamada sin intervención humana o telefax (art. 69.1 RLGT, art. 38.3.h LGT) y del correo electrónico o medios equivalentes (SMS o MMS) para enviar comunicaciones sobre productos sin relación con los anteriormente contratados con el emisor de la comunicación (art. 21.1 LSSICE)¹⁴⁶.

La perturbación de la exclusividad proviene de un “tercero”, expresión cuyo sentido civil no coincide con la dicción técnica de la Ley Orgánica 15/1999, que se refiere a los “terceros” en los supuestos de cesión de datos, siendo el cedente el responsable del tratamiento y no el propio afectado (art. 11.1 LOPD y art.
10.2.b RLOPD). Este tercero cesionario es un nuevo responsable del tratamiento que accede a los datos mediante legitimación legal (art. 11.2.c LOPD y arts.
10.3.b y 10.4, a RLOPD) o voluntaria (arts. 11.1 y 4 LOPD). En este sentido, el art. 5.1.r RLOPD concreta que el “tercero” (cfr art. 11.1 LOPD) es aquella persona distinta del afectado o interesado (art. 3.e LOPD), del responsable del tratamiento (art. 3.d LOPD) o del fichero (art. 5.1.q RLOPD), del encargado del tratamiento (art. 3.e, 12 LOPD) y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento (art. 21 RLOPD)¹⁴⁷.

El tercero de la Ley Orgánica 15/1999 es pues un cesionario quien, obtenidos los datos del responsable (a su vez autorizado por el afectado), se convierte en responsable porque trata los datos para fines propios y decide sobre la finalidad, contenido y uso del tratamiento (art. 3.d LOPD). De esta forma,

Page 67

cuando el afectado autoriza una cesión, está legitimando al responsable para comunicar los datos a terceros que realizarán nuevos actos de tratamiento (se trata de un consentimiento informado, que permita conocer la finalidad a que destinarán los datos y el tipo de actividad del cesionario, art. 11.3 LOPD). El tercero-cesionario se diferencia del encargado de tratamiento, persona que suscribe un contrato de servicios de tratamiento de datos con el responsable (art. 12.3 LOPD) y no los recaba en calidad de cesionario sino de prestador de un servicio con el fin de realizar operaciones de gestión del tratamiento de acuerdo con sus instrucciones (arts. 3.g y 12.1 LOPD). El responsable no pierde pues su condición, ni la adquiere el encargado a menos que destine los datos a otra finalidad, incumpliendo las estipulaciones del contrato (arts. 12.4 LOPD y 20.3 RLOPD); sólo en este caso el encargado crea un nuevo vínculo con el afectado, no autorizado (cfr art. 20.1. in fine RLOPD)¹⁴⁸.

Volviendo al “tercero” ajeno a la esfera personal del afectado, se concluye que sin perjuicio del mencionado tercero cesionario (respecto del responsable cedente), el responsable del tratamiento también merece la calificación de “tercero”, al menos desde la perspectiva civil, porque designa al destinatario directo de la autorización para acceder a una información personal ajena.

1.2. De la exclusión a la revelación autónoma de información personal

El régimen que sujeta al responsable se justifica cuando el levantamiento de la exclusividad se convierte en un fenómeno habitual. Los actos de autodeterminación informativa o de autonomía aplicada a este bien de la personalidad (art.
18.4 CE y art. 10.1 CE) entrañan una elección sobre el ámbito de intromisión permitido sobre la esfera privada¹⁴⁹. Pero se trata de una elección muy frecuente en una sociedad que funciona con información y dónde el afectado es constantemente requerido para que revele datos y consienta su utilización.

Desde esta perspectiva, también representan un acto de realización personal en una sociedad que debe contar con los recursos para “controlar a los controladores” y devolver la...