El tratamiento lícito de los datos personales en Internet.

• Autor: Mª Rosa Llácer Matacás
• Cargo: Profesora Titular de Derecho Civil de la Universidad de Barcelona y miembro del GREDINT (Grup de Recerca en Dret ...
• Páginas: vLex

Profesora Titular de Derecho Civil de la Universidad de Barcelona y miembro del GREDINT (Grup de Recerca en Dret Privat i Noves Tecnologies). Coordinadora de la Jornada sobre 'La nueva regulación del comercio electrónico'.

1. Formas de vulneración de la privacidad en Internet

   El tratamiento informático de aspectos parciales de nuestra persona, como gustos, aficiones, hábitos de compra o poder adquisitivo, es una fuente de información que, en manos de terceros puede perjudicar el libre desarrollo de la personalidad o provocar la denegación de derechos.

   De ahí que, no sin controversia doctrinal, se hable del derecho fundamental a la autodeterminación informativa, independiente del derecho a la intimidad personal y familiar (art. 18.4 CE), que ha recibido un reciente impulso en el art. 8 de la Carta de Derechos Fundamentales de la Unión Europea, aprobada en Niza el 7 de diciembre de 2000. El derecho fundamental a la privacidad protege un conjunto de datos personales, no necesariamente íntimos o incluso públicos, que tratados por medios informáticos arrojan un perfil de la persona (STC 292/2000, de 30 de noviembre). Su contenido se concreta en una serie de facultades dirigidas a impedir el conocimiento ajeno y a controlar su alcance (autodeterminación informativa que limita el uso de la informática: derecho de información en la recogida de datos, derechos de consulta, acceso, oposición, rectificación y cancelación, consentimiento del interesado para la recogida o la cesión de datos) y su lesión permite impugnar las decisiones cuyo único fundamento sea el tratamiento de datos (art. 13 LOPD) y pedir la indemnización de los perjuicios, materiales y morales, sufridos (art. 19 LOPD), sin perjuicio de la relevante potestad sancionadora de la APD (arts. 44 y 45 LOPD). Los ficheros representan un activo económico importante: son una fuente de conocimientos que evita pérdidas a las compañías (empañando la aleatoriedad de los contratos de seguros o permitiendo especular sobre cualquier cumplimiento contractual) o un instrumento de marketing que permite campañas publicitarias selectivas.

   Internet viene a significar un incremento insospechado de las formas de recabar datos personales y ofrece formas de recogida y tratamiento que requieren una respuesta legislativa adaptada pues la privacidad no es el precio a pagar por las ventajas de la sociedad de la información. Las actividades difícilmente son anónimas (la navegación deja un rastro, que se registra de forma invisible, generalmente ignorada) y su conocimiento llega a todo PSSI que intervenga en la comunicación y acceda a datos personales.

   Se perfilan dos grandes ámbitos: los datos que se tratan en ocasión de la transmisión electrónica y los que se obtienen a través de los contenidos, que merecen una atención individualizada por parte del legislador. Se halla en fase de preparación un nuevo marco regulador de las redes y servicios de comunicaciones electrónicas que contendrá una Directiva relativa a la protección de datos adaptada a toda forma de comunicación electrónica. Se entiende por tal toda la actividad de intercambio o transmisión de información entre un número finito de partes por medio de un servicio de comunicaciones electrónicas accesibles al público.

   1. Los datos de transmisión comprenden los datos del tráfico y de localización. Son datos sobre el tráfico los que se tratan para realizar la transmisión o facturarla. Los operadores de infraestructuras o redes de comunicaciones, comprendidas las inalámbricas, o los servidores de acceso que proporcionan la conexión TCP/IP, registran los datos de la llamada: identificación de la línea llamante, hora, día y duración de la conexión, volumen de datos transferidos). Los proveedores de servicios que almacenan páginas web y prestan servicios como correo electrónico o foros de debate pueden registrar mensajes o las páginas web visitadas (rastro de clicks). Debe tenerse en cuenta que todos los datos que proporciona la cabecera HTTP son registrables. Los datos se considerarán personales siempre que puedan vincularse con un usuario concreto (art. 3.a LOPD). En principio no podría considerarse como tal una dirección IP dinámica, pero cabe establecer esta relación, especialmente si los operadores y servidores acumulan funciones (prestación de acceso y de servicios). Los datos pueden relacionarse con un usuario concreto con medios técnicos usuales como las cookies. También son peligrosos los cruces de datos derivado de fusiones de empresas (así, el conocido caso DoubleClick), el correo electrónico o las opciones técnicas para evitar saturaciones (protocolo Ipv6). Son datos sobre localización los que indican la posición geográfica del terminal receptor del usuario de un servicio de comunicaciones electrónicas y que utilizan los servicios de redes celulares o por satélite: permiten disfrutar de servicios de emergencia, pero que también se prestan a usos invasivos para la persona.

   2. Los datos derivados del suministro de contenidos son aquellos que circulan por la Red, que manejan los proveedores de servicios: así los datos de registro (en foros de debate, suscripciones o tiendas virtuales), los hábitos de compra o el volumen de gasto y forma habitual de pago, que se vinculan a una persona a través de cookies o, simplemente, con los datos precisos para la entrega domiciliaria (el comercio electrónico ha supuesto un impulso para la logística o distribución, sin perjuicio de los productos que pueden adquirirse directamente a través de la red).

   Corresponde a la ley precisar cual es el uso lícito de los datos o la finalidad con que pueden registrarse.

2. Riesgos inherentes al tratamiento ilícito de los datos

   1. Elaboración de perfiles, información nueva obtenida sobre datos que no se ha proporcionado o que pueden haberse suministrado con finalidad distinta. Los datos sobre el trafico o destinados a facturación pueden combinarse con otros perfiles almacenados y obtenidos de la actividad del usuario o con las posibilidades de búsqueda inversa que ofrecen las guías electrónicas. Las posibilidades de averiguación se incrementan en los prestadores que aglutinan diversos servicios de la sociedad de la información (portales que suministran contenido y ofrecen servicio de correo web). Sus consecuencias: comunicaciones comerciales no solicitadas, spamming, instalación de banners a la carta, la localización a través del teléfono móvil o denegación de servicios.

   2. El tratamiento invisible de los datos.Una cabecera HTTP suele contener más datos de los realmente útiles para efectuar la comunicación, sin que sea patente la información sobre los datos enviados y su finalidad. También las cookies, instaladas en el ordenador del usuario, informan sobre los datos que un titular de sitio web estima conveniente. Los hipervínculos automáticos entre páginas de gran afluencia o buscadores con servidores que alojan servicios de publicidad permiten abrir conexiones independientes con empresas de cibermarketing que pueden crear perfiles completos con los que servir publicidad a la carta. Otras formas de tratamiento son extraordinariamente difíciles de detectar y pueden catalogarse como formas de espionaje (web bugs, que alcanzan los directorios de correo electrónico o las cookies del usuario).

2. La legislación española y las pautas comunitarias: ámbito de aplicación material

   La distinción entre los datos transmisión y los derivados de los contenidos nos conduce a las dos Directivas en materia de protección de datos y a sus respectivas transposiciones. La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal (Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en los que respecta al tratamiento de datos personales y a la libre circulación de estos datos), de aplicación general, y la Ley 11/1998, de 24 de abril, General de Telecomunicaciones (LGT) y el Reglamento de desarrollo de su Título III, aprobado por el Real Decreto 1736/1998, de 31 de julio (RSU) (Directiva, sectorial, 97/66/CE del Parlamento Europeo y del Consejo de 15 de diciembre de 1997 relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones). No son compartimentos estancos pues la normativa general se aplica en defecto de tratamiento específico. También se dibuja como norma de referencia (Arts. 1.5.b) y arts. 6 y 7 de la Directiva 2000/31/CE, comercio electrónico; arts. 39.3 y 42.1 de la ley 7/1996,de 15 de enero, de ordenación del comercio minorista y art. 10 de la Directiva 97/7/CE, de 20 de mayo, sobre venta a distancia y pendiente de transposición). La LOPD se aplica a los datos tratados en el suministro de contenidos en línea, a cargo de titulares de páginas web o empresas de publicidad (también cuando no se presta un servicio de comunicación al público: transmisiones gratuitas o a través de líneas privadas) y abarca los principios de la protección de datos, los derechos de sus titulares, su ejercicio y reclamación y las obligaciones de los titulares de los ficheros.

   El RSU se profundiza, en cambio, en los datos tratados en la explotación de las redes o la prestación de servicios de telecomunicaciones y comprende los datos del tráfico, de facturación y la elaboración de guías públicas o con fines de venta directa. Asimismo se prevé la protección de datos personales en los servicios avanzados de telefonía, como la presentación y restricción de la línea llamante y conectada, la supresión en origen o destino de la identificación de la línea llamante, filtrado o supresión del desvío de llamadas.

   En relación a las obligaciones generales del responsable de un fichero deben tenerse en cuenta el Real Decreto 1332/1994, de 20 de junio, que desarrolla determinados aspectos de la Ley Orgánica 5/1992 y el Real Decreto 994/1999, de 11 de junio, que aprueba el Reglamento de medidas de seguridad de los ficheros...